The Microsoft Conference 2014 MN-242download.microsoft.com/download/0/4/A/04AF9F4F-54F2-4EAA...The...
Transcript of The Microsoft Conference 2014 MN-242download.microsoft.com/download/0/4/A/04AF9F4F-54F2-4EAA...The...
The Microsoft Conference 2014
ROOM E
MN-242
The Microsoft Conference 2014
ROOM E
本セッションの資料について
• 本セッションの資料と映像を後日オンラインにて公開予定です。
• 掲載時期につきましては、追って事務局からのメールにてご案内させていただきます。
ユーザー利便性についてお話します
このセッションの内容
いまDynamic
Identity
Framework
Hybrid
Identity
1. Hybrid Identity
2. Dynamic Identity Framework
近未来の ID 管理基盤!
“ID 管理”の最適なロードマップを描く!
Hybrid Identity とは
業務生産性を向上させるための施策Azure Active Directory とオンプレミス Active Directory を連携した ID 管理基盤
Azure Active DirectoryWindows Server
Active Directory
ADと AADは全く異なるもの
Azure Active DirectoryActive Directory(オンプレミス or Azure IaaS)
≠
• ドメイン参加• グループポリシー• パスワードポリシー• デバイス認証
• クラウドアプリ認証• 多要素認証 (MFA)
• ディレクトリ同期
企業セキュリティの要 クラウドアプリ利用
IT担当者はさまざまな課題と戦っている情報システム部のクライアントインフラ担当
東野智子 (30 歳)
思った以上に会社がクラウド化してる
課題 ざっくりいうと IT セキュリティガバナンス
改善方法認証管理
デバイス管理
その他もろもろ・・
社外から業務出来る環境を提供せねば
システム統合を急げと言われても・・
実はみんなクラウド使ってるらしいんです。
お悩み➀
お悩み➀おのおのの部門/部署がそれぞれでクラウド (SaaS) の利用を開始しているらしい。すべて把握出来ていない。
アプリごとに異なる ID 管理ポリシー= ID 情報漏えい機会の増加
ユーザーはアプリ数分の ID を管理= ユーザー生産性の低下
情報システム部のクライアントインフラ担当
東野智子 (30 歳)
1 つの ID での認証環境の提供
どんな認証基盤が便利なのか
O 365 ID SaaS ID
オンプレミス アプリ
組織 ID
クラウド
オンプレミス
SaaS SaaS
SaaS ID
オンプレミス アプリ
クラウド
オンプレミス
SaaS SaaS
統一の ID & 1 回きりの認証
社内SaaS
自社 App
システム構成概要Dynamics OnlineIntuneOffice 365
2000 以上の SaaS アプリ認証に対応
ユーザーの同期
フェデレーション信頼
認証連携(SSO)
The Microsoft Conference 2014
DEMOクラウドアプリ認証- シングルサインオン -
ユーザーがアプリを使うまで
社内
アプリケーションパネル
➀
②
②
③
④
システム統合を急げって言うんです。
お悩み②
お悩み②
認証基盤統合 (Active Directory 統合)は時間とコストがとてもかかる→ これらが最適な時ももちろんある。効果 vs (コスト & 時間) の判断が必要
グループ企業の合併に伴うシステム統合を急ぐよう言われている・・・
情報システム部のクライアントインフラ担当
東野智子 (30 歳)
Azure Active Directory に ID 統合する
ID 統合のコストは非常に大きい
• 既存ネットワーク インフラの統合(IP フラット化や FW 整理)
• 統合対象拠点間での ID/システム管理ルールの標準化• 責任分解点の調整• 統合先フォレスト構築用ハードウェア準備• Active Directory の構築/設定
• ID 移行ツールの開発 (ADMT)• ID 同期ツールの開発 (FIM)
IDをクラウドへ統合
信頼関係
AD 統合をしない統合
信頼関係
認証用ドメインがない構成も可能
クラウド ID
フェデレーションID
たまにはお洒落なカフェで仕事したいと言われます。
お悩み③
お悩み③クラウドを導入するのだから、どこからでも、どんな端末からでも使いたいと多方面から言われる・・・
認証の口を社外に公開している= やぶられることは企業 IT の危機に直結
情報システム部のクライアントインフラ担当
東野智子 (30 歳)
社内デバイスでの、社内からのアクセスのみを許可している= クラウド アプリケーションによる生産性向上の恩恵を十分に享受できていない
認証セキュリティを強固にする
一番簡単な方法が多要素認証
多要素認証アプリ 電話 SMS
Azureのサービスを利用して多要素認証を実現
フェデレーション信頼
連携
呼出
多要素認証実施 =
コンディションによるMFA制御
MFA 呼出
ユーザー名
グループ名
ネットワーク
デバイス
デバイス認証も効果的な施策です
1
デバイス登録サービス(DRS)
事前登録
デバイス登録
使いたいデバイス
デバイス認証
2 通常認証
3 多要素認証
The Microsoft Conference 2014
DEMOクラウドアプリ認証- 多要素認証 -
Office 365 ユーザーの皆様へ
皆様は既に AAD ユーザーです以下のご要望に迅速に対応可能です
※O365 MFAとの違いは末尾に添付
SSO 基盤の構築(ID 基盤の AAD への統合)
• Azure Active Directory Premium
• Azure Active Directory Sync Tool
• Active Directory Federation Service (2012 R2)
多要素認証の実装 • Azure MFA
• Azure Active Directory Premium
• Active Directory Federation Service (2012 R2)
デバイス認証の実装 • Azure Active Directory Premium
• Active Directory Federation Service (2012 R2)
Hybrid Identity に必要な製品
とはいえ
Dynamic Identity Framework とは
製品ではなく、フレームワーク
現実的なロードマップを作るため
ID 管理基盤評価の 4 本柱
管理 認証
認可 監査
Contoso ドラッグ
アプリ
アプリ
Contoso Drug Forest
Contoso US Contoso EU
Contoso Fin Contoso IT
ID管理システム
アプリ
SaaS
連携PG
管理 認証
認可 監査
Contoso ドラッグ
アプリ
アプリ
Contoso Drug Forest
Contoso US Contoso EU
Contoso Fin Contoso IT
ID管理システム
アプリ
SaaS
連携PG
管理 認証
認可 監査
Contoso ドラッグ
アプリ
アプリ
Contoso Drug Forest
Contoso US Contoso EU
Contoso Fin Contoso IT
ID管理システム
アプリ
SaaS
連携PG
管理 認証
認可 監査
Contoso ドラッグ
アプリ
アプリ
Contoso Drug Forest
Contoso US Contoso EU
Contoso Fin Contoso IT
ID管理システム
アプリ
SaaS
連携PG
管理 認証
認可 監査
Contoso ドラッグ
アプリ
アプリ
Contoso Drug Forest
Contoso US Contoso EU
Contoso Fin Contoso IT
ID管理システム
アプリ
SaaS
連携PG
管理 認証
認可 監査
評価観点➀: 管理
ID 管理基盤の集約 プロビジョニング デプロビジョニング ID 情報の更新 ID 情報の同期 グループ管理 パスワードの管理 アプリケーション権限管理 セルフサービス機能 変更管理
管理
認証
評価観点②: 認証
認証方式のユーザー利便性 認証情報ソースの統一性 認証プロトコル 認証の強度
認可
評価観点③: 認可
権限付与方式 アクセスポリシー 認可実施箇所
監査
評価観点④: 監査
監査情報の収集方式 アクセスログ取得方式 変更ログ アラート発行方式 レポート作成方式 レポートのタイプ
項目ごとに必要な施策を導く現状の問題
管理
認証
目標の状態 施策
認可
監査
セルフサービス機能の実装
セルフサービス機能の実装
シンプルでフル自動
シングルサインオン
多要素認証の実装
外部からのアプリ利用許可
AD 属性ベースの自動権限付与
権限の一元管理
中央監査ストアの実装
標準仕様のレポート
DIF アセスメント • Dynamic Identity Framework アセスメントサービス(マイクロソフトコンサルティングサービス)
より詳しい計画を立てるには
2 週間 – 4 週間
期間
• キックオフ• ワークショップ• インタビュー• 分析 (ロードマップ作成)• 次アクションのディスカッション
実施タスク
将来のポジション
“いま” を正しく把握する
ヒアリングロードマップ
策定現在の
ポジション
実現可能 (! ) な中長期的計画
要件に応じた目標設定
各担当者への多角的質疑
成熟度評価
Hybrid Identity
だれに? 何を聞く?
成熟度レベルにより評価する
基本 標準化 合理化 動的
成熟度 高い低い
部分的な自動化個別 ID 基盤
競争優位性業務敏捷性
自動化統合 ID 管理企業統一の戦略高い費用対効果
自動化個別 ID 基盤
項目ごとに目標レベルを定める現状
目標
まとめ
ユーザーに便利で業務効率を高める環境を提供しましょう
Hybrid Identity
Dynamic Identity Framework
何をどの順序で行うか決めましょう
関連セッション
PR-151 マイクロソフト社員が実践する時間と場所にとらわれない働き方
MN-222 【営業職・初心者歓迎】ハイブリッドな認証基盤で生産性を高めるために必要な基礎知識
MN-251 Azure Rights Management による社外ユーザーとのセキュアなコンテンツ共有の実現
MN-261 【開発者歓迎】 Azure Active Directory を利用した多彩なユーザー認証
MN-271 【開発者歓迎】多要素認証 Deep Dive~ハイブリッド認証基盤だからこそ実現できる柔軟で高機能な多要素認証
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on
the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Appendix. MFA 比較表