モダンアクセスコントロール実现に向けた戦略策定方法
Download as pptx, pdf0 likes312 views
Azure AD Webinar session 3-1 https://aka.ms/AzureADWebinar
![既存のクレームルールを そのまま 移行しない
IPホワイトリストリングのクレームルールの例:
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip",
Value =~
"b211.173.232.5b|b102.128.35.120b|b102.228.25.58b|b18.125.41.122b|b216.12.1
25.(2[4-8]|2[0-1])b|b16.15.175.23[0-6]b|b102.228.20.(4[6-9]|20[0-
3])b|b218.101.57.122b|b64.241.60.54b|b21.128.16.2b|b24.24.12.14b|b24.24.15
0.102b|b52.122.229.201b|b213.126.13.(19|20)b|b194.103.15.115b|b42.13.21.
78b|b80.125.25.19b|b80.125.13.102b|b215.6.152.2[13]b|b70.156.166.99b"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true")
クレームルール:この資料では、AD FS の発行承認規則のことを指しています](https://image.slidesharecdn.com/road-200624123612/85/-25-320.jpg)
モダンアクセスコントロール実现に向けた戦略策定方法
- 1. Azure AD Webinar シリーズ モダンアクセスコントロール実現に向けた 戦略策定方法 Azure Active Directory Customer Success Team
- 2. ? 開発チームのメンバーがお届けする日本語の Webinar (グローバルで展開されている Webinar の日本語版) ? Azure AD の基礎 (L100–200) のうち特に重要でか つ見落としやすいトピックをピックアップ 本 Webinar シリーズの特徴
- 4. 13:30-14:15 プレゼンテーション → この間に質問を投稿ください 14:15-14:30 Q&A → 投稿いただいた質問に可能な限りお答えします 時間の使い方 こちらをブックマーク → http://aka.ms/AzureAdWebinar 本日の資料 URL : http://aka.ms/AzureAdWebinar
- 5. モダンアクセスコントロール実现に向けた戦略策定方法 日程 (仮) トピック 3/7(木) 13:30-14:30 モダンアクセスコントロール実现に向けた戦略策定方法 Enterprise strategy towards modern access control 3/20(水) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 Azure AD Conditional Access deep dive - How it works 4/4(木) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodology 4/18(木) 13:30-14:30 Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD 5/9 (木) 13:30-14:30 Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune 5/16(木) 13:30-14:30 Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive
- 6. ? ゼロトラスト ネットワーク セキュリティ のおさらい ? 典型的な 2 パターン – 社内を信頼?証明書を信頼 ? 「信頼モデル成熟度マップ」 の説明 ? チャレンジのひとつ:条件付きアクセス への移行 ? 次回セッションに続く??? このセッションの内容
- 7. ? ゼロトラスト ネットワーク セキュリティ のおさらい ? 今の状態 ? 典型的な 2 パターン – 社内を信頼?証明書を信頼 ? 先に進むための地図 ? 「信頼モデル成熟度マップ」 の説明 ? 進む道に待ち受ける、典型的なチャレンジと克服方法 ? チャレンジのひとつ:条件付きアクセス への移行 ? まとめ ? 次回セッションに続く??? このセッションの内容
- 8. ? 場所 (社内ネットワーク) を信用する、ということをやめましょう ? アプリケーションアクセスの正当性を常に検証しましょう ? Forrester Research が 2010 年に提唱 ? Google のセキュリティモデル BEYONDCORP などに代表される ? Microsoft 365 を使った実現方法のガイダンス - https://blogs.technet.microsoft.com/jpazureid/2018/06/29/building-zero-trust- networks-with-microsoft-365/ - http://www.itmedia.co.jp/enterprise/articles/1809/27/news011.html ゼロトラスト ネットワーク セキュリティ という考え方
- 10. EMS を利用した デバイス状態 での アクセス制御 Trusted Devices 信頼されたデバイス 管理対象(Intune, SCCM, GPO, WD ATP等 の役割) 管理されていないデバイス 「条件付きアクセス」の役割
- 11. Season2 2018/9/13 (木) のセッション 「IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう」 https://resources.office.com/ja-jp-landing-CO-M365-CSD-WBNR-FY19- 09Sep-13-To-escape-from-IP-based-access-control-and-build- MCW0008622.html http://aka.ms/AzureAdWebinar EMS を利用した デバイス状態 での アクセス制御
- 12. ? 目指す姿 ? ゼロトラスト ネットワーク セキュリティ のおさらい ? 典型的な 2 パターン – 社内を信頼?証明書を信頼 ? 先に進むための地図 ? 「信頼モデル成熟度マップ」 の説明 ? 進む道に待ち受ける、典型的なチャレンジと克服方法 ? チャレンジのひとつ:条件付きアクセス への移行 ? まとめ ? 次回セッションに続く??? このセッションの内容
- 13. ? 会社支給デバイスのみが 社内ネットワークにアクセスできる仕組みがある ? 会社支給デバイスのみが VPNが使える仕組みがある ? 会社支給デバイスのみに 証明書が配られる仕組みがある 典型的な信頼モデル ※ ユーザーの検証(ID/パスワード等)がされることが前提
- 14. 信頼モデル – ポリシー準拠デバイスが最良 信頼モデル セキュリティ ユーザビリティ コスト デバイスがポリシーに準拠していること デバイス上に証明書があること 脱獄やウィルス感染を起点に アクセスをブロック不可 要 証明書管理、証明書認 証のためのインフラ管理 社内ネットワーク上に居ること (VPN) 社内ネットワークにデバイス上 のリスクを持ち込んでしまう VPNセッションを貼る必要 ネットワークパフォーマンス 要 VPNインフラ管理 要プロキシ容量
- 16. ? 目指す姿 ? ゼロトラスト ネットワーク セキュリティ のおさらい ? 今の状態 ? 典型的な 2 パターン – 社内を信頼?証明書を信頼 ? 「信頼モデル成熟度マップ」 の説明 ? 進む道に待ち受ける、典型的なチャレンジと克服方法 ? チャレンジのひとつ:条件付きアクセス への移行 ? まとめ ? 次回セッションに続く??? このセッションの内容
- 17. 信頼モデル の 成熟度マップ
- 18. 信頼モデル の 成熟度マップ 信頼モデル /実装 社内ネットワーク VPN デバイス上の証明書 デバイス証明書認証 on AD FS 等 ドメイン参加 (GPO の適用) Hybrid Azure AD Join (Hybrid AADJ) Intune ポリシー準拠 Azure AD Join + Intune MDM Intune ポリシー準拠 Hybrid AADJ + Intune MDM PC 編 何を信頼するか どう実現するか
- 19. 信頼モデル の 成熟度マップ 信頼モデル /実装 社内ネットワーク VPN デバイス上の証明書 デバイス証明書認証 on AD FS 等 ドメイン参加 (GPO の適用) Hybrid Azure AD Join (Hybrid AADJ) Intune ポリシー準拠 Azure AD Join + Intune MDM Intune ポリシー準拠 Hybrid AADJ + Intune MDM PC 編 ゼロトラストネットワーク 社内は安全 インターネットは危険 セキュリティ マインドセット GPO Intune MDMデバイス管理 AD FS 条件付きアクセスアクセス制御
- 20. ? ネットワーク → ゼロトラスト ? AD FS クレームルール → 条件付きアクセスへ ? GPO → Intune MDM 典型的なチャレンジ(疑問や課題)
- 21. 信頼モデル の 成熟度マップ 信頼モデル /実装 MDMの乗り換え MAM導入 ゼロトラストネットワーク 社内は安全 インターネットは危険 セキュリティ マインドセット Intune 以外の MDM Intune MDMデバイス管理 AD FS 条件付きアクセスアクセス制御 スマホ編 - Intune 以外の MDM を使っている企業向け 社内ネットワーク VPN (AirWatch等) デバイス上の証明書 デバイス証明書認証 on AD FS 等 MAM保護アプリ Intune MAM + (Intune 以外の MDM) Intune ポリシー準拠 Intune MDM
- 22. ? 目指す姿 ? ゼロトラスト ネットワーク セキュリティ のおさらい ? 今の状態 ? 典型的な 2 パターン – 社内を信頼?証明書を信頼 ? 先に進むための地図 ? 「信頼モデル成熟度マップ」 の説明 ? チャレンジのひとつ:条件付きアクセス への移行 ? まとめ ? 次回セッションに続く??? このセッションの内容
- 23. ? ネットワーク → ゼロトラスト ? AD FS クレームルール → 条件付きアクセスへ ? GPO → Intune MDM ? Intune 以外の MDM → Intune MDM 典型的なチャレンジ(疑問や課題) モダンアクセスコントロール実现に向けた戦略策定方法 Enterprise strategy towards modern access control 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解 Azure AD Conditional Access deep dive - How it works 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodolo Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive 今日の残りの時間はこれ
- 24. ? テストテナントでテスト ? 1とは順番依存無し(同時並行で進めてOK) アクセス制御のクラウド化:AD FS → 条件付きアクセス https://github.com/teppeiy/AzureAD-Tips/blob/master/ADFS/Goodbye-ADFS.md
- 25. 既存のクレームルールを そのまま 移行しない IPホワイトリストリングのクレームルールの例: exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "b211.173.232.5b|b102.128.35.120b|b102.228.25.58b|b18.125.41.122b|b216.12.1 25.(2[4-8]|2[0-1])b|b16.15.175.23[0-6]b|b102.228.20.(4[6-9]|20[0- 3])b|b218.101.57.122b|b64.241.60.54b|b21.128.16.2b|b24.24.12.14b|b24.24.15 0.102b|b52.122.229.201b|b213.126.13.(19|20)b|b194.103.15.115b|b42.13.21. 78b|b80.125.25.19b|b80.125.13.102b|b215.6.152.2[13]b|b70.156.166.99b"]) => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true") クレームルール:この資料では、AD FS の発行承認規則のことを指しています
- 26. M365 Golden Config を参考にしてポリシー設計する リスクに応じて要MFA 要 準拠したデバイス http://aka.ms/M365GoldenConfig
- 27. ? 2017/8 以前に作成されたテナントは、規定で無効化されているため、要有効化 ? Office 2013 は、規定で無効化されているため、明示的に要有効化 ? Office 2010 は、先進認証をサポートしていない https://docs.microsoft.com/ja-jp/office365/enterprise/modern-auth-for- office-2013-and-2016 先進認証 の 有効化
- 28. ? クレームルール対象 → 条件付きアクセス対象 ? 移行?切り替えはグループメンバーの出し入れ クレームルール から 条件付きアクセス への移行戦略 クレームルールはバイパス、 条件付きアクセス対象になる グループ https://github.com/teppeiy/AzureAD-Tips/blob/master/ADFS/Goodbye-ADFS.md
- 29. ? “Migration Group” とする ? 既にバイパス グループが存在している場合は、そのグ ループのメンバーとして入れ子にすることで、既存の ク レームルール の変更不要 クレームルール から 条件付きアクセス への移行戦略 クレームルールはバイパス、 条件付きアクセス対象になる グループ https://github.com/teppeiy/AzureAD-Tips/blob/master/ADFS/Goodbye-ADFS.md Migration Group
- 30. この移行方式の注意点 オンプレミス AD で “Migration Group” に対象ユーザーを追加し、 Azure AD Connect によって、グループメンバーシップ情報が Azure AD へ同期されるまで、 クレームルールはバイパス、条件付きアクセスの対象にならない(=アクセス許可) という状態が存在する クレームルール から 条件付きアクセス への移行戦略
- 31. ? テストテナントでテスト ? 1とは順番依存無し(同時並行で進めてOK) アクセス制御のクラウド化:AD FS → 条件付きアクセス https://github.com/teppeiy/AzureAD-Tips/blob/master/ADFS/Goodbye-ADFS.md
- 32. 大前提として、アプリ は Azure AD と連携されている Salesforceのアクセスポリシー 例: 社外からのアクセスは多要素認証を強制 AWSのアクセスポリシー 例: 社外からのアクセスはブロックする Exchange Online のアクセスポリシー 例: 管理されたデバイスからのみ許可 Azure AD のログ機能を利用可能 SaaS への SSO 許可/拒否はユーザー/グループ毎に可能 Azure AD に搭載されている高度な認証セキュリティ機能を利用可能
- 33. https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/migrate-adfs- apps-to-azure Season2 2018/10/11 (木) のセッション 「Azure AD の SaaS アプリケーション認証への活用」 https://resources.office.com/ja-jp-landing-CO-M365-CSD-WBNR-FY19-10Oct-11- Utilization-of-Azure-AD-for-SaaS-application-authentication-MCW0008647.html http://aka.ms/AzureAdWebinar SaaS との認証連携
- 34. ? 目指す姿 ? ゼロトラスト ネットワーク セキュリティ のおさらい ? 今の状態 ? 典型的な 2 パターン – 社内を信頼?証明書を信頼 ? 先に進むための地図 ? 「信頼モデル成熟度マップ」 の説明 ? 進む道に待ち受ける、典型的なチャレンジと克服方法 ? チャレンジのひとつ:条件付きアクセス への移行 ? 次回セッションに続く??? このセッションの内容
- 35. まとめ
- 36. ? ネットワーク → ゼロトラスト ? AD FS クレームルール → 条件付きアクセスへ ? GPO → Intune MDM ? Intune 以外の MDM → Intune MDM 典型的なチャレンジ(疑問や課題) モダンアクセスコントロール実现に向けた戦略策定方法 Enterprise strategy towards modern access control 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解 Azure AD Conditional Access deep dive - How it works 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodolo Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive
- 38. ? EMS Blog: http://aka.ms/emsblog/ Azure AD (EMS) 開発チームメンバーが新機能情報をいち早く公開。また、Azure AD 管理者がおさえておく べきセキュリティホワイトペーパーなどもこちらに投稿される ? Japan Azure Identity Support Blog: https://blogs.technet.microsoft.com/jpazureid 新機能に関しての紹介だけでなく、日本の多くの Azure 利用者からサポート依頼を直接受けている Azure Identity サポート エンジニアという立場から、時には私どもの視点を交えて、皆様のお役に立つ情報を発信 ? http://aka.ms/aadtips お客様への技術支援の中で、よくあるご質問や、Docs で提供されているよりも詳しい日本語の解説が必要と感 じたトピックを、開発部門の視点で随時アップデート Azure AD 担当者がフォローするべき情報ソース
- 39. 日程 (仮) トピック 3/7(木) 13:30-14:30 モダンアクセスコントロール実现に向けた戦略策定方法 Enterprise strategy towards modern access control 3/20(水) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 Azure AD Conditional Access deep dive - How it works 4/4(木) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodology 4/18(木) 13:30-14:30 Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD 5/9 (木) 13:30-14:30 Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune 5/16(木) 13:30-14:30 Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive 今後のWebinar予定 http://aka.ms/AzureAdWebinar
- 40. ID-BASED SECURITY Initiative のご紹介 ? ID-BASED Security Initiative https://id-bsi.connpass.com/ ? 次回 Meeting のご案内 https://id-bsi.connpass.com/event/87081/