Azure AD セルフサービス機能を用いてコスト削減
Download as pptx, pdf0 likes246 views
Azure AD Webinar session 1-5 https://aka.ms/AzureADWebinar
![セルフサービスグループ管理
? アクセスパネルからグループの作成や管理を行わせることが可能
対応しているグループ種別は セキュリティグループと O365 グループ
[利用例]
? ビジネスオーナー (業務部門) のユーザーに対する SaaS アプリケーションアクセス権
限の委任として
? エンドユーザーに対する SharePoint Online アクセス権限向けのグループ作成機
能として
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-self-service-management](https://image.slidesharecdn.com/azuread-selfservicecapabilities-200624122710/85/Azure-AD-47-320.jpg)
![自分が [所有者]に指定されているグループ
(またはアクセスパネル上で作成したグループ)
自分が参加しているグループ](https://image.slidesharecdn.com/azuread-selfservicecapabilities-200624122710/85/Azure-AD-50-320.jpg)
Azure AD セルフサービス機能を用いてコスト削減
- 1. Azure AD Webinar シリーズ #5 Azure AD セルフサービス 機能を有効活用する方法 Azure Active Directory Customer Success Team
- 2. ? 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) ? Azure AD の基礎 (L100–200) のうち特に重要でかつ 見落としやすいトピックをピックアップ
- 3. パスワードリセットはセルフサービスで実施してもらおう 13:30-14:00: Presentation 1. セルフサービス機能重点解説:パスワードリセット 2. アクセスパネルでできるセルフサービス機能 資料 URL : http://aka.ms/webinarppt
- 5. セルフサービスパスワードリセット:メリット セルフサービスパスワードリセット機能を利用するメリット ? パスワード忘れによるヘルプデスクコールをなくすことが出来る Azure Active Directory で提供されているセルフサービス機能により オンプレミス AD のパスワードリセットが 可能 ? セキュリティ面でのメリットも大きい ? パスワードのリセットに必要とする条件を柔軟に設定可能 ? 危険なパスワードを設定することが出来なくなっている (尚且つオンプレパスワードポリシーもチェック) ? 既存のパスワードリセットの仕組みを外部公開するのは一般的にハードルが高い (インフラ面、セキュリティ面) ? VPN 接続すればパスワード変更できるけど、そもそも VPN にも接続できない ? なので、ヘルプデスクに電話する
- 6. Azure AD Active Directory Azure AD Connect セルフサービスパスワードリセット:しくみ SSPR Service ユーザー Azure Service Bus
- 7. Azure AD Active Directory Azure AD Connect インフラ構成のポイント SSPR Service ユーザー Azure Service Bus Federation Proxy Federation Server 既存の Azure AD Connect を利用 Inbound の通信は 一切発生しない すべての認証方式で利用可能 ? パスワードハッシュ同期 (PHS) ? パススルー認証 (PTA) ? フェデレーション認証
- 8. Azure AD Active Directory Azure AD Connect セキュリティ強化のポイント SSPR Service ユーザー Azure Service Bus 2. 事前設定済みの本人確 認を実施 ポイント:事前設定済みの多要素認証の仕組みでリセット処理をセキュアに
- 9. ← ユーザーが自分で設定 (管理者が指定もできるが本人確認が必要) ← ユーザーが自分で設定 (管理者が指定もできるが本人確認が必要) ← ユーザーが自分で設定 ← AD の telephoneNumber 属性 https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/concept-sspr-howitworks
- 10. Azure AD Active Directory Azure AD Connect セキュリティ強化のポイント SSPR Service ユーザー Azure Service Bus 2. 事前設定済みの本人確 認を実施 3. 新パスワードを入力 ポイント:推測しやすいパスワードははじかれる 【参考】de:code 2018 セッション AD FS では守れない?!アカウント乗っ取りを防ぐためにすべき 3 つのこと ~ユーザー企業の実例のご紹介~ https://youtu.be/g2mB_EKqi-g
- 11. ? a -> @ ? s -> $ ? 末尾に 1! を付ける などの分かりやすい工夫は効かない
- 13. Azure AD Active Directory Azure AD Connect セキュリティ強化のポイント SSPR Service ユーザー Azure Service Bus 2. 事前設定済みの本人確 認を実施 3. 新パスワードを入力 7. パスワードがリセットされる ポイント:さらに、オンプレミスのパスワードポリシーもかかる
- 14. 管理者によるインフラ設定作業 ? Azure AD Connect の設定追加 ? パスワードライトバックの有効化 ? Azure Portal での設定追加 ? セルフサービスパスワードリセット適用対象の選択 ? 認証方法の選択 ? エンドユーザーに SSPR 設定を強制するかどうかの設定 ? 通知の設定 ? その他 (カスタマイズ、アカウントロック解除可否設定、カスタム禁止パスワード) https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/quickstart-sspr https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-sspr-writeback
- 21. ← ユーザーが自分で設定 (管理者が指定もできるが本人確認が必要) ← ユーザーが自分で設定 (管理者が指定もできるが本人確認が必要) ← ユーザーが自分で設定 ← AD の telephoneNumber 属性
- 26. エンドユーザーの操作 ? SSPR に必要な情報の登録 ? ログイン時の強制登録 ? アクセスパネルからの登録 ? SSPR の実施 https://docs.microsoft.com/en-us/azure/active-directory/user-help/active-directory-passwords-reset-register
- 38. ? Aka.ms/sspr にアクセス ? または Azure AD サインイン画面からリセットページにアクセス
- 43. Windows ログイン画面からのパスワードリセット ? PC の Windows 画面から Azure AD のパスワードリセットが出来るようになりました ? Windows 10 April 2018 Update 以降のオプション ? Azure AD Joined, Hybrid Azure AD Joined 端末が対象 https://docs.microsoft.com/en-us/azure/active-directory/authentication/tutorial-sspr-windows
- 44. SSPR 参考情報 ? セルフサービスパスワードリセット展開用ツール ? aka.ms/ssprtemplates <insert logo here> Self-service password reset is coming… Have you ever come back from a vacation and forgot your password? Do you wish you can just change it yourself without phoning a call center? In a few weeks, you’ll be able to access new functionality that we will be rolling out via the Contoso demo IT. This new feature, called self-service password reset (SSPR), will enable you to reset, unlock and change your password with the added security of having an extra verification method, like a phone number or passcode to your user sign-in process. Look for an email from the IT department to sign up for self-service password reset. Contoso demo IT
- 45. SSPR 監査レポート ? Azure Portal の監査ログにて SSPR 関連のログを確認可能 ? https://docs.microsoft.com/ja-jp/azure/active-directory/authentication/howto-sspr-reporting
- 46. Coming Soon ? SSPR 追加の認証に Microsoft Authenticator を利用する
- 47. セルフサービスグループ管理 ? アクセスパネルからグループの作成や管理を行わせることが可能 対応しているグループ種別は セキュリティグループと O365 グループ [利用例] ? ビジネスオーナー (業務部門) のユーザーに対する SaaS アプリケーションアクセス権 限の委任として ? エンドユーザーに対する SharePoint Online アクセス権限向けのグループ作成機 能として https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/groups-self-service-management
- 60. セルフサービス機能まとめ 本日の資料 URL : http://aka.ms/webinarppt
- 61. Coming topics 日程 (仮) トピック 5/24(木) 13:30-14:00 適切な Azure AD 認証方式の選択の決め手 Selecting appropriate authentication method for Azure AD 6/7(木) 13:30-14:00 Azure AD の SaaS アプリケーション認証への活用 Utilize Azure AD for 3rp Party app authentication 6/21(木) 13:30-14:00 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策 Key things O365 administrators must do for securing corporate identity 7/6(金) 13:30-14:00 Azure AD で実現するスムーズな外部パートナー協業 Accelerate partner collaboration through Azure AD 7/19(木) 13:30-14:00 Azure AD セルフサービス機能を用いてコスト削減 How to use full Azure AD self-service capabilities aka.ms/AzureADWebinar
- 62. Resources - SSPR http://aka.ms/aadwebinars Best practices for SSPR http://aka.ms/ssprbestpractices Configure self-service password reset https://azure.microsoft.com/en-us/documentation/articles/active-directory-passwords-getting- started/ SSPR user registration URL http://aka.ms/ssprsetup Password management https://azure.microsoft.com/en-us/documentation/articles/active-directory-passwords/
- 63. Resources - Other Deployment wizard http://aka.ms/azureadpdeploy Active Directory team blog http://blogs.technet.com/b/ad/ Managing your Azure Active Directory https://msdn.microsoft.com/en-us/library/azure/hh967611.aspx Group management https://msdn.microsoft.com/en-us/library/azure/dn532277.aspx Mailbag blog https://blogs.technet.microsoft.com/enterprisemobility/tag/mailbag/