ROOM B
危険要因はどこにあるのか?
61% の会社員が 1 つのデバイスをプライベートと業務に使用している**
* Gartner: Making Sense of Bring Your Own Device (BYOD) and Choose Your Own Device (CYOD) ** Forrester Research: “BT Futures Report: Info workers will erase boundary between enterprise & consumer technologies,” Feb. 21, 2013
*** Source Verizon 2013 data breach investigation report
>70% のネットワーク侵入が脆弱性や盗まれた認証情報によって実行されている
***
50% の企業がスマートフォーンによる BYOD を導入しようとしている*
Windows 10 ではパスワード無し運用が可能に
UserID
Password
User ID/Password
アタックを受けやすい!
• パスワードは認証サーバーに送信される
Token
UserID
Token Request
• PIN はローカルPCで使われる
Token
PIN
1 兆サービスのリリース以降、こなしてきた認証数
5000 万Office 365 の毎月のアクティブユーザー
>10 億Azure AD で毎日行われる認証の数
>50 億Azure Active Directoryに登録されているオブジェクト数
Azure AD は
>500万 の
組織情報を管理している
86% Fortune 500 社のうちマイクロソフトのクラウド
(Azure, O365, CRM Online, Power BI)を使用している企業
Azure AD を数字で見てみよう
Office 365 や Microsoft Azure を利用している方は、
知らない間に Azure Active Directory を使用しています!
※ ISV 様が自社開発 SaaS アプリをギャラリーに登録申請することもできます
http://myapps.microsoft.com/Web page title
https://webapps.Microsoft.com/
• アプリケーションのポータル• ユーザーは、サービスをクリックすれば SSO でアクセス可能
• 表示されるアプリは「アクセス権が与えられた」もののみ
http://myapps.microsoft.com/
On-premise
Web page titlehttps://webapps.Microsoft.com/
sign-in
ID
同期
Passwordを
入力するアプリ
SAML対応アプリ
ブラウザの専用アドイン(マイクロソフト製)が、パスワード入力を補助する※アクセスパネルを経由しないと自動入力は不可
事前にIDとパスワードを設定(セルフサービス)しておけば、クリックだけでIDとパスワードを自動入力してくれる
Azure AD 側でアプリケーションにアクセス可能なユーザー ID を制限
• ユーザー単位
• グループ単位(要 Azure ADPremium)
アプリケーション単位+グループ単位に、多要素認証の要否を設定可能
18
シングルサインオン URL• アクセスパネルに登録したアプリケーション単位に、SSO の URL を抜き出すことが可能
• 独自のポータルやデスクトップに URL を貼り付けられるので、毎回アクセスパネルを開く必要が無い
https://myapps.microsoft.com/signin/Facebook/09
a8533a84832fc98a5b7f567fa022e8
22
ID /パスワード同期
ID/Password 同期
ID のみ同期
• 複数の AD ドメインを Azure AD に集約できる
• 同期には Azure AD Connect ツール(無償)を使用
フェデレーション信頼
Azure AD
デバイス登録
サービス
(DRS)
• Windows 10 はActive Directory ドメインまたはAzure ADテナントに参加できる※同時に参加することはできない
• グループポリシーの代わりに Microsoft Intune(MDM)でポリシー管理
Azure AD
Azure AD テナントにデバイス登録
セキュリティポリシー/アプリ配布Intune
• 参加後の SSO の方式が大きく異なる
AD Domain Join:Kerberos TGT
Azure AD Join :Microsoft Passport
• セキュリティポリシーによるガバナンス
• AD Domain :グループポリシー
• Azure AD Join :MDM(Microsoft Intune)
• TPM に格納したキーをベースに PRT(プライマリリフレッシュトークン)を発行
• PRT を Azure AD に提示すると、アプリケーションにアクセスするためのアクセストークンを受け取ることができる(クラウドレベルの Kerberos TGT)
• TPM からキーを取り出すには PIN の入力が必要
• ハードウェア+ PIN による認証
• PIN 入力の代わりに Windows Hello(生体認証)も利用可能
• 認証のためにパスワードは使用しない
• Windows 10 + Azure AD でサポート
• 独自開発で他のアイデンティティプロバイダーに対応することも可能
• Windows 10 + Windows Server 2016 AD でサポート予定
TPM:Trusted Platform Module
FIDO ALLIANCE
“By 2015, a large portion of Internet users will say goodbye to the old-school username and password in favor of methods such as biometrics and one-time secure keys, especially after the big players in the group begin to adopt the new standards.”
MICHAEL BARRETT, FIDO ALLIANCE PRESIDENT
Source: http://www.marketwatch.com/story/in-2015-it-wont-matter-if-hackers-steal-your-password-2014-08-08
“In 2015 it won’t matter if hackers steal your password”
のるしかない、この BIG WAVE に!
Access to Application
TPM
Azure AD
• PRT(プライマリリフレッシュトークン)を使用して、アクセストークンを取得する
❷トークン要求
❶アクセス
❸プライマリリフレッシュトークン送信
❹アクセストークン取得
❺アクセストークン送信
TPM
Windows 10 とネイティブアプリケーション• 通常、ネイティブアプリケーションは「隔離」されているため、他のアプリケーションとトークンを共有することができない
• Windows 10 ではネイティブアプリを「Web Account Manager」に対応させることで完全な SSO が可能
Web Account Provider1
Azure AD
Native Application
Token Broker
Token Broker plug-in
Web Account Manager
Token を持っていればそれを利用。持っていなければ要求。
iOS Android
Native
C#/JS
ADAL .NET + Xamarin
Apache Cordova Plugin for ADAL
ADAL .NETADAL Obj-C ADAL Android
Web
Account
Manager
• AD Domain Join
グループポリシー
• ドメインに参加すると自動的に適用
• 従来通りの方法
• きめの細かい管理、制御
• Azure AD Join
MDM(Microsoft Intune)
• Azure AD に参加すると自動的にエンロール
• モバイルデバイス/アプリケーション管理
• グループポリシーほど設定項目はない