PR18

VPN・証明書はもう不要?

Azure ADによるデバイス認証

小杉真一郎

日本マイクロソフト株式会社

クラウド&ソリューション事業本部 モダンワークプレイス統括本部

セキュリティ技術営業部

テクノロジーソリューションプロフェッショナル

どう実現しますか？

営業部門長

どう実現しますか？

VPN• ユーザビリティ（毎回接続が必要）

• 運用コスト

証明書認証• 証明書を配布する運用が大変

• AD FS または 3rd Party の IDaaS が必要

どう実現しますか？

Azure AD のデバイス認証• 社外でもシームレスに接続可能

• 事前に証明書を配る必要がない

• Azure AD のみで実現できる

セッション終了後には・・・

• Azure AD でのデバイス認証の仕組みがわかる

• 構築手順、運用のコツがわかる

• さらに便利な使い方がわかる

本日はWindows PC に限った話をします。

Azure AD を利用したデバイス認証の仕組み

証明書認証の仕組み

証明書を持っているか、証明書が有効かをチェック

IDP

認証局①証明書の配布

②認証

④証明書が有効かチェック

⑤アクセス許可

③証明書を確認

Azure ADによるデバイス認証の仕組み

デバイスが登録済かつデバイスがポリシーに準拠済かを確認

①デバイス登録 ⑥アクセス許可

④デバイスが登録済か確認

③認証 Azure AD

Intune

②登録

⑤デバイスがポリシーに準拠しているか確認

まとめると・・・

まずはデバイス登録

デバイスごとに3つの方法から選ぶことができます。

Azure AD の ID で PC にログオン

• クラウドを中心とした管理を行う場合

• Azure AD の ID を利用して PC にログオン

• Windows 10 のみ対応

• オンプレミス AD に参加している場合は利用不可

Azure AD

Intune

Azure AD の

IDでログオン

参加

PC 登録

オンプレミス AD の ID で PC にログオン

• 既存のオンプレミス AD 基盤を活用してクラウドを利用する場合

• オンプレミス AD の ID を利用して PC にログオン

• Windows 7 / 8.1 /10 に対応

• Azure AD と同期する AD にユーザーアカウント・コンピュータアカウントが必要

Azure AD

Intune

オンプレ AD の

IDでログオン AD

参加

AAD ConnectPC

登録

デバイスを手動で Azure AD に登録

• 会社で管理されていないデバイス・組織外のデバイスを想定した機能

• PC へのログオン方法は変わらない（ローカルアカウント or AD アカウント）

• Windows 10 のみ対応

Azure AD

Intune

ローカルアカウント

/ADアカウントでログオン登録

登録

PC

オンプレミス AD 環境・ OS により、利用可能な方式が決まります

Windows 7/8.1Windows 10 Yes

※Windows 7/8.1 は 10 にアップデート

No

Azure AD登録 Hybrid AAD 参加

Azure AD 参加

海外子会社（ドメイン環境）

ADWin10 システムWin 7/8.1

海外出張所（ワークグループ環境）

Win10Win 7/8.1

Update

Update

国内事業所（ドメイン環境）

Win 7/8.1

Win10AD

AAD

Connect

Azure AD

導入手順

前提事項

必要なライセンス

ネットワーク要件

• https://enterpriseregistration.windows.net

• https://login.microsoftonline.com

• https://device.login.microsoftonline.com

• https://autologon.microsoftazuread-sso.com

• 組織の STS（ AD FS 環境のみ）

各デバイスから以下のリソースにアクセスできることを確認

ステップ

1. Azure AD 登録 / 参加の設定

https://docs.microsoft.com/ja-jp/intune/windows-enroll#enable-windows-10-automatic-enrollment

1. Azure AD 登録 / 参加の設定

• ユーザー / グループ

• クラウドアプリ

• 条件（OS 、クライアント、IPアドレス等）

デバイス認証の判定

デバイスが準拠すべきポリシーを満たしていればアクセスを許可。

Windows 10 のみ利用可能。

Windows 7 / 8.1 / 10 で利用可能。

2つの判定方法があります

1. Azure AD 登録 / 参加の設定

https://docs.microsoft.com/ja-jp/intune/compliance-policy-create-windows

ステップ

1. Azure AD 登録 / Azure AD参加の設定1.1 Intune への自動登録の設定

1.2 デバイス認証を行う条件（条件付きアクセス）の設定

1.3 デバイスが準拠すべきポリシー（コンプライアンスポリシー）の設定

2. Hybrid AD Join の設定

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-

azuread-join-managed-domains

https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-

azuread-join-federated-domains

動作確認

デバイスの登録手順

デバイスの手動登録

デバイスの手動登録

デバイスの手動登録

デバイスの手動登録

Azure AD登録

Azure AD参加

想定通りにアクセスが制御されるか確認

条件付きアクセス・ユーザー / グループ

・クラウドアプリ

・コンプライアンスポリシー準拠

・Hybrid Azure AD参加

コンプライアンスポリシー• デバイスの正常性

• OS のバージョン

• パスワードが満たす要件

• セキュリティ対策ソフトウェア

準拠状態

ポリシー準拠 OR

登録済デバイス OR

Internet

Azure AD

Internet

Intune

運用のポイント

手動登録を各拠点の管理者に限定

デバイスの登録制限を利用

Ignite 2018

プロビジョニングパッケージによる展開

デバイスのプロファイルを作成して PC に展開

AutoPilotによる展開

デバイスのシリアル番号を登録し、自動で Azure AD 参加

Internet

Azure AD

PC メーカー / OEM

IT 管理者② シリアル通知

①注文

③ シリアル登録

ユーザー④ PC発送

⑤自動でAzure AD 参加

各拠点以外の場所からのAzure AD登録をブロック

デバイスの自動クリーンアップを構成

ここまでのおさらい

さらに便利な使い方

(Ignite 2018)

Windows 10 の場合、Intune でデバイス管理が可能

AppsPowerShellアプリケーション

構成ポリシー Windows Update

Windows 10 PC

Intune

Internet

社内 Web システムを社外に公開

Web システム

App Proxy Connector

Azure AD

App Proxy

Azure AD

Internet

デスクトップアプリを社外に公開

Ignite 2018

Session Host

Gateway

Azure AD

まとめ

セッション終了後には・・・

• Azure AD でのデバイス認証の仕組みがわかる

• 構築手順、運用のコツがわかる

• さらに便利な使い方がわかる

全ての PCを Azure AD に登録しましょう！

Azure Active Directory + Intune

Azure AD 参加

Hybrid Azure AD 参加

Azure AD 登録

参考情報

• Azure AD によるデバイス管理のドキュメントhttps://docs.microsoft.com/ja-jp/azure/active-directory/devices/overview

• Azure ADや EMSの最新情報ブログhttp://aka.ms/EMSBlog

• Azure AD Webiner（日本語）http://aka.ms/AzureAdWebiner

Appendix

Hybrid AD Join の設定

https://blogs.technet.microsoft.com/jpazureid/2018/08/10/azure-ad-

connect-upgrade/

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Hybrid AD Join の設定

Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709) –日

本語

Hybrid AD Join の設定

Hybrid AD Join の設定

https://www.microsoft.com/en-us/download/details.aspx?id=53554

© 2018 Microsoft Corporation. All rights reserved.

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。