础顿贵厂+翱蹿蹿颈肠别365によるセキュリティ强化~デバイス?多要素认証
?
10 likes?5,699 views
2014年6月28日勉強会資料 ADFS+Office365によるセキュリティ強化~デバイス認証?多要素認証編
![多要素認証利用のためのアクセス制御設定
? Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定
? 基本的な構文
?条件=>処理
?条件部分の書き方
?ここでの「処理」とは「多要素認証を行いなさい」ということ
Copyright 2014 Sophia Network Ltd.17
issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/
claims/authenticationmethod”,
Value = “http://schemas.microsoft.com/claims/multipleauthn”);
Exists([Type==○○, Value==××])
c:[Type==○○, Value==××]](https://image.slidesharecdn.com/random-140627112547-phpapp02/85/ADFS-Office365-17-320.jpg)
![多要素認証利用のためのアクセス制御設定
? 条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合
? 条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合
Copyright 2014 Sophia Network Ltd.18
exists([Type == "http://schemas.microsoft.com/2012/01/
requestcontext/claims/x-ms-endpoint-absolute-path",
Value == "/adfs/ls/wia"])
c:[Type == "http://schemas.microsoft.com/2012/01/
devicecontext/claims/isregistereduser", Value == "false"]
NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/
devicecontext/claims/isregistereduser"])](https://image.slidesharecdn.com/random-140627112547-phpapp02/85/ADFS-Office365-18-320.jpg)
![多要素認証利用のためのアクセス制御設定
? 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.19
‘exists([Type == "http://schemas.microsoft.com/2012/01/
requestcontext/claims/x-ms-endpoint-absolute-path",
Value == "/adfs/ls/wia"])
=> issue(Type = “http://schemas.microsoft.com/ws/2008/06/
identity/claims/authenticationmethod”,
Value = “http://schemas.microsoft.com/claims/multipleauthn”);’](https://image.slidesharecdn.com/random-140627112547-phpapp02/85/ADFS-Office365-19-320.jpg)
![デバイス認証利用のためのアクセス制御設定
? 条件のシナリオ1:デバイスクレームがある場合
? 条件のシナリオ2 : iOS の場合
Copyright 2014 Sophia Network Ltd.32
exists([Type
== ”http://schemas.microsoft.com/2012/01/devicecontext/claims/
identifier”])
exists([Type
== ”http://schemas.microsoft.com/2012/01/devicecontext/claims/
ostype”, Value == “iOS”])](https://image.slidesharecdn.com/random-140627112547-phpapp02/85/ADFS-Office365-32-320.jpg)
![デバイス認証利用のためのアクセス制御設定
? 条件のシナリオ1の場合における、アクセス制御設定の全文
Copyright 2014 Sophia Network Ltd.33
exists([Type
== ”http://schemas.microsoft.com/2012/01/devicecontext/claims/
identifier”])
=> issue (Type =
“http://schemas.microsoft.com/authorization/claims/permit”,value =
“true”);](https://image.slidesharecdn.com/random-140627112547-phpapp02/85/ADFS-Office365-33-320.jpg)
础顿贵厂+翱蹿蹿颈肠别365によるセキュリティ强化~デバイス?多要素认証
- 1. ADFS+Office365によるセキュリティ強化 ~デバイス認証/多要素認証編 株式会社ソフィアネットワーク 国井 傑 (くにい すぐる) スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 2. 自己紹介 Copyright 2014 Sophia Network Ltd.2 Microsoft MVP for Directory Services (2006~2014) マイクロソフト認定トレーナー (1997~) ブログ Always on the clock @sophiakunii 株式会社ソフィアネットワーク 所属 連載~基礎から分かる Active Directory再入門 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 3. ADFS トレーニングコースがリニューアルします! Copyright 2014 Sophia Network Ltd.3 ? ニーズに合わせて、2つのコースをご提供! ?Office 365ユーザー認証ベストプラクティス (2日コース) ?Microsoft Azureを活用したADFS構築 (1日コース) ? こんな人におすすめです。 ?テスト環境を用意するだけでも大変なので、手っ取り早く学習したい。 ?今はとりあえずADFSが動いているけど、トラブルが起きたらどうしよう。 ?クラウド連携の案件で先行者利益を取りたい! ? 詳しくはクリエ?イルミネートWebサイトでご確認ください。 http://www.crie-illuminate.jp
- 4. こんな人に聞いてもらいたい Copyright 2014 Sophia Network Ltd.4 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 5. これからお話しすること 1. はじめに 2. ADFSの多要素認証をOffice 365に実装 3. ADFSのデバイス認証をOffice 365に実装 Copyright 2014 Sophia Network Ltd.5 スライドは↓こちら↓からダウンロード http://www.slideshare.net/sugurukunii/
- 6. はじめに Copyright 2014 Sophia Network Ltd.6
- 8. 【おさらい】 ADFSを利用したクラウドとの信頼関係 ?Active Directoryフェデレーションサービス(ADFS)を活用すれば、 クラウドを「1回のサインインでアクセスできる範囲」にできる ?Office 365 のサインインもActive Directoryドメインサービスと統合できる Copyright 2014 Sophia Network Ltd.
- 9. Office 365の認証を安全にするために Copyright 2014 Sophia Network Ltd.9
- 10. 複数の要素を利用した認証を行う ~ ADFSの多要素認証をOffice 365に実装 Copyright 2014 Sophia Network Ltd.10
- 11. 多要素認証とは? ? 複数の要素を利用して本人確認(認証)を行うこと ? 認証に使われる「要素」 ? 1要素目 = ユーザー名/パスワード (知っていることを前提とした認証) ? 2要素目 = 電話、メール、OTPデバイスなど (所有していることを前提とした認証) Copyright 2014 Sophia Network Ltd.11 +
- 12. Office 365の多要素認証 ? Azue ADで実装する多要素認証 ?Office365など、Azure ADを利用するクラウドサービスのみで利用可能 ?ユーザー単位で多要素認証を実装 ?多要素認証の方法は自分で選択可能 (電話?SMS?モバイルアプリ) ? ADFSで実装する多要素認証 ?ADFSを利用する、すべてのサービス/アプリケーションで利用可能 ?様々な単位で多要素認証の有効?無効を設定可能 ?多要素認証には様々な認証方法を実装可能だが、 既定では証明書による認証のみをサポート Copyright 2014 Sophia Network Ltd.12
- 13. 多要素認証で利用可能な認証方法を追加する ? 認証方法の追加 ?Microsoft Azure Multi-Factor Authenticationの利用 ?Microsoft.IdentityServer.web.dllファイルのカスタマイズ 参考「カスタム多要素認証プロバイダーの作成(概要のみ)」 (Always on the clock) Copyright 2014 Sophia Network Ltd.13
- 14. Microsoft Azure Multi-Factor Authentication ? AAD の有償オプションとして用意された多要素認証機能 ?以下の認証方法をサポート ?電話 ?テキストメッセージ (SMS) ?モバイルアプリ (Phone Factor, Inc) ?OAUTHトークン (サードパーティのOTPデバイスを利用) ?AAD内では「多要素認証プロバイダー」という名称で機能を提供 ?レポート機能の提供 ?ワンタイムバイパスによる多要素認証を一時的に使わない設定 ?音声メッセージのカスタマイズ など Copyright 2014 Sophia Network Ltd.14
- 15. Microsoft Azure Multi-Factor Authentication Copyright 2014 Sophia Network Ltd.15 ? 利用開始方法 1. Azure管理ポータルから新規 または既存のAADテナントを登録 2. Azure管理ポータルから 多要素認証プロバイダーを登録 3. Azure管理ポータルから 多要素認証プロバイダー ポータルにアクセス
- 16. Azure Multi-Factor Authenticationアプリケーション ? Azure管理ポータルから提供される、 ADFSの多要素認証をカスタマイズするアプリケーション ?参考「Windows Azure Multi-Factor Authenticationを利用した ADFSの多要素認証の設定」 ?参考「モバイルアプリからOffice 365の多要素認証を使う」 (以上、always on the clockより) Copyright 2014 Sophia Network Ltd.16
- 17. 多要素認証利用のためのアクセス制御設定 ? Set-ADFSAdditionalAuthenticationRuleコマンドレットで設定 ? 基本的な構文 ?条件=>処理 ?条件部分の書き方 ?ここでの「処理」とは「多要素認証を行いなさい」ということ Copyright 2014 Sophia Network Ltd.17 issue(Type = “http://schemas.microsoft.com/ws/2008/06/identity/ claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”); Exists([Type==○○, Value==××]) c:[Type==○○, Value==××]
- 18. 多要素認証利用のためのアクセス制御設定 ? 条件のシナリオ1:社内ネットワークからブラウザーでアクセスした場合 ? 条件のシナリオ2 : Workplace Joinによるデバイス認証をしていない場合 Copyright 2014 Sophia Network Ltd.18 exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) c:[Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser", Value == "false"] NOT EXISTS([Type == "http://schemas.microsoft.com/2012/01/ devicecontext/claims/isregistereduser"])
- 19. 多要素認証利用のためのアクセス制御設定 ? 条件のシナリオ1の場合における、アクセス制御設定の全文 Copyright 2014 Sophia Network Ltd.19 ‘exists([Type == "http://schemas.microsoft.com/2012/01/ requestcontext/claims/x-ms-endpoint-absolute-path", Value == "/adfs/ls/wia"]) => issue(Type = “http://schemas.microsoft.com/ws/2008/06/ identity/claims/authenticationmethod”, Value = “http://schemas.microsoft.com/claims/multipleauthn”);’
- 20. 参考情報 ?「ADFS+Office365でブラウザーアクセスのみ多要素認証を設定」 (Always on the clock) Copyright 2014 Sophia Network Ltd.20
- 21. デバイスをベースにした認証を行う ~ADFSのデバイス認証をOffice 365に実装 Copyright 2014 Sophia Network Ltd.21
- 22. Office 365のデバイス認証 ? ADFSで実装するデバイス認証 ?ADFSを利用する、すべてのサービス/アプリケーションで利用可能 ?Workplace Join機能を利用可能なWindows, iOSデバイスをサポート ? Azue ADで実装するデバイス認証 (NEW!) ?Office365など、Azure ADを利用するクラウドサービスのみで利用可能 ?Workplace Join機能を利用可能なWindows, iOSデバイスをサポート ? いずれのデバイス認証もADFSサーバー/Webアプリケーションプロキシ必須 Copyright 2014 Sophia Network Ltd.22
- 23. ADFSで実装するデバイス認証 ? ADFSでユーザー認証とデバイス認証を実装し、 登録されたデバイスだけがADFSからトークンをもらえる ? 登録されたデバイスだけがOffice 365にアクセスできる Copyright 2014 Sophia Network Ltd.23
- 24. Azure ADで実装するデバイス認証 ? Azure ADでデバイス認証、ADFSでユーザー認証を実装し、 登録されたデバイスだけがADFSからトークンをもらえる ? 登録されたデバイスだけがOffice 365にアクセスできる Copyright 2014 Sophia Network Ltd.24
- 25. Device Registration ServiceとWorkplace Joinの関係 ? ADFSサーバーのデバイス認証の場合(初回登録時) Copyright 2014 Sophia Network Ltd.25
- 26. Device Registration ServiceとWorkplace Joinの関係 ? Azure ADのデバイス認証の場合(初回登録時) Copyright 2014 Sophia Network Ltd.26
- 27. Device Registration ServiceとWorkplace Joinの関係 ? ADFSサーバーのデバイス認証の場合(デバイス認証時) Copyright 2014 Sophia Network Ltd.27
- 28. Device Registration ServiceとWorkplace Joinの関係 ? Azure ADのデバイス認証の場合(デバイス認証時) Copyright 2014 Sophia Network Ltd.28
- 29. Device Registration ServiceとWorkplace Joinの関係 ? Active Directoryに保存される情報 Copyright 2014 Sophia Network Ltd.29
- 30. Device Registration ServiceとWorkplace Joinの関係 ? デバイス認証後のアクセス制御 Copyright 2014 Sophia Network Ltd.30
- 31. デバイス認証利用のためのアクセス制御設定 ? Microsoft Office365 Identity Platform証明書利用者信頼の 発行承認規則で設定 ? クレームルールの書き方 ?処理部の書き方 ?条件部の書き方は次のスライドから Copyright 2014 Sophia Network Ltd.31 issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);
- 32. デバイス認証利用のためのアクセス制御設定 ? 条件のシナリオ1:デバイスクレームがある場合 ? 条件のシナリオ2 : iOS の場合 Copyright 2014 Sophia Network Ltd.32 exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ identifier”]) exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ ostype”, Value == “iOS”])
- 33. デバイス認証利用のためのアクセス制御設定 ? 条件のシナリオ1の場合における、アクセス制御設定の全文 Copyright 2014 Sophia Network Ltd.33 exists([Type == ”http://schemas.microsoft.com/2012/01/devicecontext/claims/ identifier”]) => issue (Type = “http://schemas.microsoft.com/authorization/claims/permit”,value = “true”);
- 34. ? ADFSサーバーのデバイス認証の実装 ?「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるように する(1)~(3)」 ? Azure ADのデバイス認証の実装 ?「ADFSでデバイス認証を実装」 ? デバイス認証のクレームルール ?「Windows Server 2012 R2を使ってiOSだけがOffice365にアクセスできるように する(3)」 (以上、Always on the clock) 参考情報 Copyright 2014 Sophia Network Ltd.34
- 35. まとめ ~ Office 365の認証を安全にするために Copyright 2014 Sophia Network Ltd.35
- 36. Microsoft Confidential36 We don’t even have to try, It’s always a good time. from “good time” by owl city & carly rae jepsen