20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
0 likes118 views
Azure AD update presentation at De:code 2019
20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ
- 1. Ask the Speaker 写真撮影 動画撮影 セッション資料 後日公開 Twitter ハッシュタグ SE82 20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ マイクロソフトコーポレーション Program Manager, Identity Division 兒玉 雄介 #decode19 #SE03
- 2. de:code 2019 SE82 20 分で理解する Azure Active Directory 最新アップデートと利活用シナリオ マイクロソフトコーポレーション Program Manager, Identity Division 兒玉 雄介
- 4. パスワード系のネタ
- 5. パスワードの課題 すぐ漏れること 推測しやすいパスワード “情報漏洩の 81% は脆弱なパスワードや盗難されたパスワードにより発生” “多要素認証を用いることでそのうちの 99.9% を回避できる”
- 6. パスワードの課題 すぐ漏れること 推測しやすいパスワード “情報漏洩の 81% は脆弱なパスワードや盗難されたパスワードにより発生” “多要素認証を用いることでそのうちの 99.9% を回避できる”
- 7. Microsoft はパスワードレス推し Aka.ms/GoPasswordLess セキュリティ 高 セキュリティ 低 利便性 低 パスワード パスワード + 多要素 パスワードレス認証 利便性 高
- 8. パスワードレス施策の選択肢 Windows Hello for Business 導入事例多数、ドキュメントも充実 FIDO2 Private Preview 実施中 Microsoft Authenticator App Public Preview、いますぐ試せるオプション
- 9. PasswordLess Phone Sign In パスワードの代わりに Microsoft Authenticator を利用 メリット ? エンドユーザー利便性の向上 ? フィッシング被害を防止 ポイント ? 有効化後、フェデレーションサービスはバイパスされる ? 利用するデバイスは Azure AD への登録が必須 ? 将来的にはユーザーごとに認証方式を選べるようになる Microsoft のパスワードレス戦略とは? Announcement on EMS blog Password-less phone sign-in with the Microsoft Authenticator app (public preview)
- 10. PasswordLess Phone Sign In
- 11. Conditional Registration セキュリティ情報の登録を条件付きアクセスの対象に メリット ? ハッカーに MFA を登録されてしまう、という問題に対応 ? 社内ネットワーク、管理されたデバイスに登録を制限 ポイント ? MFA/SSPR 統合登録エンドポイントに対して有効 Combined registration experience for MFA and SSPR Announcement on EMS blog
- 13. Password Protection 推測しやすい (脆弱な) パスワードを設定させない機能 メリット ? Azure AD 上では危ないパスワードはデフォルトでブロック ? 組織固有の禁止リストを作成 (Microsoft, Japan など) ? オンプレミス AD でのパスワード変更にも適用可能 GA announcement in EMS Blog Eliminate bad passwords in your organization Password Protection のオンプレ AD への適用 ポイント ? 監視モードでまずは情報収集を
- 15. パスワード系のネタ - Call to Action Password-Less Phone Sign In のテストを開始 多要素認証の展開を直ちに開始 Password Protection を監視モードで導入
- 16. 権限ライフサイクル系のネタ
- 18. Announcement in EMS Blog ユーザーが、正しいリソースに正しい期間アクセスする ライフサイクル管理機能 メリット ? 権限の付与~剥奪までのライフサイクルを自動化 ? ビジネスパートナーによる自組織のリソース利用のリクエス ト/承認フレームワークを提供 ポイント ? 権限が必要な期間が終わったら、ゲストアカウントは消 える
- 19. SPO サイト グループ アプリケーション プロジェクト A のメンバー に必要な権限セット 権限セット 人事部門社員に必要な 権限セット ? 対象の権限を一気に付与?削除 ? 利用期間を指定 ? 期間終了時、ゲストを消す設定も Contoso User 1 User 2 User 3 Litware (ゲスト) Litware user 1 Litware user 2 Litware user 3
- 20. Access Reviews 現在ついている権限が今現在も必要なものなのか 棚卸をシステム上で行う機能 Azure AD Access Reviews メリット ? これまで Excel でやっていた権限棚卸業務をシステム化 ? ゲストユーザーのみを対象としたレビューが可能 ポイント ? 対象はグループ、アプリケーション、ロール ? レビュー者によるレビューと、セルフレビューが選べる
- 22. 権限ライフサイクル系のネタ - Call to Action Azure AD Premium P2 Trial を有効化 aka.ms/EMSTrial Entitlement Management トライアル利用開始 Access Reviews を実施 (ゲストのみでも!)
- 23. 外部ユーザー共有系のネタ
- 24. Azure AD B2B の課題 (ログイン関連) パートナー企業と B2B で連携したい、でも Azure AD に招待したい人のアカウントがない B2B 招待してもログインアカウントがないので使えません (でした!) そもそも Azure AD を利用していない 悪の非管理テナントが作られてしまう (少し前までは!) 組織アカウントをもっていない Microsoft Account 作ってもらうしかない (少し前までは!)
- 26. Azure AD に Google ID でログイン メリット Announcement on EMS blog Add Google as an identity provider for B2B guest users ポイント comtest@gmail.comcomtest@gmail.com
- 27. メールへ送付されるパスコードの入力でログイン完了 メリット Announcement on EMS blog Email one-time passcode authentication ポイント
- 29. 外部ユーザー共有系のネタ – Call to Action Google Federation を有効化 Mail based OTP を有効化
- 30. 新しいプロビジョニングの话
- 31. Azure AD をプロビジョニングの中心に Microsoft cloud apps SaaS On-premises apps On-premises HR Cloud HR External identities On-premises identities Azure Active Directory
- 32. 既存の AD 連携のチャレンジ オンプレミス Azure AD Connect での集中管理 DC への通信 高可用性、災対 グローバル組織での管理分権
- 33. Azure Active Directory オンプレ AD 既存の AD 連携のチャレンジ オンプレミス Azure AD Connect での集中管理 DC への通信 高可用性、災対 グローバル組織での管理分権
- 36. Azure AD 開発チームの Webinar もチェック! aka.ms/AzureADWebinar
- 37. ? 2018 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。 ? 2019 Microsoft Corporation. All rights reserved. 本情報の内容 (添付文書、リンク先などを含む) は、de:code 2019 開催日 (2019年5月29~30日) 時点のものであり、予告なく変更される場合があります。 本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。