Download as PDF, PPTX
More Related Content
![[SC04] あなたのサービスを "ID" で守る! Azure Active Directory の条件付きアクセスの基礎と実装](https://cdn.slidesharecdn.com/ss_thumbnails/sc04-170614044153-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Japan Tech summit 2017] SEC 010](https://cdn.slidesharecdn.com/ss_thumbnails/techsummit2017pdfsec010-171127040527-thumbnail.jpg?width=640&height=640&fit=bounds)
Sec007 条件付きアクセス
- 1. Session ID:SEC007 本情報の内容(添付文書、リンク先などを含む)は、Microsoft TechSummit 開催日(2016年11月1-2日)時点のものであり、予告なく変更される場合があります。
- 2.
- 3.
- 4. オンプレミス時代の 保護対象 人(ID) デバイス データ・アプリ WindowsPC (95%) AD (95%)
- 5. 人(ID) デバイス データ・アプリ WindowsPC (95%) AD (95%) Exchange Online SharePoint Online Yammer Groups
- 6. 人(ID) デバイス データ・アプリ WindowsPC (95%) AD (95%) Exchange Online SharePoint Online Yammer Groups
- 7. 人(ID) デバイス データ・アプリ WindowsPC (95%) AD (95%) Exchange Online SharePoint Online Yammer Groups ID の不正利用からの保護 安全なデバイスからのアクセス クラウド時代の 保護対象
- 8.
- 9.
- 10. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 CompliancePolicy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 MFAの強制 許可 ブロック リスク セッション リスク IDリスク
- 11. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 CompliancePolicy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 MFAの強制 許可 ブロック リスク セッション リスク IDリスク
- 12. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 CompliancePolicy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 MFAの強制 許可 ブロック リスク セッション リスク IDリスク
- 13. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 CompliancePolicy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 MFAの強制 許可 ブロック リスク セッション リスク IDリスク
- 15. Microsoft Tech Summit ロケーションベース アクセスルール
- 17.
- 18. Microsoft Tech Summit IDの不正利用からの保護(MFA)
- 19. ID の不正利用からの保護 Azure Multi-FactorAuthentication (Azure MFA) ユーザーが 知ってる 情報 ユーザーが 持っている もの ログイン
- 20. ID の不正利用からの保護 モバイルアプリ 通話ショート メッセージ 承認しますか? 1 4 5 6 7 6
- 21. ユーザーへのメリット • 過度なパスワード要件を求めら れず、ある程度覚えやすいパス ワードが利用可能 管理者へのメリット • 多要素認証専用の機器(トーク ン等)の管理が不要 •SaaS, 社内 Web アプリにも 利用可能 セキュリティ上のメリット • ID 流出による不正アクセス防止 1. サイン イン試行 Azure AD 2. 多要素認 証の要求 3. サイン イン成功 PIN: **** https://azure.microsoft.com/ja-jp/documentation/articles/multi-factor-authentication/
- 22.
- 23.
- 24. CompliantDomain Joined Azure AD ステータス書き込み オブジェクト登録 管理されていないデバイス オンプレAD 下記のいずれかのデバイスを許可 ① Intune で管理されポリシーが適用されたモバイル デバイス ② ドメインに参加した Windows PC デバイス管理製品(Microsoft Intune)に デバイス登録・ポリシー適用されているデバイスからの み SaaS アプリへの接続を許可する機能
- 26. iOS 標準メール利用時 iOSOne Drive アプリ利用時 iOS Word アプリ利用時
- 27.
- 28.
- 29.
- 30.
- 31. 管理対象アプリ 個人用アプリ個人用アプリ (Personal Apps) 管理対象の企業アプリ (Managed Appswith Corporate Account) Mobile Application Management (MAM) とは 管理対象のアプリからの情報漏えい防止機能 - アプリ起動時の認証 - データ共有(転送)の制御 - データ保存の制御 - コピー&ペーストの制御 Outlook 起動時の PIN 要求 添付ファイル利用時の 保存の制御 メール本文の Link を Managed Browser から起動
- 33.
- 34. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 CompliancePolicy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 MFAの強制 許可 ブロック リスク セッション リスク IDリスク Office 365 やオンプレ社内 Web を含む SaaS に対して ロケーション・デバイスの状態に応じたアクセス制御が可能 ID の不正利用 紛失 情報漏えい
- 35.
- 36. Azure AD Browser Unified enrollment Deviceobject - Device ID - isManaged - MDMStatus Webサイトへのア クセスが検疫され、 デバイスの登録が 促される Office 365 Email service Intune 4 Register device in Azure AD 1 AAD => WorkPlace Join Intune => デバイス登録 3 Enroll into Intune 4 デバイスの管理と、 ポリシーの適用 5 8 Exchange から データを取得 Intuneへ リダイレクト 2ブラウザを利用して Exchange へ接続 7 6 条件付きアクセスの仕組み(ブラウザの例) サインイン用の クッキーを発行 条件付きアクセスはどこで機能しているのか?
- 37. • ADAL またはWAM API を使用するアプリケーション https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-device-remediation/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-policy-connected-applications/
- 38. • ADAL またはWAM API を使用するアプリケーション https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-automatic-device-registration-setup/ https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-conditional-access-policy-connected-applications/ • ADAL 非サポート
- 39. https://technet.microsoft.com/ja-jp/library/mt710548.aspx SAML 2.0 WS-Federation OpenID Connect OAuth2.0 Office 365 Email service SharePoint (API) service
- 40. Azure AD Browser Unified enrollment Deviceobject - Device ID - isManaged - MDMStatus Webサイトへのア クセスが検疫され、 デバイスの登録が 促される Office 365 Email service Intune 4 Register device in Azure AD 1 AAD => WorkPlace Join Intune => デバイス録 3 Enroll into Intune 4 デバイスの管理と、 ポリシーの適用 5 8 Exchange から データを取得 Intuneへ リダイレクト 2 7 6 条件付きアクセスの仕組み(ADAL 非対応の例) サインイン用の クッキーを発行 Office 2010 POP/IMAP SharePoint (API) service 1 ユーザーID/パス ワードを利用し て認証 データを取得 2 データを取得 2 認証がAzure ADに来ないため 条件が適用できない
- 41. Office 365 Email service ADAL 非対応アプリの対策 Office2010 POP/IMAP SharePoint (API) service https://aka.ms/sec007adfs AD FS Claim Rule
- 42.
- 43. • モバイル アプリ単位のアクセス制御 •Intune MAM アプリのみアクセスを許可 • Exchange Online • Outlook for iOS, Android • ブラウザアクセスは計画中 • SharePoint Online • 計画中 MAM Policy 適用 Native/3rd Party Mail app Outlook for iOS, Android Exchange Online Azure Active Directory
- 44. • Lookout MobileThreat Protection • モバイル デバイス( iOS, Android ) リスク ベース • 中間者攻撃 • マルウェア感染 • Cisco ISE • Network Access control ( Wi-Fi, VPN ) との連携 • Citrix NetScaler • VPN ソリューションとの連携
- 45. LOOKOUT MTP CONSOLE INTUNECONSOLE ALERT MALWARE DETECTED MALWARE DETECTED CONDITIONAL ACCESS CONDITIONAL ACCESS STOP EMAIL ACCESS LOCK MANAGED APPS Lookout Mobile Threat Protection 連携
- 46. ALERTCONDITIONAL ACCESS LOOKOUT MTP CONSOLE INTUNECONSOLE MALWARE DETECTED MALWARE DETECTED CONDITIONAL ACCESS STOP EMAIL ACCESS LOCK MANAGED APPS USER REMEDIATIONCONDITIONAL ACCESS THREAT REMEDIATED THREAT REMEDIATED Lookout Mobile Threat Protection 連携
- 47. アプリ アプリ毎のルール クライアントの種類 (Web, Rich, mobile) クラウド、 オンプレミスの アプリケーション ユーザーID グループメンバーシップ デバイス ドメイン参加 CompliancePolicy 準拠 プラットフォームの種類 (Windows, iOS, Android) 場所 IP アドレスの範囲 MFAの強制 許可 ブロック リスク セッション リスク IDリスク Office 365 やオンプレ社内 Web を含む SaaS に対して ロケーション・デバイスの状態に応じたアクセス制御が可能 ID の不正利用 紛失 情報漏えい