Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)

11.041 Aufrufe

Veröffentlicht am

第23回 Office365勉強会で利用した資料です

Veröffentlicht in: Ingenieurwesen
  • Als Erste(r) kommentieren

Office365勉強会 #23 Azure AD のテナント設計(Office365管理者向け)

  1. 1. Azure ADのテナント設計 Office 365管理者向け 第23回 Office 365勉強会 渡辺 元気
  2. 2. 自己紹介 名前: 渡辺 元気(わたなべ げんき) 職業: 通信事業者でクラウドサービスの開発 blog: 日々徒然 https://blog.o365mvp.com/ (Office 365、Exchangeの技術ネタを中心に公開) Office 365 Community / Twitter / Facebook:genkiw
  3. 3. 注意事項 本資料については、個人で準備した環境において、個人的に実施した検証結果を基に記載しております。 あくまで個人の意見・見解であり、所属する会社・組織及びマイクロソフト社とは一切関係はございま せん。 また、本資料の内容ならびに閲覧により生じた一切の問題及び不利益について、発表者は一切の責任を 負う事はできませんのでご了承ください。
  4. 4. 書籍を出版しました Office 365管理者のための 逆引きPowerShellハンドブック 日経BP社 2018年11月19日発行 単行本:376ページ ¥3,240 • バッチファイルで利用する際の資格情報は? • エラー処理はどうするの? • 全ての実行コマンドを自動的にログに残すには? シナリオベースのヒントと実環境で活用するためのTIPS
  5. 5. 1.Azure AD概要
  6. 6. なりたち(2010年) MS Online Directory Service(MSODS) ID: Microsoft Online Service ID(MSOLID) • Office 365に接続するためのID基盤として開発 • クローズドβに合わせ展開 • xxx.onmicrosoft.com の形でxxxは自由に取得可 • オンプレミスのActive Directoryと連携 Single-sign-on between on-premise apps, Windows Azure apps and Office 365 services. https://blogs.msdn.microsoft.com/plankytronixx/2010/11/27/single-sign-on-between-on-premise-apps-windows-azure-apps-and-office-365-services/ PowerShellのコマンドレットの接頭辞 MSOL 例: Connect-MsolService
  7. 7. 企業向けサービス基盤 2011年6月 Office365 GA 2011年10月 Intune 10月Update • AD FSを利用したシングルサインオンに対応 2011年12月 Dynamics CRM 2011 Online • Windows Live IDのプラットフォームの他、Office 365 プラットフォーム上での稼働が開始 • Office365と同一のプラットフォームになることによ りユーザーの利便性や管理性が向上 • CRMとメール(Exchange)やIM/プレゼンス(Lync)連携 • AD FSによるシングルサインオンが利用可能 企業向けサービスの共通基盤化
  8. 8. 開発者向け連携 2012年6月 Windows Azure AD 開発者プレビュー開始 2013年2月 Windows Azure AD GA 2014年3月 Microsoft Azureにブランド変更 Azure ADを独立したサービスとして切り出し、 開発者向けに Azure AD を中心とした認証モデルを提唱
  9. 9. サードパーティSaaSベンダとの連携 2013.7時点:40 の SaaSアプリケーション 2018.11現在:2700超 の SaaSアプリケーション サードパーティの SaaS ベンダとの連携
  10. 10. Partner Center Azure AD全体像 セルフサービス SSO ••••••••••• Username 簡単接続 クラウド SaaS Azure Office 365Public cloud その他社員DB Active Directory オンプレミス Microsoft Azure Active Directory ビジネス パートナー Azure AD B2B 内定者 休職者 顧客 Azure AD B2C MVLC Visual Studio ポータル Microsoftアカウントからの移行
  11. 11. 2.Azure ADの運用管理
  12. 12. ビジネス上、非常に重要なAzure AD 管理者アカウントが漏洩したら? きちんと運用管理することが重要!
  13. 13. MicrosoftのSaaS(O365/D365/Intune)を利用していた場合 Exchange Online • 役員を含めた全社員のメールを覗き見、転送 • 誰にでもなりすまして取引先にメール送信 • カスタム管理権限を作成し発見を遅らせる SharePoint Online • チームサイト/OneDriveの全ての情報を閲覧 Dynamics 365 • 全ての顧客情報や案件情報を見れる Intune • 管理デバイスに悪意のあるプログラムを配信
  14. 14. 関連付けられているAzureが有った場合 アクセス権の昇格を利用して全てのAzureサブスクリプションの管理権限を奪取
  15. 15. EA/アカウントポータル、CSPパートナーセンターが有った場合 EA/アカウント • 管理権限を持つ新たなサブスクリプションを追加 CSP • 顧客を自由に作成 • 無数のAzureサブスクリプションを作成 • 代理管理権限を持つ顧客に管理者権限でアクセス 事業の屋台骨が揺らぐ程の非常に大きな影響を与える可能性
  16. 16. CSPから払い出されたサブスクリプションでいくら使える? A8仮想マシン(8vCPU / 56GBメモリ) 43台 x 27リージョン = 約380万/日 リージョン毎のコア数上限:既定で350に設定 さらに、サブスクリプションや顧客自体は複数作れる場合は???
  17. 17. その作成したVMで何をされるの? • 仮想通貨のマイニングで利用されたことが検知された場合、CSP管理者に警告は行くが 自動的に利用停止はされない • 与信を超えた場合、自動的に新規作成は止まるが、既存は止まらない
  18. 18. 管理者権限怖い、特にAzure… 担当の間で押し付け合いをしているだけ 組織としてみたらリスクは二重管理の方が高い 双方ともに重要なデータを守っているので きちんと組織として管理 contoso-o365.onmicrosoft.com contoso-azure.com ユーザーOffice365管理者 Azure管理者 やっぱりOffice 365とは別のテナント Azure利用者
  19. 19. でもやっぱり怖い 正しく怖がりましょう 思考停止をせず、きちんとリスクを見極めて判断する ・新規サービスを構築するベンダが構築に全体管理者が必要と言っている ・何か有ったときに即応するために管理者権限が必要と運用担当者が言っている ・導入マニュアルに管理者権限を付与してパスワード無期限にしろと書いている ・追加でAzure AD Premiumなんて買う予算はない ・ユーザーの利便性を損なうことはできない
  20. 20. 今すぐできること 多要素認証の有効化 管理者アカウントの棚卸 アカウントの整理
  21. 21. 管理者アカウントの棚卸 グローバル管理者、特権ロール管理者、Exchange Online 管理者、SharePoint Online 管理者 ① 個人に割り当てられたアカウントで個人アカウント(メール等)と共用 ② 個人に割り当てられたアカウントで管理専用 ③ 複数のユーザーで共有されるアカウント ④ 緊急用アカウント ⑤ システム用、スクリプト用アカウント ⑥ 外部ユーザーアカウント ※ 不要なアカウントは削除(無効化) 特権を付与されているアカウントの識別 特権アカウントの分類
  22. 22. アカウントの整理 少なくとも2つの緊急用アカウントを作成する 既定の admin@xxxx.onmicrosoft.comを流用する場合は、adminのアカウント名を変更する 緊急用アカウントの整備 個人を識別できるよう分離 共有アカウントの廃止 フィッシングで利用されないよう管理アカウントを分離 個人アカウントと併用しているアカウントの分離 管理用 個人用 (転送) Microsoftアカウントは多要素認証を要求できないので Microsoftアカウントの廃止(移行) ※管理上問題ないならアドレス帳非表示
  23. 23. 多要素認証の有効化 ①ユーザー単位で有効化する ②ベースラインポリシーで有効化する ※既定で将来的に有効化 システムアカウントなど有効化できないアカウントを 「ユーザーを除外する」で選択
  24. 24. 次のSTEP Azure AD Premium P1 Azure AD Premium P2 管理者アカウント • システムアカウントへの多要素認証の有効化(条件付きアクセス) • 健全性の証明(セキュリティ/サインインレポート) 全アカウント • 生産性を落とさずに多要素認証を有効化(条件付きアクセス) • AD FSサーバ群を廃止可能 管理者アカウント • より安全な特権ID運用(Azure AD Privileged Identity Management) • 不審なアクティビティへの自動対応(Azure AD Identity Protection) 有償ライセンスなので当然費用対効果は考えないといけないが、侵害された際のリスクとの比較や ユーザービリティの低下防止などの観点で検討。EMS / Microsoft 365などのバンドル商品もあり。 650円/ユーザー・月 980円/ユーザー・月
  25. 25. 推奨ドキュメント Azure AD でのハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護する https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-admin-roles-secure 攻撃者は絶えず進化しているので、防御側のベストプラクティスも常に変化
  26. 26. 3.Azure ADテナントの設計
  27. 27. 基本的な考え方 Azure管理者 (Microsoftアカウント) Azure開発用AAD Azure管理者 Office365管理者 Office365用AAD Office365ユーザー ゲスト Azureサブスクリプション (開発用) Azureサブスクリプション (本番用) Office 365 Azure開発環境 Office 365 Azure本番用AAD Azure本番環境
  28. 28. Azureのサービス管理の階層 【管理グループ】 主に大規模組織で複数サブスクリプションを束ねて管理する為の物。 【サブスクリプション】 通常の最上位の構成。Azureの契約/課金単位となる。 【リソースグループ】 一般的に同一ライフサイクルのシステムリソースを束ねた物で、リソース を作成する為には必ず必要になる。権限付与の単位となるケースが多い。 【リソース】 Azureに展開されたサービスの最小単位。仮想マシンのように複数で 1つの機能を構成する物もあればPaaSサービスのように1つで完結する 物もある。 継承 継承 権限
  29. 29. Azure Active Directoryと役割ベースアクセス制御 Azure Active Directory ユーザー グループ サブスクリプション 関連付けRBAC 別Azure AD Apps 役割名 権限 所有者 全てのリソースへのフルアクセス権 共同作成者 全てのリソースを作成及び管理できるが、 他のユーザーにアクセス権を付与できない 閲覧者 既存のリソースの表示 基本の役割 その他、サービス毎に組み込みのロールが存在する。カスタムで作成することも可能。 同一社内だが 別IDでの管理
  30. 30. Microsoftアカウントで作成したAzureサブスクリプション ・Azure ADのドメイン名はMicrosoftアカウント名を元に生成 ・組織名は「既定のディレクトリ」 ・ゲストユーザーがAzure ADのグローバル管理者 user01outlookcom.onmicrosoft.com Microsoftアカウント user01@outlook.com ゲストユーザー 招待 ユーザーのいないAzureADが 作られ、自動的にMicrosoft アカウントが追加 トライアルから従量制に移行など
  31. 31. MicrosoftアカウントでTeamsをセットアップ(参考) teamsxxxx.onmicrosoft.com リンクされたユーザー(全体管理者) admin@teamsxxxx.onmicrosoft.com リンク adminだけ存在するAzureADが 作られ、自動的にMicrosoft アカウントにリンク Microsoftアカウント xxxxx@outlook.com • Azure ADテナント名はMS側で自動的に付与されて作成 • Azure AD for Office 365のライセンスが300ユーザー付与 • 全体管理者なのでユーザー追加可能 • ログインはMicrosoftアカウントで実施する • ゲストユーザーではなくユーザーなので、多要素認証の 強制が可能
  32. 32. 制約事項(Azure AD Connectの構成) 単一フォレスト 単一AzureAD マルチフォレスト 単一AzureAD 単一フォレスト (重複無し) ×複数AzureAD ×複数AzureAD Connect ×複数AzureADのオブジェクト重複
  33. 33. 制約事項(Azure ADの「国または地域」) テナント作成時に国または地域の選択 を求められるが、変更不可 • Microsoftと契約する国が決定 • 準拠法や管轄裁判所が決定 • 取引通貨が決定する • Office 365のデプロイ場所が決定 • 契約可能なCSPパートナーが決定
  34. 34. 制約事項(ドメイン名) xxxxx.onmicrosoft.com yyyyy.onmicrosoft.com contoso.com 独自ドメイン追加 追加不可 複数のAzure ADテナントに同じドメイン名登録不可 ※メールドメインやUPNサフィックスの重複に注意
  35. 35. 制約事項(役割ベースアクセス制御) xxxxx.onmicrosoft.com yyyyy.onmicrosoft.com リソースやライセンスは物理的には移動できるが、 権限設定やライセンス割り当ては全て解除される Azure Office 365 管理者 ユーザー Azure 権限 権限 (権限は移行されない)
  36. 36. 基本的な考え方 Azure管理者 (Microsoftアカウント) Azure管理者 Office365管理者 Office365ユーザー Azureサブスクリプション (開発用) Azureサブスクリプション (本番用) Office 365 共通AAD Azure管理者(移行) ②極力まとめる ①組織アカウントに移行
  37. 37. 例外を考慮した全体像 Office365管理者 ユーザー Azureサブスクリプション (本番用) Office 365 Azure管理者 Active Directory/AAD Connect メインAzure AD Azure開発環境 ゲスト 管理者 Azure (開発用) 海外環境 ハイセキュア環境 Azure AD Premium P2 ヨーロッパ:Office 365 ヨーロッパ:Azure 海外 ユーザー 海外 管理者 招待 Partner Portal EA Portal 特定業務 管理者 Azure AD Premium P1 (最低限管理者) Azure AD Premium P1 (1アカウント) Azure AD Premium P1 (最低限管理者)
  38. 38. 【参考】ゲストユーザーへのAzure AD Premiumライセンス • 所有しているライセンスの5倍までゲストユーザーに利用させることが可能 • 相手先が関連会社の場合は適用不可でライセンス購入が必要 • ライセンス割り当ては不要だが、 5倍以内という管理責任はホスト側 • 相手先が既にライセンスを所有している場合は重複購入不要 • 1ライセンスでも持ってないとメニュー自体が出ない
  39. 39. 4.まとめ
  40. 40. 本日のまとめ • Azure ADのシステム上の重要性は拡大 • きちんと管理しないと非常に危ない • 放っておくとAzure ADテナントが乱立するので、Azure AD B2B、B2Cの招待などを活用してなるべく集中管理 • 管理者だけならおそらくAzure AD Premiumの費用対効果は有。 自分を守る為にも予算取り頑張って

×