自己紹介 スライドは こちら からダウンロード 株式会社ソフィアネットワーク所属 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~

Similar documents
_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

YCU メール多要素認証の設定方法 ( 学生向け推奨マニュアル ) 2019 年 3 月 横浜市立大学 ICT 推進課 1

FUJITSU Cloud Service K5 認証サービス サービス仕様書

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

学認とOffice 365 の 認証連携

SeciossLink クイックスタートガイド(Office365編)

著作権 このドキュメントに記載されている情報 URL 等のインターネット Web サイトに関する情報を含む は 将来予告なしに変 更することがあります 別途記載されていない場合 このソフトウェアおよび関連するドキュメントで使用している会社 組 織 製品 ドメイン名 電子メール アドレス ロゴ 人物

スライド 1

Microsoft PowerPoint - Skype for business の概要.pptx

PowerPoint プレゼンテーション

改善のための要件 : ソリューション Azure Active Directory (AD) Premium で複数のクラウドと社内の ID を統合 EMS は Azure AD Premium を包含 Office 365 などの SaaS アプリや社内アプリをシングルサインオンで利用可能 Off

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

2015 Microsoft Corporation. All rights reserved 1 Office 365 / モバイル活用を促進させる最新のクラウド管理ソリューション 日本マイクロソフト株式会社

PowerPoint Presentation

MPN 特典 社内使用ライセンスの有効化方法

目次 1. ユーザー登録 ( 初期セットアップ ) を行う Office365 の基本的な動作を確認する... 6 Office365 にログインする ( サインイン )... 6 Office365 からサインアウトする ( ログアウト )... 6 パスワードを変更する... 7

PowerPoint プレゼンテーション

POWER EGG 3.0 Office365連携

既存のどの SIEM にでも再考察し 2 要素認証を含めることができます Rohos Logon Key は 良く知られていて安全なワンタイムパスワード (OTP) 認証技術を使用して Windo ws Remote Desktop へのアクセスを許可します 脆弱なパスワードによるログインに変わるも

<4D F736F F D F91CE899E5F8BA492CA4F ED2837D836A B5F F8D8296D88F4390B32E646F6378>

Office 365監査ログ連携機能アクティブ化手順書

NTTコミュニケーションズ Office 365

Active Directory フェデレーションサービスとの認証連携

Microsoft Enterprise Mobility License

WP-Swivel-Multifactor-Authentication-JP indd

目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

Office 365 管理の 効率的なツールキット 文書番号 ZJTM 発行日 2018 年 12 月 28 日 0

著作権 このドキュメントに記載されている情報 (URL 等のインターネット Web サイトに関する情報を含む ) は 将来予告なしに変 更することがあります 別途記載されていない場合 このソフトウェアおよび関連するドキュメントで使用している会社 組 織 製品 ドメイン名 電子メールアドレス ロゴ 人

PowerPoint プレゼンテーション

Microsoft Azure 基礎 : Azure ID - 実践演習 概要 このコースにはオプションの実習が含まれ コースで実演されたテクニックをご自分でお試しいただくことができ ます このガイドには 個々の実習の手順が示されています 開始の詳細については コースの実習 > 概要ページをご参照く

PowerPoint Presentation

PowerPoint プレゼンテーション

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

Microsoft Word - office365利用手順書.doc

Microsoft PowerPoint - Skype for business プラン2 .pptx

Microsoft 365 説明書別紙 ソフトバンク

PowerPoint プレゼンテーション

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

HP Touchpoint Manager Windows 10 Mobile 登録手順

jp-tax-mfa_guide

会社概要 サービスビジネス事業 一般企業および公共機関向けシステム サービス アプリ開発等 スマートデバイス活用 BCP 安否確認 ヘルスケア事業 エンタープライズ事業 帝人グループ 医療 / ヘルスケア領域向け IT サービス 大企業向け IT サービス : 企画 / 開発 / 運用 / 保守 基

Netscaler_as_ADFS_Proxy

V-CUBE One

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

The Microsoft Conference 2014 インフラストラクチャーを正しく移行するために知っておきたい 10 のテクノロジー ROOMB

PowerPoint Presentation

1. Office365 ProPlus アプリケーションから利用する方法 (Windows / Mac) この方法では Office365 ProPlus アプリケーションで ファイルの保管先として OneDrive を指定することができます Office365 ProPlus アプリケーションで

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

ZoomMeeting_BusinessEnterpriseユーザーマニュアル(Android編)

OneDrive for Businessのご紹介

ハイブリッド デバイス管理 ~Microsoft Intune~

PowerPoint プレゼンテーション

ESET NOD32 アンチウイルス 6 リリースノート

一般法人向け Office 365 の紹介 Office 2007 がデスクトップアプリケーションのスイートであるように 法人向けサブスクリプションの Office 365 は 最新バージョンの Office デスクトップアプリケーションを含む 強力なオンラインサービスを提供するスイートです Off

PowerPoint Presentation

AXシリーズとSafeNetの相互接続評価

Office 365 ProPlus の利用について ( 学生 教員共通 ) 目次 1. はじめに 利用対象者 利用できる機器 台数 ソフトウェア 利用前の準備 ( またはパスワードを忘れた時 ) インストールとライセンス認証の手順..

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

一般に メールを送信する時は 25 番ポートを使用して SMTP サーバーに接続し メールを送信します このとき SMTP サーバーは メールアカウント メールパスワード等を確認せずに メールを送信します SPAM と呼ばれる 無作為に送信される広告メール 迷惑メールは この仕組みを利用しており 迷

Microsoft Active Directory用およびMicrosoft Exchange用Oracle Identity Connector

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

本書はクラウド型 Dynamics CRM Online に基づいておりますが 設置型の Dynamics CRM 2013 についてもほぼすべての内容が適用できます 本書は 2013 年 10 月執筆時点での Dynamics CRM Online 製品リリース版に基づ いており 機能強化などによ

マイクロソフト IT アカデミー E ラーニングセントラル簡単マニュアル ( 管理者用 ) 2014 年 11 月

目次 ReadMe OneNote の活用 OneNote のさまざまな利用シーン 組織 会社レベルでの利用 部門 チームレベルでの利用 個人レベルでの利用 Office

目次 1. 画面構成 2. ライセンス登録 3. インストール 4. バックアップ方法 5. バッチバックアップ方法 6. 終了方法 7. アンインストール 8. 注意事項 2

1 POP 系の設定 重要事項 Windows10 のメールアプリで CCNet のメールを利用する場合 以下の点にご注意ください Windows 10 に標準でインストールされている メール アプリは 弊社のメール方式 (POP) に対応はしておりますが 本マニュアル制作時点 ( バージョン 17

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

Microsoft 365 Business 中小企業のお客様に最適な 統合ソリューション 日本マイクロソフト株式会社

Microsoft PowerPoint - Office365移行マニュアル.pptx

IT ライブラリー (pdf 100 冊 ) Google Apps と Office 365 の違いにつきまして ( 第二章 ) 一般社団法人情報処理学会正会員腰山信一 1

HP Elite x3活用事例紹介

Modern workplace protected by Enterprise Security

プロアクシアコンサルティング株式会社 Outlook アドインマニュアル Office365 社外メール送信警告 & 添付ファイル暗号化アドイン (WEB 版 )V1.3.2 内容 添付ファイルの暗号化... 2 パスワード通知メールの送信... 8 社外メール送信時の警告 デスクトップ

アカウント管理システム基本設計書

The Microsoft Conference 2014 MN-212 ROOM D

1. Android 携帯電話またはタブレットの設定 この資料では Android 環境を使用して説明しています ご利用になられる OS によっては表示 等が異なる場合があります ご了承ください Android 端末で利用できる Office365 メールの機能は設定方法によって異なりま

自己紹介 Copyright (c) NPO 日本ネットワークセキュリティ協会 Page 2

AvePoint Perimeter Release Notes

UNOご利用開始までの流れ UNOをご利用開始頂くには下記ステップを実施する必要がございます 次ページ以降のスライドにて詳細の手順をご説明致します ①CloudGate UNO開通 ②セキュリティプロファイル見直し ①UNOリリース作業 (ISR作業) お申込頂いてから3 5営業日後の納品が可能です

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

UsageGuidewithAD_

2015 年 2 月 ボリュームライセンスサービスセンターで Online Service をアクティブ化する Open プログラムのお客様は VLSC の新しい [Online Service のアクティブ化 ] セクションのシンプルなプロセスに従って マイクロソフトボリュームライセンスサービスセ

ウィルス対策 セキュリティ対策ソフト SaAT Netizen( サート ネチズン ) ネットバンキング攻撃型ウィルスに強い!! 市販のセキュリティ対策ソフトと併用が可能!! パソコン起動とともに最新の状態に自動更新!! ページ目にお進みください 不正アクセス対策 ワンタイムパスワード (OTP)

Microsoft PowerPoint - SharePointの管理.pptx

Microsoft Word - JAFZ01)[Office365]OneDrive_for_Business利用手順.docx

目次 1. 画面構成 2. ライセンス登録 3. インストール 4. バックアップ方法 5. バッチバックアップ方法 6. 終了方法 7. アンインストール 8. 注意事項 2

ESET Mobile Security V4.1 リリースノート (Build )

Insert VERITAS™ FAQ Title Here

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

1 はじめに はじめに 制限事項 注意事項 お問い合わせ窓口 メールの利用 ( ブラウザを利用 ) OUTLOOK WEB APP への接続方法 EXCHANGE ONLINE の画面構成...

Microsoft Word - Office365マニュアル_教職員向け.docx

2014 年 11 月 ボリュームライセンスサービスセンターで Online Service をアクティブ化する Open プログラムのお客様は VLSC の新しい [Online Service のアクティブ化 ] セクションのシンプルなプロセスに従って マイクロソフトボリュームライセンスサービス

1

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

目次 1 はじめに 基本的な仕組み セットアップ方法 発行する サイトコンテンツに追加する 使い方 初期画面 申請タイプ定義の管理 登録と編集 添付ファイル..



10 完了 をクリック 13 このサーバーは認証が必要 をチェックして 設定 をクリック Windows メール Windows Vista に標準のメールソフト Windows メール の設定方法を説明します 1 スタート から 電子メール Windows メール をクリック 11 続いて設定ファ

Transcription:

Office 365 のための多要素認証 ~ 安全に Office 365 にアクセスする方法 株式会社ソフィアネットワーク 国井傑 ( くにいすぐる ) スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/

自己紹介 スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/ 株式会社ソフィアネットワーク所属 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~) 連載 ~ 基礎から分かる Active Directory 再入門ブログ Always on the clock @sophiakunii 2

ADFS トレーニングコースがリニューアルします! ニーズに合わせて 2 つのコースをご提供! Office 365 ユーザー認証ベストプラクティス (2 日コース ) Microsoft Azure を活用した ADFS 構築 (1 日コース ) こんな人におすすめです テスト環境を用意するだけでも大変なので 手っ取り早く学習したい 今はとりあえず ADFS が動いているけど トラブルが起きたらどうしよう クラウド連携の案件で先行者利益を取りたい! 詳しくはクリエ イルミネート Web サイトでご確認ください http://www.crie-illuminate.jp 3

こんな人に聞いてもらいたい スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/ 多要素認証って なんだかわからないけど とにかくサインインの安全性を高めたい人 多要素認証の実装を検討している人 4

これからお話しすること スライドは こちら からダウンロード http://www.slideshare.net/sugurukunii/ 1. 多要素認証とは? 2. Azure Active Directory の多要素認証 3. ADFS の多要素認証 5

多要素認証とは? 6

ユーザー名とパスワードだけでは もう限界 誰でも知ることができる情報だけでは 不正アクセスの可能性がある 7

Office 365 への不正アクセスの可能性を考えてみる 8

多要素認証とは 複数の要素を利用して本人確認(認証)を行うこと 認証に使われる 要素 1要素目 = ユーザー名/パスワード (知っていることを前提とした認証) 2要素目 = 電話 メール OTPデバイスなど (所有していることを前提とした認証) + 9

Office 365 の多要素認証 Office 365 では以下の方法による多要素認証をサポート 10

多要素認証.. その前に ~ Office 365 の認証方法 クラウドの ID で認証 クラウド ID オンプレとクラウドで同じ ID ディレクトリとパスワードの同期 オンプレ ID をクラウドと連携 ID 連携 11

参考 Azure Active Directory(AAD) とは? AADとは マイクロソフトが提供するクラウドサービスの認証 / 承認で利用するディレクトリサービス Office 365 Windows Intune Dynamics CRM Online Microsoft AzureのサインインにはMicrosoftアカウントを使用しているが Microsoft Azureの管理ポータルからAADを管理できる 12

Office 365 のユーザー管理には AAD を利用している 13

Azure Active Directory の多要素認証 14

AAD の多要素認証 ユーザー単位で多要素認証の強制 有効 無効を設定可能 管理者は多要素認証の有効化を設定 ユーザーは初回サインイン時に利用する認証方法を選択 多要素認証に使用できる認証方法 電話 ( 通話 ) 電話 (SMS) モバイルアプリ 15

モバイルアプリケーションによる多要素認証 スマートフォン用アプリとして提供されているMulti-Factor Authentication (Phone Factor, Inc) を利用する 初期設定方法 モバイルアプリからOffice 365の多要素認証を使う (always on the clock) 16

Office 365 にアクセスするアプリケーションの多要素認証対応 アプリケーション認証の第 1 要素認証の第 2 要素 ブラウザー Outlook Word/Excel/PowerPoint Lyncクライアント Exchange ActiveSync ( スマートフォン / タブレットからのアクセス ) OneDrive Pro アプリケーション Office365 に登録したユーザー名とパスワード Office365 に登録したユーザー名とアプリケーションパスワード Office365に登録したユーザー名とアプリケーションパスワード Office365に登録したユーザー名とアプリケーションパスワード 多要素認証の設定で定義した認証要素 電話 モバイルアプリケーション 多要素認証に切り替えても OneDrive Pro アプリケーションからパスワード変更を要求することはなく Office アプリケーションにおけるサインイン設定をそのまま引き継ぐと思われる ( 私の環境では アプリケーションパスワードを設定しなければ同期は保留のままとなっていました ) 17

アプリケーションパスワード 多要素認証に対応していないアプリケーション用に アプリケーションパスワード と呼ばれる 自動生成のパスワードを用意 アプリケーションパスワードの生成は一度限りで 忘れたら再生成が必要 複数のアプリケーションパスワードの生成が可能 アプリケーション種類やデバイス種類に合わせて複数のアプリケーションパスワードを生成しておき アプリケーションの不正利用やデバイス紛失などが発覚した場合にはアプリケーションパスワードを削除する運用が可能 18

アプリケーションパスワードの設定 初期セットアップ後のアプリケーションパスワード設定 https://account.activedirectory.windowsazure.com/proofup.aspx 19

ADFS の多要素認証 20

ADFS ~ クラウドとの信頼関係 クラウドはドメインに参加していないので 別途サインインが必要 Active Directory フェデレーションサービス (ADFS) を活用すれば クラウドを 1 回のサインインでアクセスできる範囲 にできる

ADFS経由のOffice 365アクセス (社内ブラウザー編) クライアント 認証サーバー ADFS サーバー AAD Office365 ①Office 365 サイトで認証を要求 ②認証先の指定 ここで多要素認証を実装 ③認証 トークンの発行 ④AADにアクセスし 認証トークンをもとに認可を実施 ⑤AADで発行された認可トークンを利用してサインイン 22

ADFS経由のOffice 365アクセス (社外ブラウザー編) 認証サーバー ADFS サーバー ADFS プロキシ クライアント AAD ①Office 365 サイトで認証を要求 ②認証先の指定 ここで多要素認証を実装 ③認証ページへリダイレクト ④認証 トークンの発行 ⑤AADにアクセスし 認証トークンをもとに認可を実施 ⑥AADで発行された認可トークンを利用してサインイン 23 Office365

ADFS の多要素認証 様々な単位で多要素認証の有効 無効を設定可能 ADFS を利用する すべてのユーザー Office365 を利用する すべてのユーザー Domain Users に所属するユーザーのみ など条件式自体を管理者が定義できるので 自由に多要素認証を利用するユーザーを指定可能実装方法 ADFS+Office365 でブラウザーアクセスのみ多要素認証を設定 (Always on the clock) ADFS の管理者が多要素認証の有効化と認証方法を設定 多要素認証には様々な認証方法を実装可能だが 既定では証明書による認証のみをサポート 24

多要素認証で利用可能な認証方法を追加する 認証方法の追加 Microsoft Azure Multi-Factor Authentication の利用 Microsoft.IdentityServer.web.dll ファイルのカスタマイズ参考 カスタム多要素認証プロバイダーの作成 ( 概要のみ ) (Always on the clock) 25

Microsoft Azure Multi-Factor Authentication AAD の有償オプションとして用意された多要素認証機能 26 サポートされる認証方法 電話 テキストメッセージ (SMS) モバイルアプリ (Phone Factor, Inc) OAUTH トークン ( サードパーティの OTP デバイスを利用 ) AAD 自体の多要素認証との違い 多要素認証プロバイダー という名称で機能を提供 レポート機能の提供 ワンタイムバイパスによる多要素認証を一時的に使わない設定 音声メッセージのカスタマイズなど

Microsoft Azure Multi-Factor Authentication 利用開始方法 1. Azure 管理ポータルから新規または既存の AAD テナントを登録 2. Azure 管理ポータルから多要素認証プロバイダーを登録 3. Azure 管理ポータルから多要素認証プロバイダーポータルにアクセス 27

Azure Multi-Factor Authentication アプリケーション Azure 管理ポータルから提供される ADFS の多要素認証をカスタマイズするアプリケーション 参考 Windows Azure Multi-Factor Authentication を利用した ADFS の多要素認証の設定 28

ADFS経由のOffice 365アクセス (リッチクライアント編) 認証サーバー ADFS サーバー ADFS プロキシ どこで多要素認証を実装 クライアント AAD ①ユーザー名/パスワードをもってサービスへアクセス ②認証先の指定 ③認証要求をリダイレクト ④認証 トークンの発行 ⑤AADにアクセスし 認証トークンをもとに認可を実施 ⑥AADで発行された認可トークンを利用してサインイン 29 Office365

多要素認証利用のためのアクセス制御設定 Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定基本的な構文 条件 => 処理 条件部分の書き方 Exists([Type==, Value== ]) c:[type==, Value== ] ここでの 処理 とは 多要素認証を行いなさい ということ issue(type = http://schemas.microsoft.com/ws/2008/06/identity/ claims/authenticationmethod, Value = http://schemas.microsoft.com/claims/multipleauthn ); 30

多要素認証利用のためのアクセス制御設定 条件のシナリオ 1: 社内ネットワークからブラウザーでアクセスした場合 exists([type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) 条件のシナリオ 2 : Workplace Join によるデバイス認証をしていない場合 c:[type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser", Value == "false"] NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser"]) 31

多要素認証利用のためのアクセス制御設定 条件のシナリオ 1 の場合における アクセス制御設定の全文 exists([type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) => issue(type = http://schemas.microsoft.com/ws/2008/06/ identity/claims/authenticationmethod, Value = http://schemas.microsoft.com/claims/multipleauthn ); 32

まとめ Azure Active Directory ADFS 多要素認証の有効化管理者が定義管理者が定義 多要素認証を利用する条件ユーザー単位で定義 ADFS の設定で細かく条件指定が可能 多要素認証に使用する認証方法 電話 SMS モバイルアプリ 証明書 ( 既定の方法 ) 電話 SMS モバイルアプリ (Azure MFA 1) カスタム 認証ログ Azureポータルで確認 2 ブラウザー以外での多要素認証 ( アプリケーションパスワードで対応 ) 3 1 電話 SMS モバイルアプリによる多要素認証は AAD プレミアムの機能として提供 2 有償サービスにて提供 イベントビューアから概要を確認することも可能 3 ブラウザー以外では多要素認証を使わないようにすることで対応が可能 ただし 利用できるとの情報も?? 33

Azure 多要素認証 (MFA) vs Office 365 多要素認証 Office 365 MFA Microsoft Azure MFA 管理者はエンドユーザーに対して MFA を有効化 / 強制可能 あり あり 第 2 認証要素としてモバイルアプリ ( オンラインおよび OTP) を使用 あり あり 第 2 認証要素として電話を使用 あり あり 第 2 認証要素として SMS を使用 あり あり ブラウザー以外のクライアント (Outlook Lync など ) のアプリケーションパスワード あり あり 認証の電話の際の Microsoft の既定案内応答 あり あり 認証の電話の際のカスタムの案内応答 あり 不正の警告 あり MFA SDK あり セキュリティレポート あり オンプレミスアプリケーション /MFA Server の MFA あり 1 回限りのバイパス あり ユーザーのブロック / ブロック解除 あり 認証用の電話のカスタマイズ可能な発信者 ID あり イベントの確認 あり

Office 365 サインイン関連の今後 ディレクトリ同期 (DirSync) ツールの他に AADSync ツールが提供予定 ADとの双方向同期 パスワードリセット マルチフォレストでのAADとの同期 Outlook 等アプリケーションからのサインインはパッシブプロファイルによる認証となるため アプリケーションからのサインインにも多要素認証が利用できる ( と思われる ) 35

We don t even have to try, It s always a good time. 36 from good time by owl city & carly rae jepsen

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック