最新 Azure Active Directory と Windows 10 で認証はこう変わる

Similar documents
Hybrid Identity ~ 認証システムデザインパターン

PowerPoint プレゼンテーション

学認とOffice 365 の 認証連携

Modern workplace protected by Enterprise Security

The Microsoft Conference 2014 MN-212 ROOM D

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

FUJITSU Cloud Service K5 認証サービス サービス仕様書

PowerPoint プレゼンテーション

POWER EGG 3.0 Office365連携

Active Directory フェデレーションサービスとの認証連携

CA Federation ご紹介資料

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

2015 Microsoft Corporation. All rights reserved 1 Office 365 / モバイル活用を促進させる最新のクラウド管理ソリューション 日本マイクロソフト株式会社

ハイブリッド デバイス管理 ~Microsoft Intune~

P01_改.eps

HP Touchpoint Manager Windows 10 Mobile 登録手順

PowerPoint プレゼンテーション

How to Use the PowerPoint Template

OpenAM(OpenSSO) のご紹介

PowerPoint プレゼンテーション

自己紹介 スライドは こちら からダウンロード 株式会社ソフィアネットワーク所属 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~

SeciossLink クイックスタートガイド(Office365編)

PowerPoint プレゼンテーション

The Microsoft Conference 2014 インフラストラクチャーを正しく移行するために知っておきたい 10 のテクノロジー ROOMB

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

1

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

Windows 10 for Enterprise ~ 働き方を変える を支える Windows 10 ~ 日本マイクロソフト株式会社 Windows 本部シニアマネージャー西野道子

P1

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

One Core, One Windows Windows Xbox 360 Xbox One Windows 8 Windows 8.1 OS Windows Phone 8.1 Windows Phone 8 OS OS Devices + IoT Adaptive User Interface

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

PowerPoint Presentation

Stepguide15_shisa_guard.indd


HP Elite x3活用事例紹介

今後の認証基盤で必要となる 関連技術の動向 株式会社オージス総研テミストラクトソリューション部八幡孝 Copyright 2016 OGIS-RI Co., Ltd. All rights reserved.

KS_SSO_guide

シングルサインオンしてますか? 2014/11/21 第 6 回 OpenAM コンソーシアムセミナー 1

PowerPoint Presentation

Microsoft 365 説明書別紙 ソフトバンク

Mobile Access簡易設定ガイド

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

Windows ストアを介さないアプリの配布 企業内への Windows 8 アプリの展開 Windows 8 サイドローディング

FIDO技術のさらなる広がり

自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

PowerPoint Presentation

8 PC CoIT (Consumerization of IT) BCP () PC BYOD (Bring Your Own Device) BYOD IT IT IT IT PC/ 2

自己紹介 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 2

クラウド時代の ID 管理の課題 現在のトレンド SaaS SaaS ごとに ID/(Pass) の同期 各業務での SaaS アプリの利用が拡大しており 企業として SaaS アプリの迅速かつセキュアな活用が急務 人事 経理 財務 IT 開発 Workday 人事 財務 Concur 経費精算 S

PowerPoint Presentation

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

Microsoft Enterprise Mobility License

Workspace Gate ~ Workspace ONE(AirWatch) 連携 Cloud ホワイトペーパー ~ 1. Workspace Gate とは Workspace ONE(AirWatch) と社内サーバーやクラウドとの連携に必要なゲートウェイサーバーを Azure/AWS など

PowerPoint プレゼンテーション

01-CG-BARMX-.\...pm

Shibboleth Office365 Education , Office365, 8 26 Office365 Shibboleth., Shibboleth, Office365,. 1.,,,,., LMS.,,, ICT,, Google App

第1回_建築のデザインを考える_その1

改善のための要件 : ソリューション Azure Active Directory (AD) Premium で複数のクラウドと社内の ID を統合 EMS は Azure AD Premium を包含 Office 365 などの SaaS アプリや社内アプリをシングルサインオンで利用可能 Off

管理者マニュアル

0275難病情報センターのご案内_表面#4-03

SaaS の採用における課題 73% 80% エンタープライズの 73% が SaaS の採用を妨げる最大の課題の 1 つとしてセキュリティを挙げている * 従業員の 80% 以上が未承認の SaaS アプリを仕事で使用していると認めている ** * Cloud Security Alliance

TDB電子証明書ダウンロード手順書(Microsoft Internet Explorer 版)

製品概要

IceWallソフトウェア認証連携(フェデレーション)ソリューションIceWallFederationのご紹介

アジェンダ モバイルデバイス活用への課題 モバイルデバイス活用 モバイルデバイスのセキュリティ マイクロソフトのモバイルデバイス管理ソリューション

PowerPoint プレゼンテーション



統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

サブスクライバー / 署名者 Subscriber 側 ( アリス ) の要件 セキュアな署名 なりすましをいかに防ぐか 署名に使用する私有鍵をいかに保護私有鍵をいかに保護するか?? セキュアなハードウェアトークンなどが有効 セキュアな装置のセキュリティ基準 欧州の電子署名では SSCD (Secu

CA Single Sign-On r12 (12.8) ご紹介

The Microsoft Conference 2014 ROOM E

Windows Oracle -Web - Copyright Oracle Corporation Japan, All rights reserved.

CALスイートのご案内

Dec , IS p. 1/60

Recomot_splashtop_PR_ b.docx

‡Æ‡¤‡©‡¢34_

Windows PC/ BCP () PC (BYOD: Bring Your Own Device) Windows 8 2 Windows 8 Windows 8 Windows Windows 8 Windows 8 Windows 8 PC/ 2

D シンクライアントデバイス Wyse シリーズを利用した 仮想化環境での EVE MA 顔認証 指静脈認証の実現 株式会社ディー ディー エス 営業本部販売推進部営業技術課 1 Wyse シリーズとの連携デル株式会社が取り扱うシンクライアントデバイス Wyse シリーズ( 以下 Wys

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

ek-Bridge Ver.2.0 リリースについて

Dräger CSE Connect ???_ja

00Int01.qx

リスト型攻撃にどう対応する リスト型攻撃 リストに書かれたIDとパスワー ドのペアで様々なサイトに不不正アクセスを試み る 利利 用者は通常2,3個の パスワードを使い回 している 一つのサイトが破ら れると多くのサイト に影響がでる 2015/1/22号の日経コンピュータより - 2- Copyr

会社概要 サービスビジネス事業 一般企業および公共機関向けシステム サービス アプリ開発等 スマートデバイス活用 BCP 安否確認 ヘルスケア事業 エンタープライズ事業 帝人グループ 医療 / ヘルスケア領域向け IT サービス 大企業向け IT サービス : 企画 / 開発 / 運用 / 保守 基

IIS8でのクライアント証明書の設定方法

管理者ガイド

MPN 特典 社内使用ライセンスの有効化方法

PowerPoint プレゼンテーション

2012年 全体会議

OSSTechドキュメント

WTM2019SingleSignOn

WS_EOS_user_Web

CUBICS Learning

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

1 はじめに VPN 機能について Windows 端末の設定方法 VPN 設定手順 接続方法 ios 端末の設定方法 VPN 設定画面の呼び出し VPN に関する設定

Part 1 IT CPU IT IT 1998 Windows NT Server 4.0, Terminal Server Edition 1 Windows Based Terminal WBT Windows CE 1 100Mbps 1Gbps LAN OS 1 PC 1 OS 2

Transcription:

ROOM B

危険要因はどこにあるのか? 50% の企業がスマートフォーンによる BYOD を導入しようとしている * 61% の会社員が 1 つのデバイスをプライベートと業務に使用している ** >70% のネットワーク侵入が脆弱性や盗まれた認証情報によって実行されている *** * Gartner: Making Sense of Bring Your Own Device (BYOD) and Choose Your Own Device (CYOD) ** Forrester Research: BT Futures Report: Info workers will erase boundary between enterprise & consumer technologies, Feb. 21, 2013 *** Source Verizon 2013 data breach investigation report

Windows 10 ではパスワード無し運用が可能に パスワードは認証サーバーに送信される User ID/Password Token アタックを受けやすい! UserID Password PIN はローカル PC で使われる PIN Token Request Token UserID

Azure AD を数字で見てみよう 86% Fortune 500 社のうちマイクロソフトのクラウド (Azure, O365, CRM Online, Power BI) を使用している企業 1 兆サービスのリリース以降 こなしてきた認証数 Azure AD は >500 万の組織情報を管理している 5000 万 Office 365 の毎月のアクティブユーザー >50 億 Azure Active Directory に登録されているオブジェクト数 >10 億 Azure AD で毎日行われる認証の数 Office 365 や Microsoft Azure を利用している方は 知らない間に Azure Active Directory を使用しています!

ない

7:37 AM ドメインに参加している Windows デバイスを問わない

7:37 AM Kerberos チケット SAML トークン or アクセストークン

ID Pass TGT TGT TGT TGT TGT TGT

TGT TGT

SAML トークン or アクセストークン 7:37 AM

Active Directory ドメイン

http://myapps.microsoft.com/ Web page title https://webapps.microsoft.com/ ISV 様が自社開発 SaaS アプリをギャラリーに登録申請することもできます

SAML 対応アプリ アプリケーションのポータル ユーザーは サービスをクリッ クすれば SSO でアクセス可能 表示されるアプリは アクセス 権が与えられた もののみ Password を 入力するアプリ ID 同期 http://myapps.microsoft.com/ Web page title https://webapps.microsoft.com/ sign-in On-premise

ブラウザの専用アドイン ( マイクロソフト製 ) が パスワード入力を補助する アクセスパネルを経由しないと自動入力は不可 事前に ID とパスワードを設定 ( セルフサービス ) しておけば クリックだけで ID とパスワードを自動入力してくれる

Azure AD 側でアプリケーションにアクセス可能なユーザー ID を制限 ユーザー単位 グループ単位 ( 要 Azure AD Premium) アプリケーション単位 + グループ単位に 多要素認証の要否を設定可能

シングルサインオン URL アクセスパネルに登録したアプリケーション単位に SSO の URL を抜き出すことが可能 独自のポータルやデスクトップに URL を貼り付けられるので 毎回アクセスパネルを開く必要が無い https://myapps.microsoft.com/signin/facebook/09 a8533a84832fc98a5b7f567fa022e8 18

Sign-in to Application Sign-in to OS Sign-in to OS

WS-Federation フェデレーション信頼 ❹ アクセス パスワードはオンプレミスで管理 SAML トークン ❶ Sign-in Active Directory ドメイン

Sign-in to Application Sign-in to OS Sign-in to OS

ID / パスワード同期 複数の AD ドメインを Azure AD に集約できる 同期には Azure AD Connect ツール ( 無償 ) を使用 ID/Password 同期 ID のみ同期 フェデレーション信頼 22

Azure Active Directory の利用形態 Cloud Identity Synchronized Identity Federated Identity

一度ログオンすれば Azure AD のアプリケーションに SSO したい 一度ログオンすればオンプレミス AD のリソースにも SSO したい

Sign-in to Application 10 Sign-in to OS Sign-in to OS

Windows 10 は Active Directory ドメインまたは Azure AD テナントに参加できる 同時に参加することはできない グループポリシーの代わりに Microsoft Intune(MDM) でポリシー管理 セキュリティポリシー / アプリ配布 Intune Azure AD テナントにデバイス登録 Azure AD デバイス登録サービス (DRS) Azure AD

参加後の SSO の方式が大きく異なる AD Domain Join :Kerberos TGT Azure AD Join :Microsoft Passport セキュリティポリシーによるガバナンス AD Domain : グループポリシー Azure AD Join :MDM(Microsoft Intune)

TPM に格納したキーをベースに PRT( プライマリリフレッシュトークン ) を発行 PRT を Azure AD に提示すると アプリケーションにアクセスするためのアクセストークンを受け取ることができる ( クラウドレベルの Kerberos TGT) TPM からキーを取り出すには PIN の入力が必要 ハードウェア + PIN による認証 PIN 入力の代わりに Windows Hello( 生体認証 ) も利用可能 認証のためにパスワードは使用しない Windows 10 + Azure AD でサポート 独自開発で他のアイデンティティプロバイダーに対応することも可能 Windows 10 + Windows Server 2016 AD でサポート予定 TPM:Trusted Platform Module

のるしかない この BIG WAVE に! FIDO ALLIANCE By 2015, a large portion of Internet users will say goodbye to the old-school username and password in favor of methods such as biometrics and one-time secure keys, especially after the big players in the group begin to adopt the new standards. MICHAEL BARRETT, FIDO ALLIANCE PRESIDENT In 2015 it won t matter if hackers steal your password Source: http://www.marketwatch.com/story/in-2015-it-wont-matter-if-hackers-steal-your-password-2014-08-08

FIDO ALLIANCE Board level members

❺Key pair 生成 TPM Azure AD IdP Container ❻ 証明書署名要求 (CSR) ❼ 公開鍵証明書 Azure AD デバイス登録サービス (DRS) ❽ 登録完了

TPM Azure AD Sign-in Request ❹Request を公開鍵で確認し中身をチェック

Access to Application PRT( プライマリリフレッシュトークン ) を使用して アクセストークンを取得する ❶ アクセス ❺ アクセストークン送信 TPM ❷ トークン要求 Azure AD ❹ アクセストークン取得 ❸ プライマリリフレッシュトークン送信

Windows 10 とネイティブアプリケーション 通常 ネイティブアプリケーションは 隔離 されているため 他のアプリケーションとトークンを共有することができない Windows 10 ではネイティブアプリを Web Account Manager に対応させることで完全な SSO が可能 TPM Azure AD Native Application Web Account Manager Token Broker Token Broker plug-in Web Account Provider1 Token を持っていればそれを利用 持っていなければ要求

C#/JS ADAL.NET + Xamarin Apache Cordova Plugin for ADAL Web Account Manager Native ADAL Obj-C ADAL Android ADAL.NET ios Android

現時点では未提供 ADAL 対応アプリ間での SSO 多要素認証にも対応 Intune 連携によりデバイスの条件付きアクセスが可能

AD Domain Join グループポリシー ドメインに参加すると自動的に適用 従来通りの方法 きめの細かい管理 制御 Azure AD Join MDM(Microsoft Intune) Azure AD に参加すると自動的にエンロール モバイルデバイス / アプリケーション管理 グループポリシーほど設定項目はない

Windows Hello PIN 入力に代わるゼスチャー認証 生体を利用指紋 顔 光彩 顔の誤認識率 1/100,000 顔による認証失敗率 2-4% 赤外線センサーによる生体識別

Looking for you 18:00 Tuesday, May 26, 2015 12 13

Hello Junichi! 18:01 Tuesday, May 26, 2015 12 13

1. 2. 3. 4. 1. 2.

1. 2. 3. 4. 1. 2. 3.

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック