ADセキュリティワ`クショップ WG試鷂 _及2指畠悶ミ`ティング
?
2 likes?1,050 views
及匯指 AAD BtoB 及屈指 Azure AD Connect によるパススル`J^
ADセキュリティワ`クショップ WG試鷂 _及2指畠悶ミ`ティング
- 2. 氏芙古勣 ‐芙 兆/ パ`ソルプロセスΕ謄ノロジ`幄塀氏芙 ‐芙T方/ 3166兆2017定4埖1晩r泣 ‐旗燕宀兆/ 旗燕函叨芙L L小 旋畔 ‐O 羨/ 1977定9埖孅才52定9埖24晩 ‐並I泣/ 奬始、鷲岬、|奨、鳥、兆硬塁、寄昜、牽、_I、 ベトナム┘フショア_kセンタ` ‐B亊並I/ 幄塀氏芙パ`ソルプロセスΕ謄ノロジ`ベトナム ┘哀踪`バルチ`ム侏オフショア_k
- 3. クラウドソリュ`ション何の麼なビジネス Microsoft のパブリッククラウドサ`ビスを試喘したクラウドインテグレ`ションサ`ビスの戻工 Enterprise Mobility + Security Microsoft 365
- 4. 芙翌クラウド噸式試 *Microsoft Azure 徭シリ`ズ 鵡P *Microsoft Azure 際際滷Share 鵡P *Microsoft Azure IaaSリファレンスア`キテクチャ 鵡P
- 5. 5 AD セキュリティワ`キンググル`プの函りMみ ‐函りMみ/ Windows Server2016Win10のJ^ ADとAADのハイブリッド撹と聞い蛍け AADによる訳周原きアクセス 莿彌眛 AAD B2B/B2C試喘g AAD DSの試喘g ‐撹惚鷂罅 Blog吉でd ‐試嚴l業/ 埖1指殻業の協箭氏
- 6. 6 爾海譴泙任離▲Ε肇廛奪硲 Azure AD B2B でかなえる M翌アカウントのIDマネジメント Azure AD Connectで Desktop SSOをやってみました
- 7. 7 Azure AD B2B でかなえる M翌アカウントのIDマネジメント http://idb.cloudsteady.jp/2017/11/09/azuread-b2b/
- 8. 8 AzureAD B2Bとはどのようなサ`ビスか 徭芙のAzureADのテナントに翌何の仝Mアカウント々もしくは仝Microsoftアカウント々を 孃棋するC嬬。 ユ`ザ`g了で佚mvSをYぶ碧Mみ
- 9. 9 ?eMユ`ザ`を徭芙システムへゲストユ`ザ`として孃棋 ?eMユ`ザ`をOffice365へゲストユ`ザ`として孃棋 ☆F彜はSPO/OneDriveの翌何慌嗤など匯何のみ B2Bの旋喘喘余
- 10. 10 B2Bのコスト ?Freeプランから聞える。 ?圷テナントユ`ザ`1繁1AADライセンスにつきゲスト5ユ`ザ`まで孃棋辛嬬。 ?圷テナントで隠嗤しているAADライセンスによってゲストに戻工できるC嬬も笋錣 o創 Basic Premium P1 Premium P2 ☆歌深 AADエディション https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
- 11. 11 B2Bライセンス軆
- 12. 12 B2B深賀 ? ‐ゲスト箸寮泣/ ? ゲストユ`ザ`がO365などAzureADを旋喘しているユ`ザ`であれば、 噸粁旋喘しているIDとパスワ`ドでJ^できるため掲械に宴旋。 ? ‐徭芙箸寮泣/ ? ゲストユ`ザ`を徭芙のAADに鞠hする駅勣がないので音喘な砿尖がない。 ? AAD PremiumのC嬬をゲストユ`ザ`にもm喘したい栽に、 ライセンスの弖紗澓をしなくてもm喘できる。
- 17. 17 Azure AD Connectで Desktop SSOをやってみました http://idb.cloudsteady.jp/2017/11/29/azure-ad-connect-によるパススル`J^/
- 18. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.18
- 19. これまでのDesktop SSOのおさらい??? 19 サ`ドパ`ティu瞳 ? SAML/OpenIDConnect /Oauth/Kerberos ? e余ライセンス創k伏 ? エ`ジェントが駅勣 ? デバイスによるアクセス崙囮 HDE One、One Login´etc ADFS ? SAML/OAuth/WS-F/ ? WAP/ADFS/ADとサ` バ`が}方岬駅勣 ? ^苧が駅勣 ? Edge/IE參翌も聞える PassportJ^ ┌ADFS ? PassportJ^ ? Windows 10と Windows2016が駅勣 ? ブラウザがEdge/IEのみ ? Windows Hello for Businness AADConnect (PHS+SSO/PTA+SSO) ? y栽WindowsJ^ Kerberos ? Windows 7/8/10 ? エ`ジェントレス ? Edge/IE參翌も聞える NEW コスト弌 g 症OS コスト互 }j 恷仟OS浙
- 20. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved. AzureAD AADConnect 揖豚 AD ST ST AzureADのコンピュ`タアカウント ST勣箔 ∠ ⊥ UPN秘薦 SSOドメインとJR、ADにST勣箔 アクセスト`クン ⌒ AADConnectによるSSOの碧Mみ KerberosのSTを 聞喘できる
- 21. パスワ`ド揖豚圭塀sSSO PHS:Password Hash Sync Azure AD AAD Connect パススル`圭塀sSSO PTA: Pass-Through Authentication フェデレ`ション圭塀 ADFS:Active Directory Federation Services オンプレミス AD WindowsJ^ リモ`トPC 芙坪PC 揖 豚 揖 豚 AAD Connect オンプレミス AD WindowsJ^ 芙坪PC Web Application Proxy AD FS ^苧佚m B亊O協 揖 豚 揖 豚 PHS 揖 豚 AAD Connect オンプレミス AD WindowsJ^ 芙坪PC 揖 豚 揖 豚 パ ス ス ル ` クラウドアプリケ`ション クラウドアプリケ`ション クラウドアプリケ`ション リダイレクト Azure AD Azure AD PHS 揖 豚 リモ`トPC リモ`トPC Kerberosチケット /アクセスト`クン B亊 B亊 B亊 Microsoft Azure Kerberosチケット /アクセスト`クン Microsoft Azure Microsoft Azure Kerberosチケット /アクセスト`クン sSSOJ^ sSSOJ^ PHSJ^ PTAJ^ AD FSJ^ AD FSJ^ これまでのJ^圭塀のおさらい??? NEW
- 22. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.23 AADConnectによるPTAの碧Mみ キュ`でやり函り
- 23. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.24 パススル`J^/SSOの恬り圭???
- 24. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.25 ☆廣吭泣 パススル`にしても揖豚にチェックが 秘ってしまうのではずしましょう´ パススル`J^/SSOの恬り圭???(Aき)
- 25. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.26 イントラネットゾ`ンに參和URL弖紗 https://autologon.microsoftazuread-sso.com https://aadg.windows.net.nsatc.net SSOJ^でクライアント箸鳳慴なO協??
- 26. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.28
- 27. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.29
- 28. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.30 AZUREADSSOACCという兆念のコ ンピュ`タ`オブジェクト鬚韻STが k佩されている
- 29. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.31 肝、辛喘來の???
- 30. 32 Azure AD J^ AAD Connect AuthN Agent パ ス ス ル ` デ ィ レ ク ト リ 揖 豚 AAD Connect AuthN Agent Active Directory Azure AD J^ AAD Connect AuthN Agent パ ス ス ル ` デ ィ レ ク ト リ 揖 豚 AAD Connect AuthN Agent Active Directory PTAの庇L來について AAD AuthN Agent だけ インスト`ル?O協する
- 31. ?2017 Intelligence Business Solutions ,Ltd. All Rights Reserved.33 Azure AD パススル`J^の2岬朕の恬り圭???
- 32. 34 璽僖好好覃`J^を聞喘する麼なメリット ? クラウドアプリケ`ションにオンプレミスのADと揖じパスワ`ドでサインインできる ? パスワ`ドポリシ`はオンプレミスADでy匯できる ? X楚のエ`ジェントをインスト`ルするだけでOK ? パスワ`ドはクラウドに隠贋されない ? エ`ジェントはオンプレミス坪何からの僕佚圭鬚僚咯Aのみ。DMZ音勣 FW勣周もXpできる ? 訳周原きアクセスなど、AzureADのアクセスポリシ`による隠oが辛嬬になる まとめ
- 33. まとめ ? SSOしたいだけであれば、AADConnect のSSOのxkはあり。 ? 二Iのセキュリティ勣周や奉來による互業な訳周アクセスが駅勣な栽は、 ADFSやサ`ドパ`ティuSSOを篇 ? AADConnect(揖豚/SSO)+Intune?AAD┘妊丱ぅ講酉?砿尖 AzureAppProxy┘ンプレアプリ巷_のようなAzureだけのMみ栽わせが お人へのV箔ポイントになるのでは。 35 セキュリティ勣周SSO