・証明書はもう不要 Azure ADによるデバイス認証...Azure...

Post on 18-Jun-2020

3 views 1 download

Preview:

Click to see full reader
Report this document
SHARE

transcript

PR18

VPN・証明書はもう不要?

Azure ADによるデバイス認証

小杉真一郎

日本マイクロソフト株式会社

クラウド&ソリューション事業本部 モダンワークプレイス統括本部

セキュリティ技術営業部

テクノロジーソリューションプロフェッショナル

どう実現しますか?

営業部門長

どう実現しますか?

VPN• ユーザビリティ(毎回接続が必要)

• 運用コスト

証明書認証• 証明書を配布する運用が大変

• AD FS または 3rd Party の IDaaS が必要

どう実現しますか?

Azure AD のデバイス認証• 社外でもシームレスに接続可能

• 事前に証明書を配る必要がない

• Azure AD のみで実現できる

セッション終了後には・・・

• Azure AD でのデバイス認証の仕組みがわかる

• 構築手順、運用のコツがわかる

• さらに便利な使い方がわかる

本日はWindows PC に限った話をします。

Azure AD を利用したデバイス認証の仕組み

証明書認証の仕組み

証明書を持っているか、証明書が有効かをチェック

IDP

認証局①証明書の配布

②認証

④証明書が有効かチェック

⑤アクセス許可

③証明書を確認

Azure ADによるデバイス認証の仕組み

デバイスが登録済かつデバイスがポリシーに準拠済かを確認

①デバイス登録 ⑥アクセス許可

④デバイスが登録済か確認

③認証 Azure AD

Intune

②登録

⑤デバイスがポリシーに準拠しているか確認

まとめると・・・

まずはデバイス登録

デバイスごとに3つの方法から選ぶことができます。

Azure AD の ID で PC にログオン

• クラウドを中心とした管理を行う場合

• Azure AD の ID を利用して PC にログオン

• Windows 10 のみ対応

• オンプレミス AD に参加している場合は利用不可

Azure AD

Intune

Azure AD の

IDでログオン

参加

PC 登録

オンプレミス AD の ID で PC にログオン

• 既存のオンプレミス AD 基盤を活用してクラウドを利用する場合

• オンプレミス AD の ID を利用して PC にログオン

• Windows 7 / 8.1 /10 に対応

• Azure AD と同期する AD にユーザーアカウント・コンピュータアカウントが必要

Azure AD

Intune

オンプレ AD の

IDでログオン AD

参加

AAD ConnectPC

登録

デバイスを手動で Azure AD に登録

• 会社で管理されていないデバイス・組織外のデバイスを想定した機能

• PC へのログオン方法は変わらない(ローカルアカウント or AD アカウント)

• Windows 10 のみ対応

Azure AD

Intune

ローカルアカウント

/ADアカウントでログオン登録

登録

PC

オンプレミス AD 環境・ OS により、利用可能な方式が決まります

Windows 7/8.1Windows 10 Yes

※Windows 7/8.1 は 10 にアップデート

No

Azure AD登録 Hybrid AAD 参加

Azure AD 参加

海外子会社(ドメイン環境)

ADWin10 システムWin 7/8.1

海外出張所(ワークグループ環境)

Win10Win 7/8.1

Update

Update

国内事業所(ドメイン環境)

Win 7/8.1

Win10AD

AAD

Connect

Azure AD

導入手順

前提事項

必要なライセンス

ネットワーク要件

• https://enterpriseregistration.windows.net

• https://login.microsoftonline.com

• https://device.login.microsoftonline.com

• https://autologon.microsoftazuread-sso.com

• 組織の STS( AD FS 環境のみ)

各デバイスから以下のリソースにアクセスできることを確認

ステップ

1. Azure AD 登録 / 参加の設定

https://docs.microsoft.com/ja-jp/intune/windows-enroll#enable-windows-10-automatic-enrollment

https://docs.microsoft.com/ja-jp/intune/windows-enroll#enable-windows-10-automatic-enrollment

1. Azure AD 登録 / 参加の設定

• ユーザー / グループ

• クラウドアプリ

• 条件(OS 、クライアント、IPアドレス等)

デバイス認証の判定

デバイスが準拠すべきポリシーを満たしていればアクセスを許可。

Windows 10 のみ利用可能。

Windows 7 / 8.1 / 10 で利用可能。

2つの判定方法があります

1. Azure AD 登録 / 参加の設定

https://docs.microsoft.com/ja-jp/intune/compliance-policy-create-windows

https://docs.microsoft.com/ja-jp/intune/compliance-policy-create-windows

ステップ

1. Azure AD 登録 / Azure AD参加の設定1.1 Intune への自動登録の設定

1.2 デバイス認証を行う条件(条件付きアクセス)の設定

1.3 デバイスが準拠すべきポリシー(コンプライアンスポリシー)の設定

2. Hybrid AD Join の設定

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-

azuread-join-managed-domains

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-

azuread-join-federated-domains

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-managed-domains
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-federated-domains

動作確認

デバイスの登録手順

デバイスの手動登録

デバイスの手動登録

デバイスの手動登録

デバイスの手動登録

Azure AD登録

Azure AD参加

想定通りにアクセスが制御されるか確認

条件付きアクセス・ユーザー / グループ

・クラウドアプリ

・コンプライアンスポリシー準拠

・Hybrid Azure AD参加

コンプライアンスポリシー• デバイスの正常性

• OS のバージョン

• パスワードが満たす要件

• セキュリティ対策ソフトウェア

準拠状態

ポリシー準拠 OR

登録済デバイス OR

Internet

Azure AD

Internet

Intune

運用のポイント

手動登録を各拠点の管理者に限定

デバイスの登録制限を利用

Ignite 2018

プロビジョニングパッケージによる展開

デバイスのプロファイルを作成して PC に展開

AutoPilotによる展開

デバイスのシリアル番号を登録し、自動で Azure AD 参加

Internet

Azure AD

PC メーカー / OEM

IT 管理者② シリアル通知

①注文

③ シリアル登録

ユーザー④ PC発送

⑤自動でAzure AD 参加

各拠点以外の場所からのAzure AD登録をブロック

デバイスの自動クリーンアップを構成

ここまでのおさらい

さらに便利な使い方

(Ignite 2018)

Windows 10 の場合、Intune でデバイス管理が可能

AppsPowerShellアプリケーション

構成ポリシー Windows Update

Windows 10 PC

Intune

Internet

社内 Web システムを社外に公開

Web システム

App Proxy Connector

Azure AD

App Proxy

Azure AD

Internet

デスクトップアプリを社外に公開

Ignite 2018

Session Host

Gateway

Azure AD

まとめ

セッション終了後には・・・

• Azure AD でのデバイス認証の仕組みがわかる

• 構築手順、運用のコツがわかる

• さらに便利な使い方がわかる

全ての PCを Azure AD に登録しましょう!

Azure Active Directory + Intune

Azure AD 参加

Hybrid Azure AD 参加

Azure AD 登録

参考情報

• Azure AD によるデバイス管理のドキュメントhttps://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview

• Azure ADや EMSの最新情報ブログhttp://aka.ms/EMSBlog

• Azure AD Webiner(日本語)http://aka.ms/AzureAdWebiner

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview
http://aka.ms/EMSBlog
http://aka.ms/AzureAdWebiner

Appendix

Hybrid AD Join の設定

https://blogs.technet.microsoft.com/jpazureid/2018/08/10/azure-ad-

connect-upgrade/

https://blogs.technet.microsoft.com/jpazureid/2018/08/10/azure-ad-connect-upgrade/

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709) –日

本語

https://www.microsoft.com/ja-JP/download/details.aspx?id=56121

Hybrid AD Join の設定

Hybrid AD Join の設定

https://www.microsoft.com/en-us/download/details.aspx?id=53554

https://www.microsoft.com/en-us/download/details.aspx?id=53554

© 2018 Microsoft Corporation. All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。

Top related

나고야 YMCA 일본어학교 모집요항...⑤最終学歴成績証明 최종학력의 학교성정증명서 또는 성적표의 복사본 ⑥在職証明書 재직 증명서 ⑦日本語学習証明
Documents
ディープラーニング顔認証システム - Panasonic · 2018-03-19 · 顔認証サーバーソフトウェア WV-ASF950(以下、本ソフトウェア)はMicrosoft Windows上で動作する監視システム用途の顔認証ソフトウェアです。
Documents
有有有有有価価価価価証証証証証券券券券券報報報報報告告告告 …/media/hd/files/doc/pdf/... · 自己資本比率 (%) 16.13 15.11 15.80 14.63 13.33 自己資本利益率
Documents
本人認証技術の現状 - IPA...本人認証技術の現状に関する調査 1 はじめに 背景 2002 年12 月6 日の衆院本会議において、「オンライン3 法」と呼ばれる一
Documents
ライセンスについて - NEC(Japan)...認証アダプタ ライセンスについて 2018年11月 第1版 NEC 認証アダプタ ライセンスについて このたびは、認証アダプタをお買い上げいただき、まことにありがとうございます。本書は、ライセンスについて記載しています。なお、認証アダプタの基本的な操作については、「認証アダプタ
Documents
証明書インストールマニュアル - KDDImedia3.kddi.com/extlib/files/business/download/pdf/...証明書有効期間: 2016/xx/xx-19:00:00 - 2021/xx/xx-19:00:00 デバイスIDのインストールについてご不明な点がありましたら、
Documents
SMARTACCESSファーストステップガイド...このマニュアルは、指紋センサーやNFC ポートなどの認証デバイスの基本的な取り扱い、認証デバイスをお使
Documents
winter 2 0 20 - 楽天証券...2 0 20 winter 目次 今、楽天証券が選ぶ注目の投資信託はこの10 本 楽天証券ファンドスコアの活用を!たとえばこんなポートフォリオ
Documents
セコムパスポート for Member 2.0 証明書ポリシ …4.2.1 本人性確認と認証の実施..... 9 4.2.2 証明書申請の処理時間 ..... 9 4.3 証明書の発行.....
Documents
Windows 7 セットアップガイド - Elecom1. 保証期間 販売店発行のレシートまたは保証シールに記載されている購入日より1年間、本 製品を本保証規定に従い無償修理することを保証いたします。2.
Documents
SORACOM Inventory)契約約款5 Inventory システム デバイスの登録や認証情報を格納したうえで、契約者から送信されるコ マンドやデータを受領・格納したり、契約者のデバイスに対しコマンド
Documents
DIPファイナンスの実証研究...DIP ファイナンスの実証研究* 一ノ宮士郎† (日本政策投資銀行設備投資研究所) * 本稿の作成に当っては、神戸大学
Documents
グループウェア desknet's NEOのご紹介 › kanri › download.php?file=solution... · 東京証券取引所マザーズ市場上場 iso27001/isms認証取得(プロダクト事業本部)
Documents
XVS1300CA - PRESTO CORP€¦ · 日本語オーナーズ マニュアル 製品保証カード ドキュメントフォルダ (プレストロゴ入り) モーターサイクル
Documents
Ruby on Rails 検証報告書drupal.ossforum.jp/jossfiles/RubyTF_Ruby_on_Rails.pdfRuby on Rails 検証報告書 日本OSS推進フォーラム アプリケーション部会 Ruby アプリケーションタスクフォース
Documents
基本的なデバイス管理 - Cisco...基本的なデバイス管理の概要 ここでは、基本的なデバイス管理の概要について説明します。デバイスのホスト名
Documents
デュアルウェア講習会課題 2 - RTC-Library-FUKUSHIMA · フィリップ社が開発した周辺デバイスとのシリアル通信の方式です。 SDA, SCL の2 本信号線だけでデバイスを制御し、複数のデバイスに並列して接続し使用出来
Documents
認証局信頼リスト - Cisco...認証局信頼リスト • 認証局信頼リスト, 1 ページ 認証局信頼リスト 次に、デバイスに組み込まれている信頼できる認証局の一覧を示します。Expressway経由でモバ
Documents
マットレス& ベッドベース - IKEA4 保証期間 マットレスとベッドベース(すのこ)の品質保証は、ご購入日から25年間です。品質保証 サービスをご利用いただくには、購入を証明するレシート原本が必要となります。
Documents
保 証 書 DRY-ST7000c,DRY-ST7000d...保 証 書 (持込修理) DRY-ST7000c,DRY-ST7000d本書は、本書記載内容(下記規 定)で、無料修理を行うことを、
Documents

Copyright © 2018 DOCUMENTS