Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Azure AD Premium はまりポイント

4.151 visualizaciones

Publicado el

Azure AD Premium はまりポイント

Publicado en: Tecnología
  • Inicia sesión para ver los comentarios

Azure AD Premium はまりポイント

  1. 1. Azure AD Premium はまりポイント 1 2018/4/21 Shinsuke Saito
  2. 2. 注意!! この資料に乗せている情報は、2018/4/21 現在の情報です。 動作要件や仕様等は常に変化しますのでお気を付けください。 2
  3. 3. 自己紹介 名前 : 斉藤 慎輔 (Twitter : @masalabo716) 職業 : SIer (インフラエンジニア) やってること : 某 IT 流通企業で Azure を契約した顧客に Azure を使ってもらうべく布教活動 好きなもの : しろたん YouTube 公式チャンネル https://www.youtube.com/channel/UCUsY9uNAEkAHlG2CeTVw4UQ 3
  4. 4. Azure AD Premium P1 にすると何ができる? オブジェクト作成数・SSO アプリの数が無制限 多要素認証 (Azure MFA) オンプレ AD へのパスワード・デバイスライトバック 条件付きアクセス Windows 10 での Azure AD Join の拡張 4 Azure Active Directory の価格 (プランごとの機能一覧) https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
  5. 5. Azure AD Premium P1 にすると何ができる? オブジェクト作成数・SSO アプリの数が無制限 多要素認証 (Azure MFA) オンプレ AD へのパスワード・デバイスライトバック 条件付きアクセス Windows 10 での Azure AD Join の拡張 5 Azure Active Directory の価格 (プランごとの機能一覧) https://azure.microsoft.com/ja-jp/pricing/details/active-directory/ 今回はこの辺りの機能に注目!!
  6. 6. 多要素認証 (Azure MFA) 6
  7. 7. 多要素認証 (Azure MFA) のはまりポイント レガシー認証使用時にログインできない (iOS のメールアプリ等) → アプリケーションパスワードを使ってログインする 7 発行時しかパスワードは 表示されないので注意!!
  8. 8. 多要素認証 (Azure MFA) のはまりポイント デスクトップ版 Outlook でログインできない → Exchange Online で先進認証を有効にする (PowerShell) Set-OrganizationConfig -OAuth2ClientProfileEnabled $true 8 Exchange Online で先進認証を有効または無効にする https://support.office.com/ja-jp/article/exchange-online- %E3%81%A7%E5%85%88%E9%80%B2%E8%AA%8D%E8%A8%BC%E3%82%92%E6%9C%89%E5%8A%B9%E3%81%BE%E3%81%9F%E3%81%AF%E7%84%A1%E5% 8A%B9%E3%81%AB%E3%81%99%E3%82%8B-58018196-f918-49cd-8238-56f57f38d662
  9. 9. 多要素認証 (Azure MFA) のはまりポイント デスクトップ版 Skype for Business でもログインできない → Skype for Business Online も先進認証を有効にする Set-CsOAuthConfiguration -ClientAdalAuthOverride Allowed 9 Skype for Business Online: Enable your tenant for modern authentication https://aka.ms/SkypeModernAuth
  10. 10. パスワードライトバック 10
  11. 11. パスワードライトバックのはまりポイント オンプレ AD のアカウントをリセット・変更した場合 ドメインに参加しているPCでパスワード不整合が起きる 11 PW を「123456」にリセット PW 「123456」でログイン不可 リセット前の PW が必要 PW の不整合 が発生!!
  12. 12. 条件付きアクセス 12
  13. 13. 条件付きアクセスのはまりポイント 制限しすぎに注意 → 管理者が Azure Portal に入れないと設定解除もできない。。。 13 Azure ポータルへのアクセス制限について https://blogs.technet.microsoft.com/jpazureid/2017/12/29/azuread-portal/
  14. 14. 条件付きアクセスのはまりポイント 接続元 IP は、当然ながらグローバルIPが必要 → 例はプライベートIP なんですよね。。。 14
  15. 15. 条件付きアクセスのはまりポイント 制限できる対象にはいくつか条件が。。。 → 先進認証が必須なので多要素認証との連携を考慮する 15先進認証 (ADAL ベースサインイン) のログイン画面の例
  16. 16. 条件付きアクセスのはまりポイント デバイスを要件にするには Intune が必要 → でも Intune は、他社の MDM と比べると。。。 16
  17. 17. まとめ 多要素認証は、レガシー認証を使用するアプリがあるか確認 Office 365 のサーバー側も先進認証が有効か確認を セルフパスワードリセットは、使わないと損! 認証デバイスの取り扱いには気を付けて 条件付きアクセスは、多要素認証と組み合わせて レガシー認証をさせない構成に 17
  18. 18. ご清聴ありがとうございました! 18

×