Azure Active Directory 最新活用シナリオアップデート
5 likes2,071 views
Microsoft Corporation Customer Experience Team, Identity Division Program Manager 兒玉 雄介 氏
Azure Active Directory 最新活用シナリオアップデート
- 2. • 時間 30 分で可能な限り • 話しきれなかった分は資料を参照! Azure AD の最新の動向をキャッチアップする
- 4. いますぐブックマークしてください http://aka.ms/AzureAdWebinar # 日時 テーマ 1 3/7(木) 13:30-14:30 モダンアクセスコントロール実現に向けた戦略策定方法 Enterprise strategy towards modern access control 2 3/20(水) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編 Azure AD Conditional Access deep dive - How it works 3 4/4(木) 13:30-14:30 詳説!Azure AD 条件付きアクセス - 設計のやり方編 Azure AD Conditional Access deep dive - Design methodology 4 4/18(木) 13:30-14:30 Azure AD の新しいデバイス管理パターンを理解しよう Modern device management with Azure AD 5 5/9(木) 13:30-14:30 Intuneによるモバイルデバイスとアプリのセキュアな管理とは Manage and secure mobile devices and apps with Intune 6 5/16(木) 13:30-14:30 Hybrid Azure AD Join 動作の仕組みを徹底解説 Hybrid Azure AD Join deep dive 全 16 セッションを配信中 (過去セッションについてはレコーディングを配信中) Season #3: 企業の ID/Security 環境のモダン化をどのように進めればよいか?というテーマに即したセッション
- 5. • 認証関連 • B2B 関連 • セキュリティ/ガバナンス関連
- 6. • アプリ連携
- 8. Azure AD へのログインの際にユーザー名/パスワードを利用せず、Microsoft Authenticator での承認を利用してログインすることができる機能 ポイント 考慮点 • 有効化後、フェデレーションサービスはデフォルトでバイパスされる (=条件付きアクセスとの併用が実質必須) Microsoft のパスワードレス戦略とは? Announcement on EMS blog Password-less phone sign-in with the Microsoft Authenticator app (public preview)
- 10. Azure MFA の要素として利用できるものとして、新たにハードウェアトークンの利 用が可能となった ポイント 考慮点 • OATH-TOTP トークンで 30 秒または 60秒 • シークレットキーの最大長は 128 Announcement on EMS blog What are authentication method?
- 11. MFA メソッドをリセットするための管理者ロールが新たに Azure Active Directory ロールとして追加された ポイント 考慮点 • リセットできるのは MFA の要素のみ (パスワードリセットはできない) • このロールでも Azure AD の管理者ロールに属するユーザーの MFA リセットはできない (将来的に Privileged Authentication Administrator という別のロールで対応予定) Authentication Administrator
- 13. タイプ 説明 ゲストとしてのサインイン方法 1 1.1 ゲストは Azure AD にアカウントを持つパートナーユーザーはAzure AD にアカウントを持つ Azure AD のアカウント 1.2 パ-トナー企業のAzure ADテナントが存在するが、招待されたゲストのア カウントが存在しない サポートされていない ワンタイムパスコード (OTP) 2 パートナーはIT部門を持ち、ID管理がされているが、Azure ADを利用してい ない (例 OnPrem, G-Suite) 非管理テナント上にアカウント作成 ダイレクトフェデレーション ワンタイムパスコード (OTP) 3 パートナー企業はITに部門を持たない ユーザーはソーシャルIDを利用している (例 Gmail, MSA, yahoo.com) Microsoft Account ない場合は作成 Google Federation ワンタイムパスコード (OTP)
- 14. 組織の Azure AD テナントに対して、Google ID (google.com) でログイン できるようになった、という Azure AD B2B の機能拡張 ポイント Announcement on EMS blog Add Google as an identity provider for B2B guest users 考慮点 comtest@gmail.comcomtest@gmail.com
- 15. 既存 B2B の抱える様々な問題を解決する External ユーザーの新しい認証 方式 ポイント Announcement on EMS blog Email one-time passcode authentication 考慮点
- 16. 自組織の Azure AD と外部組織の IDP を直接フェデレーションさせることで、 非管理 Azure AD テナントや不要な MSA 作成を避ける機能 • SAML or WS-Fed による IdP との連携 • オンプレ IDP (ADFS, Ping など) やクラウド IDP (Okta, Auth0 など) をサポート予定
- 17. エンドユーザーが割り出されやすいパスワードを利用できないようにする機能 パスワード攻撃の対策として ポイント 考慮点 • オンプレへの導入には AD メンバーサーバーが追加で必要 GA announcement in EMS Blog Eliminate bad passwords in your organization Password Protection のオンプレ AD への適用
- 19. Announcement in EMS Blog Private Preview Sign Up ユーザーが、正しいリソースに正しい期間アクセスするためのライフサイクル管理機能 ゲストアカウントのライフサイクルに悩んでいる組織の手助けにも • 社員入社後のリソースアクセス権付与を自動化/セルフサービス化 • ビジネスパートナーによる自組織のリソース利用のリクエスト/承認フレームワークを提供 SPO サイト グループ アプリケーション プロジェクト A のメンバー に必要な権限セット 権限セット 人事部門社員に必要な 権限セット 承認者 社員、ゲスト • 申請対象者、利用期間、承認有無 • 期間終了時のゲストアカウントの取り扱い (残す or 削除)
- 20. • ZScaler に対する ID 自動プロビジョニング機能 • Azure Application Proxy の SAML アプリ対応 • これまで SSO の設定と App Proxy を別にやらなければいけなかった制約の排除 • Microsoft Authenticator App sends security notifications • パスワードが変更されました、などの通知がアプリ経由で届くように Developer New App Registration Experience