IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
Download as pptx, pdf0 likes274 views
Azure AD Webinar session 2-2 https://aka.ms/AzureADWebinar
![User-Agent は簡単に偽装可能
exists ([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent",
Value =~ "b.*Android.*b|b.*ManagedBrowser/.*b|b.*Outlook-iOS.*b|b.*iPhone.*b|b.*iPad.*b"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");](https://image.slidesharecdn.com/azuread-devicebasedaccesscontrol-200624122905/85/IP-13-320.jpg)
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
- 1. Azure AD Webinar シリーズ #7 IP ベースのアクセス制御から脱却して よりセキュアな環境を構築しよう Azure Active Directory Customer Success Team
- 2. ? 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) ? Azure AD の基礎 (L100–200) のうち特に重要でか つ見落としやすいトピックをピックアップ 本 Webinar シリーズの特徴
- 4. 13:30-14:00 プレゼンテーション → この間に質問を投稿ください 14:00-14:15 Q&A → 投稿いただいた質問に可能な限りお答えします 時間の使い方 こちらをブックマーク → http://aka.ms/AzureAdWebinar 本日の資料 URL : http://aka.ms/AzureAdWebinar
- 6. もう、時代遅れです ID + 場所 でのアクセス制御
- 7. この考え方は捨てましょう! “inside is good, outside is bad” 社内は安全、社外は危険
- 8. 今の時代のセキュリティは ID + デバイスの状態での アクセス制御 ※ 更に细かい粒度で、アクセス元アプリの状态でのアクセス制御という考え方もあります
- 11. 現在の常識 - どこからでも働く テレワーク 社内ネットワーク VPN VPN ADFS等でアクセス制御
- 13. User-Agent は簡単に偽装可能 exists ([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent", Value =~ "b.*Android.*b|b.*ManagedBrowser/.*b|b.*Outlook-iOS.*b|b.*iPhone.*b|b.*iPad.*b"]) => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");
- 15. 場所は問わず、デバイスの状態でアクセス制御 社内ネットワーク Forresterが提唱(2010年) Google の BeyondCorp が有名 Microsoft 365 を用いた ゼロ トラスト ネットワークの実現 https://blogs.technet.microsoft.com/jpazureid/2018/06/29/buildin g-zero-trust-networks-with-microsoft-365/ ADFS等「条件付きアクセス」で制御
- 16. Trusted Devices 信頼されたデバイス 管理対象(Intune, SCCM, GPO, WD ATP等 の役割) 管理されていないデバイス デバイスの状態でアクセス制御 「条件付きアクセス」の役割
- 17. Trusted Devices 信頼されたデバイス 管理対象(Intune, SCCM, GPO, WD ATP等 の役割) 管理されていないデバイス デバイスの状態でアクセス制御 「条件付きアクセス」の役割
- 18. マイクロソフトのクラウドアプリ マイクロソフト以外のクラウド オンプレミスのアプリ Microsoft Azure Prevent data leak Disable print Restrict download Enforce MFA Block sign-in Allow sign-in アクセス制御 アクセス制限 OS Platform Is Compliant / Domain joined Is lost or stolen Device Risk デバイス User identity Group membership Session Risk ユーザー Mobile or Cloud app Per app policy アプリ 場所 IP range アプリケーション制御条件 Windows Defender Azure AD Identity Protection Service Azure AD 条件付きアクセス https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-azure-portal
- 23. Trusted Devices 信頼されたデバイス 管理対象(Intune, SCCM, GPO, WD ATP等 の役割) 管理されていないデバイス デバイスの状態でアクセス制御 「条件付きアクセス」の役割
- 24. 何をもって「信頼されたデバイス」とみなされるか iOS/Android W indow s10 W indow s7/8.1 M acOS 管理機構 「信頼されたデバイス」とみなされる状態 1 Intune Intuneのポリシーに準拠していること Y Y Y 2 Intune + SCCM (Co-Management) Intune/SCCMのポリシーに準拠していること (Co-Managementのポリシー適用対象はWin10のみ) Y Y (SCCM Agent) Y 3 Intune + SCCM (Hybrid) 2019/09/01でリタイア SCCMのポリシーに準拠していること Y (MDM) Y (SCCM Agent) Y (SCCM Agent) Y (MDM) 4 オンプレミスAD オンプレミスADドメイン参加 (要Hybrid Azure AD Join) していること ≒ GPO適用 AD Y Y 5 他 MDM その他MDMのポリシーに準拠していること MDM Y Intune
- 25. iOS/Android W indow s10 W indow s7/8.1 M acOS 管理機構 「信頼されたデバイス」とみなされる状態 1 Intune Intuneのポリシーに準拠していること Y Y Y 2 Intune + SCCM (Co-Management) Intune/SCCMのポリシーに準拠していること (Co-Managementのポリシー適用対象はWin10のみ) Y Y (SCCM Agent) Y 3 Intune + SCCM (Hybrid) 2019/09/01でリタイア SCCMのポリシーに準拠していること Y (MDM) Y (SCCM Agent) Y (SCCM Agent) Y (MDM) 4 オンプレミスAD オンプレミスADドメイン参加 (要Hybrid Azure AD Join) していること ≒ GPO適用 AD Y Y 5 他 MDM その他MDMのポリシーに準拠していること MDM Y Intune iOS/Android、MacOSは、Intune のみ
- 26. iOS/Android W indow s10 W indow s7/8.1 M acOS 管理機構 「信頼されたデバイス」とみなされる状態 1 Intune Intuneのポリシーに準拠していること Y Y Y 2 Intune + SCCM (Co-Management) Intune/SCCMのポリシーに準拠していること (Co-Managementのポリシー適用対象はWin10のみ) Y Y (SCCM Agent) Y 3 Intune + SCCM (Hybrid) 2019/09/01でリタイア SCCMのポリシーに準拠していること Y (MDM) Y (SCCM Agent) Y (SCCM Agent) Y (MDM) 4 オンプレミスAD オンプレミスADドメイン参加 (要Hybrid Azure AD Join) していること ≒ GPO適用 AD Y Y 5 他 MDM その他MDMのポリシーに準拠していること MDM Y Intune Windows10 も Intuneによる管理を検討しよう
- 27. iOS/Android W indow s10 W indow s7/8.1 M acOS 管理機構 「信頼されたデバイス」とみなされる状態 1 Intune Intuneのポリシーに準拠していること Y Y Y 2 Intune + SCCM (Co-Management) Intune/SCCMのポリシーに準拠していること (Co-Managementのポリシー適用対象はWin10のみ) Y Y (SCCM Agent) Y 3 Intune + SCCM (Hybrid) 2019/09/01でリタイア SCCMのポリシーに準拠していること Y (MDM) Y (SCCM Agent) Y (SCCM Agent) Y (MDM) 4 オンプレミスAD オンプレミスADドメイン参加 (要Hybrid Azure AD Join) していること ≒ GPO適用 AD Y Y 5 他 MDM その他MDMのポリシーに準拠していること MDM Y Intune 信頼のレベルの違い 最新のGPOが適用されていないかもしれない Windows Updateが適用されていないかもしれない Intune のポリシーに準拠している状態
- 28. iOS/Android W indow s10 W indow s7/8.1 M acOS 管理機構 「信頼されたデバイス」とみなされる状態 1 Intune Intuneのポリシーに準拠していること Y Y Y 2 Intune + SCCM (Co-Management) Intune/SCCMのポリシーに準拠していること (Co-Managementのポリシー適用対象はWin10のみ) Y Y (SCCM Agent) Y 3 Intune + SCCM (Hybrid) 2019/09/01でリタイア SCCMのポリシーに準拠していること Y (MDM) Y (SCCM Agent) Y (SCCM Agent) Y (MDM) 4 オンプレミスAD オンプレミスADドメイン参加 (要Hybrid Azure AD Join) していること ≒ GPO適用 AD Y Y 5 他 MDM その他MDMのポリシーに準拠していること MDM Y Intune 「条件付きアクセス」の設定 最新のGPOが適用されていないかもしれない Windows Updateが適用されていないかもしれない Intune のポリシーに準拠している状態
- 29. Windows10 を Intune に登録する 11 の方法 https://blogs.technet.microsoft.com/microscott/managing-windows-10-with-intune-the-many-ways-to-enrol/
- 30. GPOやWindows Updateの適用状態をネットワークへの 接続条件にしている場合には、セキュリティレベルが下がる 可能性があるため、要注意 次に、「ドメイン参加」状態を信頼することを検討
- 31. Hybrid Azure AD Join のすすめ Azure AD https://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview#hybrid-azure-ad-joined-devices
- 32. Azure AD Connect ウィザードで簡単に構成 https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-federated-domains
- 33. 手動で Hybrid Azure AD Join を構成 フェデレーション(ADFS等利用)環境 非フェデレーション環境 Windows 10 ダウンレベルOS Windows 7/8.1等 Windows 10 ダウンレベルOS Windows 7/8.1等 手順 1: サービス接続ポイント(SCP)の構成 (Azure AD Connectでコマンド実行) 要 要 要 要 手順 2: ADFSの変更 (クレームルールの追加) 要 要 手順 3: ダウンレベルOSの有効化 (MSIモジュールのインストール) 要 要 手順 4: デプロイとロールアウトの制御(GPO) RS1からは任意 要 RS1からは任意 要 その他のダウンレベルOS ?Windows Server 2012 R2 ?Windows Server 2012 ?Windows Server 2008 R2https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-manual-steps Azure AD Connect のアップグレードが難しい場合
- 34. 今の時代のセキュリティは ID + デバイスの状態での アクセス制御 ※ 更に细かい粒度で、アクセス元アプリの状态でのアクセス制御という考え方もあります
- 36. Azure AD Join + Intune 管理
- 40. 日程 (仮) トピック 8/30(木) 13:30-14:15 Azure Active Directory 利用開始への第一歩 Getting Ready for Azure AD 9/13(木) 13:30-14:15 IP ベースのアクセス制御からの脱却してよりセキュアな環境を構築しよう Implement zero trust security using device based conditional 9/27(木) 13:30-14:15 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策 Key things O365 administrators must do for securing corporate identity 10/11(金) 13:30-14:15 Azure AD の SaaS アプリケーション認証への活用 Utilize Azure AD for 3rp Party app authentication 10/25(木) 13:30-14:15 Azure AD で実現するスムーズな外部パートナー協業 Accelerate partner collaboration through Azure AD 今後のWebinar予定 http://aka.ms/AzureAdWebinar
- 41. ID-BASED SECURITY Initiative のご紹介 ? ID-BASED Security Initiative https://id-bsi.connpass.com/ ? 次回 Meeting のご案内 https://id-bsi.connpass.com/event/87081/