JNSA アイデンティティ管理 WG10 周年記念 企業及びクラウドにおけるアイデンティティ管理セミナー Active Directory 15 年の歩みとこれから 日本マイクロソフト株式会社 プリンシパルテクニカルエバンジェリスト安納順一 Junichi Anno 1
ざっくりと History 2000 年 Windows 2000 Server に Active Directory を実装 - Kerberos / LDAP / NTLM / NIS / Radius / 802.1x に対応 2005 年 Windows Server 2003 R2 に Federation Service 実装するも 市場からはほぼ無視状態 2008 年 Active Directory のブランディングを変更 AD Domain Services : ドメインコントローラー AD Lightweight Directory Services :LDAP AD Certificate Services : 証明書サービス AD Rights Management Services : 権限管理サービス AD Federation Services : フェデレーションサービス 2013 年 SaaS タイプの IdP(IDaaS)Azure Active Directory 登場 2015 年 Windows 10 で Azure AD Join をサポート 2
当初の Active Directory は中を守るもの Cloud Private Active Directory ドメイン Enterprise On-premise 3
2008 年 ~ 働き方の変化と Consumerization of IT の波 Cloud Private Active Directory ドメイン Enterprise 自宅出張先喫茶店海外 On-premise 4
Direct Access(Windows Server 2008)for Windows Client Always Connected な VPN PC 起動と同時に有効化 DA Client の活性化はセキュリティポリシーで制御 社内と社外とで使い方に違いを作らない 対象はドメインに参加している Windows 7 以降 Internet Perimeter Network Bitlocker 暗号化済デバイス DA Client DA Server アクセス権限チェック GPO Active Directory ドメイン Server Share https://server 5
クラウドとモバイルデバイスの登場 Cloud SaaS Private Active Directory ドメイン Enterprise 自宅出張先喫茶店 海外 On-premise 6
業務形態の見直し クラウドやモバイルデバイスの登場により 業務を広くとらえる必要が出てきた 従来の業務のとらえ方 誰が何を使ってどこからどのアプリでどのデータ SaaS Storage in Cloud 7
城下町 関所 8
関所となるセキュリティハブの必要性 Cloud SaaS Azure AD Private Active Directory ドメイン Enterprise 自宅出張先喫茶店 海外 On-premise 9
クラウドとオンプレミスのフェデレーション Azure Active Directory パブリッククラウド オンプレミス Azure MFA Identity Federation Active Directory ドメイン クラウドサービスに対する ID とアクセス制御 サービス間のシングルサインオン HTTP の世界 Kerberos の世界 パスワードの管理 オンプレミスの ID とアクセス制御 長年蓄積されたオンプレミスの IT ガバナンス Kerberos からクラウドへのチケット変換 10
ユーザーを中心としたデバイス アプリ データ防御 MAM MCM MDM Intune Azure Active Directory Azure MFA デバイス外データ暗号化 権限管理 Azure RMS Identity Federation Active Directory ドメイン 11
People-Centric IT ~ ID を中心とした多層防御 守るためには 対象の特定 が必要であり 合理的な特定には 関所 が必要 利用者 認証 デバイス ( ロケーション ) 認認可証 アプリケーション 認証 認可 データ 認可 Hybrid Active Directory 12
Identity is the Control Plane Cloud SaaS Private Active Directory ドメイン Enterprise 自宅出張先喫茶店 海外 On-premise 13
Identity is Control Plane 2015.11.25 版 BYOD/CYOD 社内業務 Azure IaaS VPN Active Directory IWA セキュリティポリシー SPNego OMA-DM アプリ配布 / 利用制限 KCD Proxy Connector オンプレミス Business Store Azure RMS 暗号化, 権限管理, 追跡 Kerberos ldap NTLM Group Policy ID Sync WS-Fed. SAML 2.0 アクセスパネル Intune Rights Management Domain Services Browser MDM/ MAM/ MCM ID 管理 ID 連携 SCIM 2.0 B2B 認証 監査ロク 解析シャト ウ IT 検出 Azure Machine Learning SSO アクセス制御特権 ID 管理 RBAC RBAC 業界標準プロトコルのサポート他社 SaaS との ID 連携 SAML 2.0 WS-Federation OpenID Connect OAuth 2.0 パスワード連携 Azure AD Join アクセス OK 多要素認証必須 アクセス不可 Subscription ID 同期 Microsoft Passport Windows 10 Windows Hello 14
( 参考 )Azure Active Directory 各エディションと Office 365 IAM の比較 2015.11.18 版 Common Features Premium+ Basic Features Premium Features Azure Active Directory Free Azure Active Directory Basic Azure Active Directory Premium ディレクトリサービス 500,000 Object Limit No Object Limit No Object Limit Office 365 IAM No Object limit for Office 365 user ユーザー / グループ管理 ( 追加 削除 更新 ) Yes Yes Yes Yes AADと統合されたアプリ (SaaS/LOB) 間の SSO( ユーザーあたり ) 10 apps per user 10 apps per user No Limit 10 apps per user ユーザーベースのアクセス管理 / プロビジョニング Yes Yes Yes Yes Azure AD Connect Yes Yes Yes Yes セキュリティレポート 3 Basic Reports 3 Basic Reports Advanced 3 Basic Reports B2B(Preview) Yes Yes Yes Yes B2C(Preview) Yes 別料金 Yes 別料金 Yes 別料金 ドメインサービス (Preview) Yes 別料金 Yes 別料金 Yes 別料金 グループベースのアクセス管理 / プロビジョニング Yes Yes ブランディング機能 (Logon Pages/Access Panel customization) Yes Yes Yes セルフサービスパスワードリセット Yes Yes アプリケーションプロキシー Yes Yes SLA Yes 99.9 Yes 99.9 Yes 99.9 Azure AD Connect 拡張属性 デバイス NGC の書き戻し Yes セルフサービスグループ管理 Yes パスワードのオンプレミスに書き戻し機能 Yes 高度なセキュリティレポート Yes 多要素認証プロバイダー ( クラウド & オンプレミス ) Yes Office 365 に制限 MIM CAL + MIM Server CAL 管理機能の委任 Cloud App Discovery Azure AD Connect Health 特権 ID 管理 2015 年 10 月 GA 済動的グループ管理 (Preview) アプリ追加のセルフサービス (Preview) 多要素認証と場所ベースのアクセスルール (Preview) SCIM 2.0(outbound : Azure AD External Store) Yes Yes Yes Yes Yes Yes Yes Yes Yes 15
主役は徐々に IDaaS へ Azure AD Join from Windows 10 Azure AD DRS( デバイス登録サービス ) Azure AD MFA( 多要素認証 )Provider Azure AD Domain Services Azure AD B2B Azure AD B2C Azure Application Proxy Azure AD RBAC for Azure Resource Manager Azure KeyVault 16
Azure AD Join Windows 10 は Azure Active Directory に参加できる Azure AD に参加すると Microsoft Passport が活性化し 以下のサービス間は完全な SSO Azure AD に関連付けられたサービス Web Account Manager に対応し Azure AD を使用する Windows 10 ネイティブアプリ Microsoft Intune を契約している場合 自動的にプロビジョニングされる 参加 SSO Windows 10 業務 Native Apps 17
Microsoft Passport パスワードではなく 署名付きサインイン要求を送付する PIN 入力 ******* 秘密キーを取り出し 署名 認証サーバー 要求送信 TPM に秘密キーを格納しておく サインイン要求 PRT 発行 18
Azure AD MFA 複数の電話番号設定可能 2 つ以上のオプションを設定することで 電話紛失等へのリスクを回避 オンプレミス AD からのキックも可能 公衆網 Internet モバイルアプリ Phone Call Instant Message(OTP) 通知 OTP PIN: 利用者が設定したコード OTP:MFA プロバイダーが生成したワンタイムパスワード ( 有効期間は規定で 60 秒 ) 入力ミスの最大回数を設定できる 123456# 987654 987654 987654 reply 認証拒否報告 タップ 123456 123456 認証拒否報告 987 654 #pond key PIN Code 987654 PIN Code 987654 Azure MFA Azure MFA + MFA Server 19
preview Azure Active Directory をドメインコントローラーとして使用する機能 正確には Azure AD テナントと同期するドメインコントローラーを Azure VNET 上に自動展開するサービス ( 注意 ) 複製方向は Azure AD ドメインコントローラー File Server 等 認証, アクセス制御 Kerberos ldap NTLM Group Policy ID/Password 同期 同期 Azure VNET VPN GW Federation 20
Traditional Modern Next Generation ID 登録 Identity Federation Identity Federation 信頼関係 21
Preview 異なる Azure AD テナント間で Identity Federation Azure AD のすべてのエディションで利用可能 Sync 2 承諾 1 招待 3 Federated Identity が作成される 4 アクセス 認証は自社のディレクトリ 22
Azure AD B2C preview B2C ローカルで認証 ソーシャル IdP で認証 Apps Preview 必要であれば追加認証 AAD MFA クレーム ( ユーザー属性 ) 現時点ではソーシャル IdP から取得するクレームを拡張することができないため B2C ディレクトリに属性を用意しておく必要がある 23
Azure AD アプリケーションプロキシ Azure AD Basic/Premium 必須 Azure MFA Azure Active Directory 事前認証 Azure AD Application Proxy オンプレミス Azure IaaS AWS IaaS 等 Azure Proxy Connector Connector をインストールしたサーバー (WS2012R2) がリバースプロキシーになる SPNego 代理認証 KCD HTTP/HTTPS 24
Azure Key Vault HSM as a Service( キーを管理するリージョンを指定できる ) Secret と Key の管理と使用状況のロギング Bring your own Key ACL 業務 業務データを暗号化 25
まとめ まずは Hybrid Active Directory から クラウドサービスは Azure AD に接続 Microsoft Intune と Azure RMS を加えて多層防御 5 年後は Azure AD を中心とした IDaaS の世界へ 26
27