SlideShare a Scribd company logo

Azure active directory によるデバイス管理の種類とトラブルシュート事例について

Download as PPTX, PDF
Shinya Yamaguchi
Shinya Yamaguchi

Azure AD に関するデバイス管理手法の説明と動作の解説、実際に対応したトラブルシュートの事例を紹介する内容になります。

Technology
1 of 39
Azure Active Directory によるデバ イス管理の種類とトラブルシュー ト事例について 2019年6月22日 .Net ラボ勉強会 日本マイクロソフト株式会社 山口 真也 AZURE & IDENTITY AZURE IDENTITY サポートエンジニア
自己紹介と Azure のサポートについて 名前:山口 真也(やまぐち しんや) ・日本マイクロソフトで Azure AD のサポート エンジニア ・今年の7月で日本マイクロソフトにジョインして丸1年になります。 ・前職までは、ゲーム会社やSIerでインフラ エンジニアをやっていました。 ・Qiita やっています。https://qiita.com/Shinya-Yamaguchi ・Facebook (https://www.facebook.com/shinya.yamaguchi.92) ・Twitter @izuru_yamarara --- ・日本マイクロソフトのAzure のサポートは大きく、 IaaS・PaaS・ Identity(Azure AD)の3あります。 ・その中で Identity のサポートメンバーは25人ほどで日本のお客様を中心に サポートしています。(グローバルのお客様もサポートしています)
目次 1. Azure Active Directoryとは 2. 条件付きアクセスとは 3. デバイスを管理するということ 4. Azure AD Registered (Azure AD 登録) について 5. Azure AD Join (Azure AD 参加) について 6. Hybrid Azure AD Join について 7. 3つのデバイス管理をどう使い分けるか 8. Dual State によるトラブルシュート事例 9. まとめ
Azure Active Directory とは
Azure Active Directory とは 弊社公開情報より抜粋 Azure Active Directory (Azure AD) は Microsoft が提供する クラウドベースの ID およびアクセス管理サービスであり、 次のリソースへのサインインとアクセスを支援します。  Microsoft Office 365、Azure portal、その他何千という SaaS アプリケーションなど、外部リソース。  企業ネットワークとイントラネット上のアプリや、自分 の組織で開発したクラウド アプリなどの内部リソース。
🤔🤔🤔🤔🤔
Azure AD は Azure 上に Active Directoy をたてる事ではありません Active Directory Domain Service (AD DS) Azure Active Directory Azure Active Directory Domain Services ・オンプレミスのみで構成 ・IaaS の Virtual Machine 上に Domain Controller を構築する ・機能はオンプレミスと同じ Virtual MachineDomain Controller Domain Controller Azure AD Domain Controller PC Office 365 PC ・オンプレミス AD とは別もの ・ クラウド アプリケーションの認証で 利用される ・ Office 365 など ・PasS 版の Domain Controller ・諸々制限あり ・Azure VM 用 Active Directory Active Directory Domain Services Server PCServer (Virtual Machine) Mobile (AD DS) (Azure AD) (Azure AD DS) サーバーを自分で管理 サーバーがクラウドに
Azure AD ができること ・アプリケーション管理 ・Authentication ・企業間 (B2B) ・企業 – 消費者間 (B2C) ・条件付きアクセス ・開発者のための Azure Active Directory ・デバイスの管理 ・ドメイン サービス ・エンタープライズ ユーザー ・ハイブリッド ID ・ Identity Governance ・ Identity Protection ・ Azure リソースのマネージド ID ・ Privileged Identity Management (PIM) ・レポートと監視
本セッションではこの2つを扱います ・アプリケーション管理 ・Authentication ・企業間 (B2B) ・企業 – 消費者間 (B2C) ・条件付きアクセス ・開発者のための Azure Active Directory ・デバイスの管理 ・ドメイン サービス ・エンタープライズ ユーザー ・ハイブリッド ID ・ Identity Governance ・ Identity Protection ・ Azure リソースのマネージド ID ・ Privileged Identity Management (PIM) ・レポートと監視
条件付きアクセス とは
条件付きアクセスとは 多要素認証を要求 アクセスを許可 アクセスを拒否 パスワードリセット を要求 制御 ユーザー デバイス 場所 クライアントアプリ 条件 機械 学習 ポリシー リアルタイム 評価エンジン セッションリスク 3 10TB ポリシー を評価 どんなアクセス だったら どうさせる ****** MS 製アプリ 3rd パーティ SaaS オンプレアプリ Azure AD に搭載されているクラウドベースのアクセスコントロールエンジン
デバイスを管理するということ
Azure ADによるデバイス管理は年々増加 Access ReviewsConditional Access Multi-Factor Authentication Addition of custom cloud apps Remote Access to on-premises apps Privileged Identity Management Dynamic Groups Identity ProtectionAzure AD DS Office 365 App Launcher Group-Based Licensing Access Panel/MyApps Azure AD Connect Connect Health Provisioning- DeprovisioningAzure AD Join Self-Service capabilities MDM-auto enrollment / Enterprise State Roaming Security Reporting Governance HR App Integration B2B collaboration Azure AD B2CSSO to SaaS Microsoft Authenticator - Password-less Access 40M 2.2M2.6M +275% YoY +225% YoY +250% YoY +420% YoY +500% YoY 6M107M
Windows 10 コンピューターのデバイス管理方法 Azure AD AD Azure AD joined (AADJ) Azure AD AD Hybrid Azure AD joined (HAADJ) AD Azure AD Azure AD registered (WPJ)
なぜ、Azure AD でデバイスを管理するのか セキュリティ観点で最も大きな理由はデバイス ベースのアクセスコントロールを用いてセキュ アな環境をユーザーに提供するため クラウド リソースに対してシングルサインオンで きる環境を提供するため
条件付きアクセスによるデバイス管理 条件付きアクセスを使うことで、柔軟なデバイ ス管理が可能となる。 • Hybrid Azure AD Join • Azure AD Join + MDM 準拠 • Azure AD Registered + MDM 準拠 • Hybrid Azure AD Join + MDM 準拠
Azure AD Registered (Azure AD 登録) について
Azure AD Registered (BYODで活用) MDM (Intune) MDM 登録 デバイスベースのアクセスコン トロールを行う場合に必要 • 会社で管理されていないデバイス・組織外のデバイスを想定した機能 • PC へのログオン方法は従来と変わらない(ローカルアカウント or AD アカウント) • Windows 10 のみ対応 • 主に外部組織のリソースへの SSO を得る場合に利用されるケースが多い ローカル PC アカウント or オンプレ AD のアカウント でログオン Azure AD Azure AD Register デバイスオブジェクト MDM ポリシー Device を Compliant としてマーク Win 10
Azure AD Join (Azure AD 参加) について
Azure AD Join • Windows PC をクラウドのみで管理するパターン。デバイスの情報は Azure AD に保持される • PC へのログオンは Azure AD の ID で行う (test001@contoso.com など) • Windows 10 のみがこの方式を利用可能 • 既にオンプレミス AD に参加している PC は重ねて Azure AD Join することはできない • PC へのポリシー適用は MDM ツール (Intuneなど) により行われる Azure AD の ID でログオン (test001@contoso.com) MDM (Intune) Azure AD Azure AD Join デバイスオブジェクト MDM 登録 MDM ポリシー Device を Compliant としてマーク Win 10
Azure AD Join を構成するメリット 1. オンプレミス AD 廃止への第一歩 2. クラウドリソースにシングルサインオンできる 3. リモートワークをするユーザーに最適な PC 認証を提供でき る 4. 精密なデバイスベースアクセスコントロールが可能
Azure AD Joinが構成される仕組み Azure AD
Hybrid Azure AD Join について
Hybrid Azure AD Join • 既存 Domain Joined 状態はそのままに Azure AD にも登録 • オンプレミス AD の ID を利用して PC にログオン (UPN, sAMAccountName など) • Windows 7 / 8.1 /10 に対応 • オンプレ AD と Azure AD 両方にデバイス情報を保持 • PC へのポリシー適用は GPO にて実施 AD の ID でログオン (test001@contoso.com, domaintest001 など) Win 7/8.1/10 Domain Join Active Directory Azure AD Connect User 同期 Azure AD デバイスオブジェクト GPO 適用 MDM (Intune) MDM 登録 MDM 管理もできるが オプショナル
Hybrid Azure AD Join が構成される仕組み AD Azure AD 登録が成功すると、Azure AD のデバイス オブジェクトの AlternativeSecurityIds 属性にサムプリントが押された "MS-Organization-Access" という証明書が取得さ れます。
Hybrid Azure AD Join を構成するメリット 1. クラウドリソースとオンプレミスのリソース両方に SSO できる Azure AD Join と同様、基本的に PC ログインとクラウド/オンプレ両 方のアプリに SSO 2. Home Realm Discovery が不要になる クラウドリソースへのアクセス時に UPN 入力が不要になる 3. Domain Joined をベースとしたアクセスコントロールが可能 Conditional Access – Domain Joined 条件が使える
3つのデバイス管理をどう使い分 けるか
3つのデバイス管理をどう使い分けるか オンプレミス AD 環境・ OS により、利用可能な方式が決まります Windows の OS バージョン オンプレミス AD 環境 (Azure AD と同期済み) Windows 7/8.1Windows 10 Yes ※Windows 7/8.1 は 10 にアップデート オンプレミス AD 環境 (Azure AD と非同期) ワークグループ PC No ドメイン参加解除 が可能
3つのデバイス管理をどう使い分けるか Azure AD Registered Azure AD Join Hybrid Azure AD Join Windows 10 〇 〇 〇 Windows 7/8.1 × × 〇 ※ダウングレード用の設定が必要 Andoroid 〇 × × iOS 〇 × × Mac OS 〇 × ×
3つのデバイス管理をどう使い分けるか(設計例) Azure AD Register Hybrid Azure AD Join Azure AD Join 海外子会社(ドメイン環境) ADWin10 システムWin 7/8.1 海外出張所(ワークグループ環境) Win10Win 7/8.1 Update Update 国内事業所(ドメイン環境) Win 7/8.1 既存 Win10 AD AAD Connect Azure AD 新規 Win10
Dual State による トラブルシュート事例
Dual State とは ・Azure AD Registered 状態の Windows 10 デバイスが存在する状態で、 Hybrid Azure AD Join を構成すること。 ・同一の Windows 10 デバイス上に2重に Azure AD にデバイスを登録・参 加することは技術的には可能だが、注意が必要。 Azure AD AD
Dual State の問題 • Azure AD には単一のデバイスに対して二つのデバイスオブ ジェクトが作られる • Windows 10 は二つの PRT を Azure AD に送信するよう 動作する • この状態となると、右のような条件付きアクセスを構成してい るときに問題が生じる • 二つ送られる PRT のうち、「Azure AD Registered」の Device ID が先に送られた場合は条件付きアクセスを突破 できずブロックされてしまいます。 ※どちらの Device ID を送るかは制御不可
Dual State の問題(イメージ図) 例えば条件付きアクセスの「ハイブリット Azure AD 参加済みのデバイスが必要」のポリ シーが設定されている状態で Office 365 アプリケーションにシングルサインオンしたい場 合の動作。 AD の ID でログオン (test001@contoso.com, domaintest001 など) Azure AD Win 10 PRT (Device Type= Hybrid Azure AD Join) PRT (Device Type= Azure AD Registered) Office 365 条件付きアクセス ブロック
Dual State の問題 • Windows 10 (1809) もしくは Windows 10 (1803) の KB4489894適用以降のデバイス の場合、 2重登録を自動的に解除する機能が追加されています。 • ただし、2重登録自動解除の機能は、Intune に登録されている状態では機能しませ ん。 (まずはIntuneの登録自体をリタイヤなどで解除する必要があります。) Hybrid Azure AD Join + Intune の要件の際には、2重構成は NG !! グループ ポリシーを使い、 Hybrid Azure AD Join のデバイスに Intune 登録するように構成しましょう。 URL: https://docs.microsoft.com/en-us/windows/client-management/mdm/enroll-a-windows-10-device-automatically-using-group-policy#configure-the-auto- enrollment-for-a-group-of-devices
まとめ
まとめ ・クラウド環境にある Azure AD にデバイスを管理することは全くリスクはありませ ん。むしろ、オンプレミス環境で管理するよりも安全です。 ・環境にあったデバイスの管理方法を選択しましょう。 (今は Hybrid Azure AD Join のお問い合わせが本当に多くきています。つま りそれだけ現在の主流であることを意味しています) ・Dual State状態にならないように、グループ ポリシーを活用するなど、設計段 階で2重構成にならないように注意しましょう。 (一度2重構成のまま環境を構築してしまうと、正しい状態に戻す作業は本当に 大変ですし人的コストがかかります)
ご清聴ありがとうございました
Appendix (用語集) 用語 意味 DRS Device Registration Service の略。Azure AD にデバイスを登録するときにアクセスしに行く エンドポイントのこと。 SCP Service Connection Point の略。Azure AD のどのテナントにデバイスを登録しに行けばいい か、SCPに情報が格納されている。SCPの構成がただしくできていないと、デバイスがどの Azure AD テナントにデバイス登録すればいいかわからないため、 Hybrid Azure AD Join の構 成に失敗してしまう。 PRT Primary Refresh Token の略。 Azure AD が発行するトークンで、主にアプリケーションにシ ングル サインオンするために必要。 https://docs.microsoft.com/ja-jp/azure/active-directory/devices/concept-primary-refresh- token MDM Mobile Device Management の略。デバイスセキュリティ管理ツール。Microsoft が提供して いる MDM は Microsoft Intune 。

Recommended

Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Yusuke Kodama
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018Shinichiro Kosugi
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Yusuke Kodama
 
[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!
[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能![SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!
[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!TAKUYA OHTA
 
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイドM04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド日本マイクロソフト株式会社
 
【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイント【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイントyokimura
 

Recommended

Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Yusuke Kodama
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018Shinichiro Kosugi
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Azure AD の SaaS アプリケーション認証への活用
Azure AD の SaaS アプリケーション認証への活用Yusuke Kodama
 
[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!
[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能![SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!
[SCCM 友の会] System Center Configuration Manager この秋おさえておきたい最新機能!TAKUYA OHTA
 
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイドM04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド日本マイクロソフト株式会社
 
【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイント【第1回EMS勉強会】Autopilot設計時のポイント
【第1回EMS勉強会】Autopilot設計時のポイントyokimura
 
ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎Naohiro Fujie
 
Sec007 条件付きアクセス
Sec007 条件付きアクセスSec007 条件付きアクセス
Sec007 条件付きアクセスTech Summit 2016
 
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...日本マイクロソフト株式会社
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようYusuke Kodama
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようYusuke Kodama
 
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Kazuki Takai
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!Yusuke Kodama
 
Intuneによるパッチ管理
Intuneによるパッチ管理Intuneによるパッチ管理
Intuneによるパッチ管理Suguru Kunii
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手Yusuke Kodama
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計Trainocate Japan, Ltd.
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? de:code 2017
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService PrincipalToru Makabe
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vaultjunichi anno
 
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証TAKUYA OHTA
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Yusuke Kodama
 
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)TOSHIO TOJO
 
SharePoint Online へのアクセスを制限しよう
SharePoint Online へのアクセスを制限しようSharePoint Online へのアクセスを制限しよう
SharePoint Online へのアクセスを制限しようHirofumi Ota
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]日本マイクロソフト株式会社
 
20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターンID-Based Security イニシアティブ
 
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...NHN テコラス株式会社
 

More Related Content

What's hot

ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎Naohiro Fujie
 
Sec007 条件付きアクセス
Sec007 条件付きアクセスSec007 条件付きアクセス
Sec007 条件付きアクセスTech Summit 2016
 
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...日本マイクロソフト株式会社
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようYusuke Kodama
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようYusuke Kodama
 
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Kazuki Takai
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!Yusuke Kodama
 
Intuneによるパッチ管理
Intuneによるパッチ管理Intuneによるパッチ管理
Intuneによるパッチ管理Suguru Kunii
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手Yusuke Kodama
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計Trainocate Japan, Ltd.
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? de:code 2017
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService PrincipalToru Makabe
 
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証TAKUYA OHTA
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Yusuke Kodama
 
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)TOSHIO TOJO
 
SharePoint Online へのアクセスを制限しよう
SharePoint Online へのアクセスを制限しようSharePoint Online へのアクセスを制限しよう
SharePoint Online へのアクセスを制限しようHirofumi Ota
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]日本マイクロソフト株式会社
 

What's hot (20)

ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎ハイブリッド時代のID基盤構成の基礎
ハイブリッド時代のID基盤構成の基礎
 
Sec007 条件付きアクセス
Sec007 条件付きアクセスSec007 条件付きアクセス
Sec007 条件付きアクセス
 
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
S18_ゼロトラストを目指し、Windows 10 & M365E5 を徹底活用した弊社 (三井情報) 事例のご紹介 [Microsoft Japan D...
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
 
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しようIP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
 
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
 
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
 
Intuneによるパッチ管理
Intuneによるパッチ管理Intuneによるパッチ管理
Intuneによるパッチ管理
 
適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手適切な Azure AD 認証方式の選択の決め手
適切な Azure AD 認証方式の選択の決め手
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
 
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか? [SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vault
 
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証
IT エンジニアのための 流し読み Windows 10 - Windows 10 サブスクリプションのライセンス認証
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
 
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)
最新情報でわかる Windows 10 の導入と展開 (2017/9/19 開催分)
 
SharePoint Online へのアクセスを制限しよう
SharePoint Online へのアクセスを制限しようSharePoint Online へのアクセスを制限しよう
SharePoint Online へのアクセスを制限しよう
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
S08_Microsoft 365 E5 Compliance による内部不正対策の実践 [Microsoft Japan Digital Days]
 

Similar to Azure active directory によるデバイス管理の種類とトラブルシュート事例について

働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...NHN テコラス株式会社
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~decode2016
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Yusuke Kodama
 
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -TAKUYA OHTA
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法Yusuke Kodama
 
How to walk_on_windows_azure_platform
How to walk_on_windows_azure_platformHow to walk_on_windows_azure_platform
How to walk_on_windows_azure_platformYoshida Yuri
 
使ってみようAzure activedirectory
使ってみようAzure activedirectory使ってみようAzure activedirectory
使ってみようAzure activedirectoryTsukasa Kato
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキTetsuya Yokoyama
 
SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221Hitoshi Ikemoto
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現junichi anno
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際de:code 2017
 
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 Ai Hayakawa
 
Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Toshihiko Sawaki
 
Intro jazuggirls 20120125
Intro jazuggirls 20120125Intro jazuggirls 20120125
Intro jazuggirls 20120125Saori Ando
 
Sec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるidSec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるidTech Summit 2016
 

Similar to Azure active directory によるデバイス管理の種類とトラブルシュート事例について (20)

20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
 
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
INF-007_ハイブリッドな Active Directory の設計 ~Windows Server 2016 版~
 
[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
 
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
IT エンジニアのための 流し読み Windows - Windows 365 ってどんな感じ? - せっかちなあなたへ編 -
 
Keynote
KeynoteKeynote
Keynote
 
Azure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデートAzure Active Directory 最新活用シナリオアップデート
Azure Active Directory 最新活用シナリオアップデート
 
モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法モダンアクセスコントロール実現に向けた戦略策定方法
モダンアクセスコントロール実現に向けた戦略策定方法
 
How to walk_on_windows_azure_platform
How to walk_on_windows_azure_platformHow to walk_on_windows_azure_platform
How to walk_on_windows_azure_platform
 
使ってみようAzure activedirectory
使ってみようAzure activedirectory使ってみようAzure activedirectory
使ってみようAzure activedirectory
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
 
SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221SAP on Azure Cloud Workshop Material Japanese 20190221
SAP on Azure Cloud Workshop Material Japanese 20190221
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
 
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像 MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
MS Interact 2019 - Azureサービスで実現するセキュリティ全体像
 
Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02
 
Intro jazuggirls 20120125
Intro jazuggirls 20120125Intro jazuggirls 20120125
Intro jazuggirls 20120125
 
[Japan Tech summit 2017] CLD 021
[Japan Tech summit 2017] CLD 021[Japan Tech summit 2017] CLD 021
[Japan Tech summit 2017] CLD 021
 
Sec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるidSec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるid
 

Azure active directory によるデバイス管理の種類とトラブルシュート事例について

  • 1. Azure Active Directory によるデバ イス管理の種類とトラブルシュー ト事例について 2019年6月22日 .Net ラボ勉強会 日本マイクロソフト株式会社 山口 真也 AZURE & IDENTITY AZURE IDENTITY サポートエンジニア
  • 2. 自己紹介と Azure のサポートについて 名前:山口 真也(やまぐち しんや) ・日本マイクロソフトで Azure AD のサポート エンジニア ・今年の7月で日本マイクロソフトにジョインして丸1年になります。 ・前職までは、ゲーム会社やSIerでインフラ エンジニアをやっていました。 ・Qiita やっています。https://qiita.com/Shinya-Yamaguchi ・Facebook (https://www.facebook.com/shinya.yamaguchi.92) ・Twitter @izuru_yamarara --- ・日本マイクロソフトのAzure のサポートは大きく、 IaaS・PaaS・ Identity(Azure AD)の3あります。 ・その中で Identity のサポートメンバーは25人ほどで日本のお客様を中心に サポートしています。(グローバルのお客様もサポートしています)
  • 3. 目次 1. Azure Active Directoryとは 2. 条件付きアクセスとは 3. デバイスを管理するということ 4. Azure AD Registered (Azure AD 登録) について 5. Azure AD Join (Azure AD 参加) について 6. Hybrid Azure AD Join について 7. 3つのデバイス管理をどう使い分けるか 8. Dual State によるトラブルシュート事例 9. まとめ
  • 5. Azure Active Directory とは 弊社公開情報より抜粋 Azure Active Directory (Azure AD) は Microsoft が提供する クラウドベースの ID およびアクセス管理サービスであり、 次のリソースへのサインインとアクセスを支援します。  Microsoft Office 365、Azure portal、その他何千という SaaS アプリケーションなど、外部リソース。  企業ネットワークとイントラネット上のアプリや、自分 の組織で開発したクラウド アプリなどの内部リソース。
  • 7. Azure AD は Azure 上に Active Directoy をたてる事ではありません Active Directory Domain Service (AD DS) Azure Active Directory Azure Active Directory Domain Services ・オンプレミスのみで構成 ・IaaS の Virtual Machine 上に Domain Controller を構築する ・機能はオンプレミスと同じ Virtual MachineDomain Controller Domain Controller Azure AD Domain Controller PC Office 365 PC ・オンプレミス AD とは別もの ・ クラウド アプリケーションの認証で 利用される ・ Office 365 など ・PasS 版の Domain Controller ・諸々制限あり ・Azure VM 用 Active Directory Active Directory Domain Services Server PCServer (Virtual Machine) Mobile (AD DS) (Azure AD) (Azure AD DS) サーバーを自分で管理 サーバーがクラウドに
  • 8. Azure AD ができること ・アプリケーション管理 ・Authentication ・企業間 (B2B) ・企業 – 消費者間 (B2C) ・条件付きアクセス ・開発者のための Azure Active Directory ・デバイスの管理 ・ドメイン サービス ・エンタープライズ ユーザー ・ハイブリッド ID ・ Identity Governance ・ Identity Protection ・ Azure リソースのマネージド ID ・ Privileged Identity Management (PIM) ・レポートと監視
  • 9. 本セッションではこの2つを扱います ・アプリケーション管理 ・Authentication ・企業間 (B2B) ・企業 – 消費者間 (B2C) ・条件付きアクセス ・開発者のための Azure Active Directory ・デバイスの管理 ・ドメイン サービス ・エンタープライズ ユーザー ・ハイブリッド ID ・ Identity Governance ・ Identity Protection ・ Azure リソースのマネージド ID ・ Privileged Identity Management (PIM) ・レポートと監視
  • 13. Azure ADによるデバイス管理は年々増加 Access ReviewsConditional Access Multi-Factor Authentication Addition of custom cloud apps Remote Access to on-premises apps Privileged Identity Management Dynamic Groups Identity ProtectionAzure AD DS Office 365 App Launcher Group-Based Licensing Access Panel/MyApps Azure AD Connect Connect Health Provisioning- DeprovisioningAzure AD Join Self-Service capabilities MDM-auto enrollment / Enterprise State Roaming Security Reporting Governance HR App Integration B2B collaboration Azure AD B2CSSO to SaaS Microsoft Authenticator - Password-less Access 40M 2.2M2.6M +275% YoY +225% YoY +250% YoY +420% YoY +500% YoY 6M107M
  • 14. Windows 10 コンピューターのデバイス管理方法 Azure AD AD Azure AD joined (AADJ) Azure AD AD Hybrid Azure AD joined (HAADJ) AD Azure AD Azure AD registered (WPJ)
  • 16. 条件付きアクセスによるデバイス管理 条件付きアクセスを使うことで、柔軟なデバイ ス管理が可能となる。 • Hybrid Azure AD Join • Azure AD Join + MDM 準拠 • Azure AD Registered + MDM 準拠 • Hybrid Azure AD Join + MDM 準拠
  • 17. Azure AD Registered (Azure AD 登録) について
  • 18. Azure AD Registered (BYODで活用) MDM (Intune) MDM 登録 デバイスベースのアクセスコン トロールを行う場合に必要 • 会社で管理されていないデバイス・組織外のデバイスを想定した機能 • PC へのログオン方法は従来と変わらない(ローカルアカウント or AD アカウント) • Windows 10 のみ対応 • 主に外部組織のリソースへの SSO を得る場合に利用されるケースが多い ローカル PC アカウント or オンプレ AD のアカウント でログオン Azure AD Azure AD Register デバイスオブジェクト MDM ポリシー Device を Compliant としてマーク Win 10
  • 19. Azure AD Join (Azure AD 参加) について
  • 20. Azure AD Join • Windows PC をクラウドのみで管理するパターン。デバイスの情報は Azure AD に保持される • PC へのログオンは Azure AD の ID で行う (test001@contoso.com など) • Windows 10 のみがこの方式を利用可能 • 既にオンプレミス AD に参加している PC は重ねて Azure AD Join することはできない • PC へのポリシー適用は MDM ツール (Intuneなど) により行われる Azure AD の ID でログオン (test001@contoso.com) MDM (Intune) Azure AD Azure AD Join デバイスオブジェクト MDM 登録 MDM ポリシー Device を Compliant としてマーク Win 10
  • 21. Azure AD Join を構成するメリット 1. オンプレミス AD 廃止への第一歩 2. クラウドリソースにシングルサインオンできる 3. リモートワークをするユーザーに最適な PC 認証を提供でき る 4. 精密なデバイスベースアクセスコントロールが可能
  • 23. Hybrid Azure AD Join について
  • 24. Hybrid Azure AD Join • 既存 Domain Joined 状態はそのままに Azure AD にも登録 • オンプレミス AD の ID を利用して PC にログオン (UPN, sAMAccountName など) • Windows 7 / 8.1 /10 に対応 • オンプレ AD と Azure AD 両方にデバイス情報を保持 • PC へのポリシー適用は GPO にて実施 AD の ID でログオン (test001@contoso.com, domaintest001 など) Win 7/8.1/10 Domain Join Active Directory Azure AD Connect User 同期 Azure AD デバイスオブジェクト GPO 適用 MDM (Intune) MDM 登録 MDM 管理もできるが オプショナル
  • 25. Hybrid Azure AD Join が構成される仕組み AD Azure AD 登録が成功すると、Azure AD のデバイス オブジェクトの AlternativeSecurityIds 属性にサムプリントが押された "MS-Organization-Access" という証明書が取得さ れます。
  • 26. Hybrid Azure AD Join を構成するメリット 1. クラウドリソースとオンプレミスのリソース両方に SSO できる Azure AD Join と同様、基本的に PC ログインとクラウド/オンプレ両 方のアプリに SSO 2. Home Realm Discovery が不要になる クラウドリソースへのアクセス時に UPN 入力が不要になる 3. Domain Joined をベースとしたアクセスコントロールが可能 Conditional Access – Domain Joined 条件が使える
  • 28. 3つのデバイス管理をどう使い分けるか オンプレミス AD 環境・ OS により、利用可能な方式が決まります Windows の OS バージョン オンプレミス AD 環境 (Azure AD と同期済み) Windows 7/8.1Windows 10 Yes ※Windows 7/8.1 は 10 にアップデート オンプレミス AD 環境 (Azure AD と非同期) ワークグループ PC No ドメイン参加解除 が可能
  • 29. 3つのデバイス管理をどう使い分けるか Azure AD Registered Azure AD Join Hybrid Azure AD Join Windows 10 〇 〇 〇 Windows 7/8.1 × × 〇 ※ダウングレード用の設定が必要 Andoroid 〇 × × iOS 〇 × × Mac OS 〇 × ×
  • 30. 3つのデバイス管理をどう使い分けるか(設計例) Azure AD Register Hybrid Azure AD Join Azure AD Join 海外子会社(ドメイン環境) ADWin10 システムWin 7/8.1 海外出張所(ワークグループ環境) Win10Win 7/8.1 Update Update 国内事業所(ドメイン環境) Win 7/8.1 既存 Win10 AD AAD Connect Azure AD 新規 Win10
  • 32. Dual State とは ・Azure AD Registered 状態の Windows 10 デバイスが存在する状態で、 Hybrid Azure AD Join を構成すること。 ・同一の Windows 10 デバイス上に2重に Azure AD にデバイスを登録・参 加することは技術的には可能だが、注意が必要。 Azure AD AD
  • 33. Dual State の問題 • Azure AD には単一のデバイスに対して二つのデバイスオブ ジェクトが作られる • Windows 10 は二つの PRT を Azure AD に送信するよう 動作する • この状態となると、右のような条件付きアクセスを構成してい るときに問題が生じる • 二つ送られる PRT のうち、「Azure AD Registered」の Device ID が先に送られた場合は条件付きアクセスを突破 できずブロックされてしまいます。 ※どちらの Device ID を送るかは制御不可
  • 34. Dual State の問題(イメージ図) 例えば条件付きアクセスの「ハイブリット Azure AD 参加済みのデバイスが必要」のポリ シーが設定されている状態で Office 365 アプリケーションにシングルサインオンしたい場 合の動作。 AD の ID でログオン (test001@contoso.com, domaintest001 など) Azure AD Win 10 PRT (Device Type= Hybrid Azure AD Join) PRT (Device Type= Azure AD Registered) Office 365 条件付きアクセス ブロック
  • 35. Dual State の問題 • Windows 10 (1809) もしくは Windows 10 (1803) の KB4489894適用以降のデバイス の場合、 2重登録を自動的に解除する機能が追加されています。 • ただし、2重登録自動解除の機能は、Intune に登録されている状態では機能しませ ん。 (まずはIntuneの登録自体をリタイヤなどで解除する必要があります。) Hybrid Azure AD Join + Intune の要件の際には、2重構成は NG !! グループ ポリシーを使い、 Hybrid Azure AD Join のデバイスに Intune 登録するように構成しましょう。 URL: https://docs.microsoft.com/en-us/windows/client-management/mdm/enroll-a-windows-10-device-automatically-using-group-policy#configure-the-auto- enrollment-for-a-group-of-devices
  • 37. まとめ ・クラウド環境にある Azure AD にデバイスを管理することは全くリスクはありませ ん。むしろ、オンプレミス環境で管理するよりも安全です。 ・環境にあったデバイスの管理方法を選択しましょう。 (今は Hybrid Azure AD Join のお問い合わせが本当に多くきています。つま りそれだけ現在の主流であることを意味しています) ・Dual State状態にならないように、グループ ポリシーを活用するなど、設計段 階で2重構成にならないように注意しましょう。 (一度2重構成のまま環境を構築してしまうと、正しい状態に戻す作業は本当に 大変ですし人的コストがかかります)
  • 39. Appendix (用語集) 用語 意味 DRS Device Registration Service の略。Azure AD にデバイスを登録するときにアクセスしに行く エンドポイントのこと。 SCP Service Connection Point の略。Azure AD のどのテナントにデバイスを登録しに行けばいい か、SCPに情報が格納されている。SCPの構成がただしくできていないと、デバイスがどの Azure AD テナントにデバイス登録すればいいかわからないため、 Hybrid Azure AD Join の構 成に失敗してしまう。 PRT Primary Refresh Token の略。 Azure AD が発行するトークンで、主にアプリケーションにシ ングル サインオンするために必要。 https://docs.microsoft.com/ja-jp/azure/active-directory/devices/concept-primary-refresh- token MDM Mobile Device Management の略。デバイスセキュリティ管理ツール。Microsoft が提供して いる MDM は Microsoft Intune 。