62
PR18 VPN ・証明書はもう不要 ? Azure AD によるデバイス認証 小杉 真一郎 日本マイクロソフト株式会社 クラウド&ソリューション事業本部 モダンワークプレイス統括本部 セキュリティ技術営業部 テクノロジーソリューションプロフェッショナル
PR18
VPN・証明書はもう不要?
Azure ADによるデバイス認証
小杉真一郎
日本マイクロソフト株式会社
クラウド&ソリューション事業本部 モダンワークプレイス統括本部
セキュリティ技術営業部
テクノロジーソリューションプロフェッショナル
どう実現しますか?
営業部門長
どう実現しますか?
VPN• ユーザビリティ(毎回接続が必要)
• 運用コスト
証明書認証• 証明書を配布する運用が大変
• AD FS または 3rd Party の IDaaS が必要
どう実現しますか?
Azure AD のデバイス認証• 社外でもシームレスに接続可能
• 事前に証明書を配る必要がない
• Azure AD のみで実現できる
セッション終了後には・・・
• Azure AD でのデバイス認証の仕組みがわかる
• 構築手順、運用のコツがわかる
• さらに便利な使い方がわかる
本日はWindows PC に限った話をします。
Azure AD を利用したデバイス認証の仕組み
証明書認証の仕組み
証明書を持っているか、証明書が有効かをチェック
IDP
認証局①証明書の配布
②認証
④証明書が有効かチェック
⑤アクセス許可
③証明書を確認
Azure ADによるデバイス認証の仕組み
デバイスが登録済かつデバイスがポリシーに準拠済かを確認
①デバイス登録 ⑥アクセス許可
④デバイスが登録済か確認
③認証 Azure AD
Intune
②登録
⑤デバイスがポリシーに準拠しているか確認
まとめると・・・
まずはデバイス登録
デバイスごとに3つの方法から選ぶことができます。
Azure AD の ID で PC にログオン
• クラウドを中心とした管理を行う場合
• Azure AD の ID を利用して PC にログオン
• Windows 10 のみ対応
• オンプレミス AD に参加している場合は利用不可
Azure AD
Intune
Azure AD の
IDでログオン
参加
PC 登録
オンプレミス AD の ID で PC にログオン
• 既存のオンプレミス AD 基盤を活用してクラウドを利用する場合
• オンプレミス AD の ID を利用して PC にログオン
• Windows 7 / 8.1 /10 に対応
• Azure AD と同期する AD にユーザーアカウント・コンピュータアカウントが必要
Azure AD
Intune
オンプレ AD の
IDでログオン AD
参加
AAD ConnectPC
登録
デバイスを手動で Azure AD に登録
• 会社で管理されていないデバイス・組織外のデバイスを想定した機能
• PC へのログオン方法は変わらない(ローカルアカウント or AD アカウント)
• Windows 10 のみ対応
Azure AD
Intune
ローカルアカウント
/ADアカウントでログオン登録
登録
PC
オンプレミス AD 環境・ OS により、利用可能な方式が決まります
Windows 7/8.1Windows 10 Yes
※Windows 7/8.1 は 10 にアップデート
No
Azure AD登録 Hybrid AAD 参加
Azure AD 参加
海外子会社(ドメイン環境)
ADWin10 システムWin 7/8.1
海外出張所(ワークグループ環境)
Win10Win 7/8.1
Update
Update
国内事業所(ドメイン環境)
Win 7/8.1
Win10AD
AAD
Connect
Azure AD
導入手順
前提事項
必要なライセンス
ネットワーク要件
• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com
• 組織の STS( AD FS 環境のみ)
各デバイスから以下のリソースにアクセスできることを確認
ステップ
1. Azure AD 登録 / 参加の設定
https://docs.microsoft.com/ja-jp/intune/windows-enroll#enable-windows-10-automatic-enrollment
1. Azure AD 登録 / 参加の設定
• ユーザー / グループ
• クラウドアプリ
• 条件(OS 、クライアント、IPアドレス等)
デバイス認証の判定
デバイスが準拠すべきポリシーを満たしていればアクセスを許可。
Windows 10 のみ利用可能。
Windows 7 / 8.1 / 10 で利用可能。
2つの判定方法があります
1. Azure AD 登録 / 参加の設定
https://docs.microsoft.com/ja-jp/intune/compliance-policy-create-windows
ステップ
1. Azure AD 登録 / Azure AD参加の設定1.1 Intune への自動登録の設定
1.2 デバイス認証を行う条件(条件付きアクセス)の設定
1.3 デバイスが準拠すべきポリシー(コンプライアンスポリシー)の設定
2. Hybrid AD Join の設定
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-
azuread-join-managed-domains
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-
azuread-join-federated-domains
動作確認
デバイスの登録手順
デバイスの手動登録
デバイスの手動登録
デバイスの手動登録
デバイスの手動登録
Azure AD登録
Azure AD参加
想定通りにアクセスが制御されるか確認
条件付きアクセス・ユーザー / グループ
・クラウドアプリ
・コンプライアンスポリシー準拠
・Hybrid Azure AD参加
コンプライアンスポリシー• デバイスの正常性
• OS のバージョン
• パスワードが満たす要件
• セキュリティ対策ソフトウェア
準拠状態
ポリシー準拠 OR
登録済デバイス OR
Internet
Azure AD
Internet
Intune
運用のポイント
手動登録を各拠点の管理者に限定
デバイスの登録制限を利用
Ignite 2018
プロビジョニングパッケージによる展開
デバイスのプロファイルを作成して PC に展開
AutoPilotによる展開
デバイスのシリアル番号を登録し、自動で Azure AD 参加
Internet
Azure AD
PC メーカー / OEM
IT 管理者② シリアル通知
①注文
③ シリアル登録
ユーザー④ PC発送
⑤自動でAzure AD 参加
各拠点以外の場所からのAzure AD登録をブロック
デバイスの自動クリーンアップを構成
ここまでのおさらい
さらに便利な使い方
(Ignite 2018)
Windows 10 の場合、Intune でデバイス管理が可能
AppsPowerShellアプリケーション
構成ポリシー Windows Update
Windows 10 PC
Intune
Internet
社内 Web システムを社外に公開
Web システム
App Proxy Connector
Azure AD
App Proxy
Azure AD
Internet
デスクトップアプリを社外に公開
Ignite 2018
Session Host
Gateway
Azure AD
まとめ
セッション終了後には・・・
• Azure AD でのデバイス認証の仕組みがわかる
• 構築手順、運用のコツがわかる
• さらに便利な使い方がわかる
全ての PCを Azure AD に登録しましょう!
Azure Active Directory + Intune
Azure AD 参加
Hybrid Azure AD 参加
Azure AD 登録
参考情報
• Azure AD によるデバイス管理のドキュメントhttps://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview
• Azure ADや EMSの最新情報ブログhttp://aka.ms/EMSBlog
• Azure AD Webiner(日本語)http://aka.ms/AzureAdWebiner
Appendix
Hybrid AD Join の設定
https://blogs.technet.microsoft.com/jpazureid/2018/08/10/azure-ad-
connect-upgrade/
Hybrid AD Join の設定
Hybrid AD Join の設定
Hybrid AD Join の設定
Hybrid AD Join の設定
Hybrid AD Join の設定
Hybrid AD Join の設定
Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709) –日
本語
Hybrid AD Join の設定
Hybrid AD Join の設定
https://www.microsoft.com/en-us/download/details.aspx?id=53554
© 2018 Microsoft Corporation. All rights reserved.
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。
