5. Azure AD の新しいデバイス管理パターンを理解
日程 (仮) トピック
3/7(木)
13:30-14:30
モダンアクセスコントロール実現に向けた戦略策定方法
Enterprise strategy towards modern access control
3/20(水)
13:30-14:30
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Azure AD Conditional Access deep dive - How it works
4/4(木)
13:30-14:30
詳説!Azure AD 条件付きアクセス - 設計のやり方編
Azure AD Conditional Access deep dive - Design methodology
4/18(木)
13:30-14:30
Azure AD の新しいデバイス管理パターンを理解しよう
Modern device management with Azure AD
5/9 (木)
13:30-14:30
Intuneによるモバイルデバイスとアプリのセキュアな管理とは
Manage and secure mobile devices and apps with Intune
6/6 (木)
10:00-11:00
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join deep dive
これまでのセッションも
こちらから!
http://aka.ms/AzureAdWebinar
13. How to Hybrid Azure AD join a Windows device
Required ver 1.1.819.0 or later
https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-federated-domains
19. Hybrid Azure AD join の考慮点
SUPPORTED ENVIRONMENTSSUPPORTED DEVICES
Windows current devices
(domain-joined)
Automatic on Windows 10 and
Windows Server 2016
Single forest syncing to multiple
tenants is not supported.
Multi-forest Single-tenant is supported
When using Sysprep, or VM snapshot
make sure the device has not been
Hybrid Azure AD joined (will be fixed in
1809).
Windows down-level configured for
user profile roaming or credential
roaming is not supported.
Windows current device is registered in
the context of the system, whereas
Windows down-level is registered in
the context of the user.
Windows Server running DC is not
supported.
Federated Domains using AD FS
Windows down-level devices
(domain-joined)
Requires MSI on Windows 8.1,
Windows 7, Windows Server
2012 R2, Windows Server 2012
and Windows Server 2008 R2
Requires SCP and AD FS claim
rules to be configured.
Join is instantaneous, uses
Azure AD Connect as a fallback
for Windows 10.
Managed Domains using
Seamless SSO
Requires SCP to be configured.
Relies on Azure AD Connect for
Windows 10.
Federated Domains using 3rd
party IDP
Requires SCP to be configured.
Requires support for WS-Fed
and WS-Trust.
THINGS TO KNOWSUPPORTED SCENARIOS
SSO across on-premise and cloud apps
Conditional Access to protect cloud
and on-premise resources
Requires device writeback for
on-premise CA
Self-service Password Reset
Requires PHS and password
writeback or PTA
Windows Hello for Business
Requires device writeback
21. Hybrid Azure AD Join – Federated Registration
Microsoft Azure
Active Directory
Windows Server
Active Directory Forest
1. User sign-in PC
W10 On Prem
Domain Joined
2.Readtenant
domainnamefrom
SCP
4. Get ID token from Azure AD for DRS
5. Send ID token, cert req, pub keys to DRS
7. Device Certificate
6. DRS Registers Device to Azure AD
25. Windows 10 – User+Device Authn – 1st Logon
Microsoft Azure
Active Directory
W10 Device
1. User Authn
1. Home Realm Discovery
(Azure AD returns MEX endpoint)
3.SAML Token + Device cert
signed with dkpriv
4. PRT + E[Session Key]tk
https://docs.microsoft.com/en-us/azure/active-directory/devices/concept-primary-refresh-token#detailed-flows
26. Hybrid Azure AD Join – Managed Registration
Microsoft Azure
Active Directory
Windows Server
Active Directory Forest4.GPOSignalsAADJ
(OptionalafterRS1)
W10 On Prem
Domain Joined
5.Readtenant
domainnamefrom
SCP
Azure AD
Connect
2.PublicpartCertis
storedinAD 9. Update device object
33. Windows 7/8.1 domain joined registration
Azure Active Directory
Windows 7
Domain Joined
Windows Installer package deployed
(e.g. GP or SCCM)
Sign-in to
Windows
Task
AutoWPJ.exe
Active Directory
Get tenant info from user’s forest (SCP)
AD FS
Azure AD
Connect
Userrealmdiscovery
Registration
IE
Passive authentication flow
resource_params = {acr : wiaormfa}
amr & wiaormfa claims
34. Windows 7/8.1 domain joined registration
Azure Active Directory
Windows 7
Domain Joined
Windows Installer package deployed
(e.g. GP or SCCM)
Sign-in to
Windows
Task
AutoWPJ.exe
Active Directory
Get tenant info from user’s forest (SCP)
Azure AD
Connect
Userrealmdiscovery
Registration
IE
Passive authentication flow
401 Unauthorized
AuthZ header with Kerb ticket
37. Windows 10 – App token request with PRT
W10 Device
1. PRT signed by sk
Microsoft Azure
Active Directory
2. Access/Refresh Token
Encrypted by sk
4. Decrypted AT/RT
3. Decryption request AT/RT
40. サポート直伝!Dual State の罠について
Hybrid Azure AD Join と Azure AD Registered の2重構成の罠
Azure AD Registered 状態の Windows 10 デバイスが存在する状態で、
Hybrid Azure AD Join を構成しないよう注意してください!
41. Dual State の問題
Azure AD Registered の状態にある Windows 10 デバイスを、Hybrid
Azure AD Join として構成すると、Windows 10 デバイスが二重に Azure
AD に登録される Dual State と呼ばれる状態が発生する
• Azure AD には単一のデバイスに対して二つのデバイスオブジェクトが
作られる
• Windows 10 は二つの PRT を Azure AD に送信するよう動作
する
• この状態となると、右のような条件付きアクセスを構成しているときに
問題が生じる
• 二つ送られる PRT のうち、「Azure AD Registered」の Device
ID が先に送られた場合は条件付きアクセスを突破できずブロックされ
てしまいます。
※どちらの Device ID を送るかは制御不可
46. • EMS Blog: http://aka.ms/emsblog/
Azure AD (EMS) 開発チームメンバーが新機能情報をいち早く公開。また、Azure AD 管理者がおさえておく
べきセキュリティホワイトペーパーなどもこちらに投稿される
• Japan Azure Identity Support Blog: https://github.com/jpazureid/blog
新機能に関しての紹介だけでなく、日本の多くの Azure 利用者からサポート依頼を直接受けている Azure
Identity サポート エンジニアという立場から、時には私どもの視点を交えて、皆様のお役に立つ情報を発信
本日サポートしてくれサポートエンジニア山口さんのブログ投稿
https://qiita.com/Shinya-Yamaguchi
Azure AD 担当者がフォローするべき情報ソース
47. 日程 (仮) トピック
3/7(木)
13:30-14:30
モダンアクセスコントロール実現に向けた戦略策定方法
Enterprise strategy towards modern access control
3/20(水)
13:30-14:30
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Azure AD Conditional Access deep dive - How it works
4/4(木)
13:30-14:30
詳説!Azure AD 条件付きアクセス - 設計のやり方編
Azure AD Conditional Access deep dive - Design methodology
4/18(木)
13:30-14:30
Azure AD の新しいデバイス管理パターンを理解しよう
Modern device management with Azure AD
5/9 (木)
13:30-14:30
Intuneによるモバイルデバイスとアプリのセキュアな管理とは
Manage and secure mobile devices and apps with Intune
6/6 (木)
10:00-11:00
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join deep dive
今後のWebinar予定
http://aka.ms/AzureAdWebinar