業務のグローバル化に伴いクラウド サービスの利活用が進む中、認証/ID 管理基盤の見直しを行う企業が増えています。しかし、認証/ID 管理基盤を実際に導入するとなると、利便性を維持しつつ安全性を高めるにはどうしたらよいか、また既存の IT 環境からスムーズに移行を行うのか、など課題は山積みです。 本セッションでは、Identity の MVP が本気で取り組んだ認証/ID 管理基盤の導入の現場における様々な課題と解決の実例を、株式会社アシックス様のグローバル認証基盤導入プロジェクトを通して紹介いたします。 受講対象: Azure Active Directory の大規模案件のケース スタディ、各技術要素の実際の使われ方に興味のある方 製品/テクノロジ: アイデンティティ (AD/Azure AD)/Microsoft Azure/エンタープライズ モビリティ/運用 富士榮 尚寛 伊藤忠テクノソリューションズ株式会社 西日本システム技術第2部 部長代行

2. 事例セッションということで
通常は、株式会社アシックス様の会社紹介や、プロジェクトの進め方、ポイントなど
を説明するものですが、今回は de:code ということでその辺りは最低限にして、
・クラウド・ベースの認証基盤（IDaaS）を選択するメリット
・Azure AD の各種機能・要素技術の実案件での使われ方
を中心にお届けします。

3. http://idmlab.eidentity.jp
https://www.facebook.com/eidentity

4. 組織構成
ヘッドクォーター
• 日本（神戸）
リージョン
• アジア、オセアニア
• アメリカ
• 欧州、アフリカ
関係会社
• 国内：10社、海外：45社
ユーザ数
• 単体：900名
• 連結：7,864名

5. 1. 企業向け ID 基盤としての IDaaS の優位性
• ID 基盤の導入目的
• データ漏えいの主要な原因と対策
• ID 基盤の検討と Azure AD 選定の理由
• IDaaS 選定による恩恵と注意点
2. 実案件における Azure AD の使い方
• アシックス様の ID 基盤全体構成
• 使用している Azure 関連リソース
• 各リソースの使い方

7. ID 基盤検討のきっかけ
• アプリケーションをグループ＆グローバルで共同利用したい
• クラウド・サービス（Office365, G Suite, Salesforceなど）を使いたい
• BYOD（特にモバイル）を活用したい
ID 基盤に求めるもの＝導入目的
• セキュリティ：安全に使いたい
• 運用効率化：楽に運用したい
• 利便性向上：便利に使いたい
• 法令対応／内部統制：統制をとりたい
運用効率化
セキュリティ 利便性向上
法令対応／
内部統制
グローバル
クラウド
モバイル

8. クラウド・サービスを安全に利用したい
クラウド・サービス利活用が進む
・コミュニケーション：Google Apps（現 G Suite）
・タレント・マネージメント、HR：SuccessFactors
・サービス管理：ServceNow
・経費精算：Concur
など
社外からのアクセスが増加
・社外からのアクセスを ID / パスワードだけで許可するか？
・ID / パスワードの漏えい・盗難への対策が急務

9. データ漏えいに関するリスクの最高レベルに位置付けられている
（BREACH LEVEL INDEX 2016年上半期）
採るべき対応：認証の強化
・多要素認証
・デバイス管理
・リスクベース認証
・デバイスやネットワークとの組み合わせ
⇒パスワード認証は既に限界
出典：http://breachlevelindex.com/

10. 脅威 概要 特徴 被害額 多要素認証 デバイス管理
ID/パスワードの盗
難、漏えい
第3者によりユーザ
のIDとパスワード
を推測、盗難され、
不正にサービスを
利用される
• 本人が気が付かないことが多
い
• 他のサービスと同じパスワー
ドを利用していることが多い
ため、被害の拡大が起きる
大 ○
ID/パスワードだけ
ではサービスを利
用できない
×
デバイスをワイプ
してもID/パスワー
ドは無効化されな
い
端末のロスト/盗難 端末自体を第3者に
不正に利用される
• 本人が気が付きやすい
• パスワード自体は盗難されに
くいので、当該端末以外から
はアクセスできない
小 △
都度ログインが必
要な設定となって
いないとサービス
を不正利用される
○
本人が気が付いた
時点でデバイスを
ワイプすれば被害
拡大を防止可能
共有端末への
キャッシュ残存、
ログアウト忘れ
共有端末にログイ
ン済み状態が残っ
てしまい、第3者に
サービスを不正利
用される
• 本人が気が付かないことが多
い
• パスワード自体は盗難されに
くいので、当該端末以外から
はアクセスできない
小 △
都度ログインが必
要な設定となって
いないとサービス
を不正利用される
△
共有端末を管理対
象デバイスとして
いることは少ない
ID 盗難・漏えいには多要素認証が効果的
ID 盗難・漏えいの最大の特徴は本人が気が付かないため被害が拡大しやすいこと
デバイス管理（MDM によるワイプなど）と組み合わせることで更に強固な対応

11. ・Authentication：認証
・Authorization：認可
・Administration：管理
１．強固な認証
２．ID ライフサイクル管理
３．アクセス管理
４．定期的な監査
５．グローバル統一ポリシー
アシックス様 グローバル IT ミーティング向け資料より

12. ・Confidentiality：機密性
・Integrity：完全性
・Availability：可用性
・利便性：既存ユーザへの影響
・管理性：既存の管理体制（リージョン分散型）との親和性
・拡張性：利用するクラウド・サービスの増加への対応

13. 要件区分 構成要素 オンプレ（AD FS）、Hybrid Azure Active Directory 他社 IDaaS
機能要件 強固な認証 多要素認証
（カスタマイズ可）
多要素認証
（アプリ、SMS）
※SMSは月額固定課金
リスクベース、デバイス認証
（検討時は Preview）
多要素認証
（アプリ、SMS）
※SMSは従量課金
非機能要件 C：機密性 自社が頑張る必要あり Microsoft が頑張る IDaaS 提供者が頑張る
I：完全性 自社が頑張る必要あり Microsoft が頑張る IDaaS 提供者が頑張る
A：可用性 自社が頑張る必要あり 検討時点で17リージョンのDC
でレプリカ
認証はオンプレの AD の可用性
に依存
利便性 全リージョンのドメインに AD
FS を構成すれば既存パスワー
ドが利用可能（もしくは信頼関
係の構成）
各フォレストから ID およびパ
スワード（ハッシュ）を同期で
きるので、既存パスワードが利
用可能
各フォレストにコネクタを配置
すれば既存パスワードが利用可
能
管理性 従来通り各リージョンでドメイ
ン管理をすればよい
従来通り各リージョンでドメイ
ン管理をすればよい
従来通り各リージョンでドメイ
ン管理をすればよい
拡張性 利用クラウド・サービスが増え
たら都度対応
カタログに載っているアプリな
ら接続検証済み
カタログに載っているアプリな
ら接続検証済み

14. ・標準仕様（SAML, OpenID Connect）への準拠
・ギャラリーの存在（事前検証済みアプリケーション）
設定開始から ２～３ 週間で本番化
・事前確認：数日
・開発環境への設定：１～２時間程度（Web会議でアプリ側と同時に実施）
・動作テスト、データ確認（各リージョンのパイロットユーザ）：１～２週間
・本番化：１～２時間程度（Web会議でアプリ側と同時に実施）

15. ・次々とリリースされる新機能
例）条件付きアクセスの条件の拡充（IP レンジの上限個数、デバイス条件）
Desktop SSO 機能のリリース
・ライセンス形態の変化
例）特権 ID 管理（Azure AD Premium P2）
ExpressRoute Basic Gateway の廃止
・変化をキャッチアップする
・変化を改善の機会ととらえる
・新機能は試してみてダメならやめる

17. ・データ源泉
SuccessFactors
+ ServiceNow（一部非社員）
・認証 / ID 管理
Azure AD
+ SAP IdM（SAPアプリ用）
・アプリケーション
各種クラウド・サービス
オンプレミス・アプリ
Azure AD を全体を支える
ID 基盤として位置付け
アシックス様 社内資料より（一部実装中の部分を含む）

18. 区分 サービス名 機能名 用途
アプリケーション基盤 App Services Web App MFA 展開用 Web アプリのホスト
ID 基盤 Active Directory Users and groups Dynamic Group（属性ベースでのグループ化）
Enterprise applications シングルサインオン（SAML / OpenID Connect）
プロビジョニング（一部アプリ）
Multi Factor Authentication モバイルアプリ（通知、OTP）、SMS
Azure AD Connect オンプレミス AD（6 フォレスト）から ID 同期
Domain names 関連会社を含むカスタムドメイン設定
Mobility (MDM and MAM) Windows 10 向け MAM（ビジネスストア）
Password reset 一部ユーザへの SSPR 提供
Company branding ログイン画面、ロゴの表示
Conditional access 社外 NW からのアクセスは MFA 要求
インフラ／運用 Virtual machines Windows Server Azure AD Connect / AD FS / AD DS / AD CS / NPS
Express Route - オンプレ – IaaS 間接続
Azure Automation Powershell Runbook MFA 関連運用スクリプト

19. 切り替え時の混乱を防ぐため、切り替え実施の条件として以下2点を設定
1. 全ユーザの多要素認証設定が完了していること
2. Conditional Access の信頼済み IP リストにすべての社内ネットワークの出口が設
定されていること
以下のアプリケーションを作成
• Azure AD で認証、多要素認証を要求（多要素認証の事前設定用）
• パスワード変更方法の案内ページ
• ソース IP を画面に表示（トラブルシュート用）
• SAML Assertion を表示（アプリケーション接続テスト用）

20. 認証設定で Azure Active Directory を選択、構成する

21. Azure Active Directory 上に登録された
Enterprise Application の Conditional
Access 設定で MFA を強制するポリシー
を作成し、適用する

22. ユーザがアクセスすると多要素認証の設定が求められる

23. 多要素認証が未設定のユーザ一覧の出力

24. 設定期限内に多要素認証を設定しなかったユーザ対策
不正ユーザによる多要素認証を設定を防止（ ID 漏えい対策）

25. 不正に MFA 設定をされないための工夫

26. 各種アプリケーションへのシングルサインオンを設定
• ギャラリーに存在するアプリケーション
• ギャラリーに存在しないアプリケーション（SAML / OpenID Connect 対応）
※一部 SAML / OpenID Connect 非対応アプリケーションは登録だけを行い、アプリケーションパネル
（ポータル）に表示させる
設定上の工夫
アプリケーションの識別子が Azure AD の識別子（userPrincipalName）と異なる場
合は SAML Assertion の属性マッピングを変更
例）社員番号でログインするアプリケーション

27. 例）SuccessFactors は社員番号で
ログインする構成となっていた
ため、オンプレ ADの employeeID
とマッピングした
extensionAttribute1 属性を利用
他にも ExtractMailPrefix() 関数を
使ってメールアドレスのユーザ
パートを識別子として利用した
アプリケーションもあり

28. 一部アプリケーションで構成（現状 ServiceNowのみ。対象の拡大予定）
配信する属性のカスタマイズ
アプリケーションの求める属性・値フォーマットに合わせて配信
スクリプトなどと組み合わせた実装（Azure AD の機能不足への対応）
現状、Azure AD は G Suite の orgUnitPath 属性がプロビジョニング出来ないため、
orgUnitPath 属性だけは Google Cloud Directory Sync（旧 Google Apps Directory
Sync）や Google Directory API を利用するカスタムスクリプトなどで対応、Azure
AD のプロビジョニング機能と組み合わせることを検討中

29. アプリケーション側の運用に合わせて、Target Object Actions、Attribute Mappings
をカスタマイズ
Target Object Actions（Create / Update / Delete）
削除はアプリケーション側で実施するため Azure AD からは実行せず、アカウント
状態を Attribute Mappings で連携し無効化だけ行う
Attribute Mappings
以下の条件で ServiceNow の Active 属性の値を “0” に設定
・Azure AD 上からアカウントが削除された（IsSoftDeleted）
・Azure AD 上でアカウントが無効化された（accountEnabled）

30. ユーザ状態（Active 属性）のマッピング

31. 同期元ディレクトリ
・4 リージョン
・6 フォレスト（信頼関係なし）※現在統合を進めている最中
・メールアドレス属性でディレクトリ間のマッチング
（リージョン間の人事異動対策）
同期情報
・ユーザ属性（一部カスタマイズ）
・パスワード・ハッシュ

33. 社内ネットワークの定義
・クラウド・ベースの Proxy サービスを利用しているため、Azure AD への
アクセスは Bypass する様に Proxy サービス側を設定
※ Bypass URL（後方一致）
windowsazure.com、microsoftonline.com、microsoftonline-p.com
多要素認証デバイスを忘れた人向けに除外グループの作成
・管理者が対象ユーザを除外グループへ登録
・日時バッチ（Azure Automation で動作する Powershell）でグループメンバ一覧
を取得し、管理者向けに送付、消し忘れを防止
・週次でグループメンバを強制クリア

35. 一時的に多要素認証をバイパス
する除外グループを作成し、
管理者によりメンバを管理
メンバの消し忘れを防ぐため
毎日除外グループのメンバと
なっているユーザ一覧を
管理者へメール。週次で強制
的にメンバをクリア
（Azure Automationを利用）

38. セッションアンケートにご協力ください
➢ 専用アプリからご回答いただけます。
decode 2017
➢ スケジュールビルダーで受講セッションを
登録後、アンケート画面からご回答ください。
➢ アンケートの回答時間はたったの 15 秒です!

39. Ask the Speaker のご案内
本セッションの詳細は『Ask the Speaker Room』各コーナーカウンタにて
ご説明させていただきます。是非、お立ち寄りください。

40. © 2017 Microsoft Corporation. All rights reserved.
本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。