14. アイデンティティフェデレーションを使用した
認証から承認までの流れ(Passive Web SSO の場合)
AD DS : Active Directory Domain Service
AD FS : Active Directory Federation Service
WIF : Windows Identity Foundation
WIF 6
クラウド(SP/RP)
オンプレミス(IdP/CP)
1 7
4 2
3 5
AD DS AD FS 2.0 IE7以降
59. (参考) 「ビジネス要件」と対応する機能~社内との連携
ビジネス要件 実現するための機能、製品
認証およびアクセス管理 • Active Directory Domain Service (認証)
• Active Directory Rights Management Service (権限管理)
• Active Directory Federation Service (認可)
• Active Directory Certification Service (証明書)
• Windows Azure AppFabric Access Control Service
セキュリティ ポリシー管理 Exchange ActiveSync (EAS)
デバイスの統合的な構成管理 System Center Configuration Manager 2012 + EAS
ドキュメントの集中管理 SharePoint Server
保護されたメール/ドキュメントの参照 EAS + Information Rights Management (IRM)
OS の更新/セキュリティ パッチ Zune
アプリケーションの配布/更新 Marketplace 経由、隠しURL
社外から社内リソースへのアクセス Forefront UAG + Active Directory
オンライン ミーティング Lync Server 2010 + Lync mobile
60. Windows Phone 7.5 で有効な EAS セキュリティポリシー
Exchange 2007 Exchange 2010
EAS Policy: Exchange 2003 SP2
(BPOS) (Office 365)
パスワードを要求する Yes Yes Yes
パスワードの有効期限(日) No Yes Yes
パスワードリサイクルカウント No Yes Yes
簡易パスワードを許可 No Yes Yes
パスワードの最小桁数 No Yes Yes
アイドル状態になってからログオンが要
No Yes Yes
求されるまでの時間 (分)
デバイスをワイプする前にサインインに
No Yes Yes
失敗した回数
英数字のパスワードが必要 No Yes Yes
パスワードに含めなければならない文字
No Yes Yes
セットの数
61. System Center Configuration Manager 2012 による
デバイスの集中管理
• 企業内デバイスの統合的な構成管理
• Mobile Device Management 機能 を統合
• デバイス セキュリティ ポリシーの統合管理
• リモートワイプ Exchange 2010
SCCM 2012
• レポート Exchange Online
Exchange
Connector
Exchange
ActiveSync
EAS をサポートしているデバイス
81. System Center Data Protection Manager 2012
コンソールによる集中管理 一次オペ ヘルプ エスカレー テープ
レータ デスク ション担当 管理者
ジョブと Y Y Y Y
アラート監視
レポートの N N N N
管理
バックアップの再実 N Y Y Y
行
復旧 N N N Y
SCOM による DPMの集中監視とコンソール切り替え ロールベースの管理者権限
82. System Center Orchestrator 2012
ITタスクの自動化・標準化を行うスケジューリング・タスク管理製品
単純作業と手動作業の削減による管理コスト削減
運用管理サービスの信頼性、パフォーマンス、可用性の向上
自動化フローのデザインとテスト環境を提供
個別処理コンポーネントをドラッグ&ドロップし、接続するだけでフローのデザインが可能
プログラミングツールライクの、強力なデバッグ&テスト環境を提供
他システム連携のための様々なコネクター群を提供 (以下は抜粋。プラン中のものも含む)
• Microsoft • CA • BMC • HP
‣ Active Directory ‣ CA Service Desk ‣ BMC Atrium CMDB ‣ HP Service Manager
‣ Configuration Manager ‣ CA Unicenter NSM ‣ BMC Event Manager ‣ HP OVO – Windows
‣ Service Manager ‣ CA Spectrum ‣ HP iLO and OA
‣ Virtual Machine Manager ‣ CA eHealth ‣ HP Network Node Manager
‣ Data Protection Manager ‣ CA AutoSys ‣ HP Asset Manager
‣ Operations Manager ‣ HP OVO Unix – HPUX
‣ HP OVO Unix - Solaris
様々な管理タスクの自動化 Runbook デザイナー ファイルサーバー
IT管理タスクの自動化 (例) パスワードリセット
構成管理
Hyper-V
初期障害対応の自動化 (例) 障害発生ホストへのPingテスト ディレクトリ
サービス
他社管理ツール
* 管理UIは英語版
83. System Center Services Manager 2012
変更管理
インシデント&問題管理
サービスポータル 運用ワークフロー
オペレーション管理 リクエスト管理 構成管理
ナレッジ CMDB
その他の
外部システム
コネクタによる接続
85. WINDOWS INTUNE ARCHITECTURE
• 更新プログラムの管理
• マルウェアからの PC の保護
• プロアクティブな PC の監視
• リモート アシスタンス
• ハードウェアおよびソフトウェア インベントリの追跡
• セキュリティ ポリシーの設定
86. USER CENTRIC MANAGEMENT -LOGICAL ARCHITECTURE
On-Prem Microsoft Cloud
Users
Directory
Synchroniz
Sync AD user data into the cloud Azure Active
ation Directory
Active Sync user data to
Directory Windows Intune
Manage User device affinity
Users Publish software & policies to users
Business Ready Security とは、ビジネスの拡大にはセキュリティの管理が不可欠であるという考え方です。セキュリティが管理されたITというのは、利用者の自由を抑えるものではありません。逆に、利用者に対して自由度をあたることができます。つまり、利用環境が向上するわけですね。逆の言い方をすれば、セキュリティによって自由を抑制する方向に向かっているとしたら、そのセキュリティは正しくないと考えるべきです。セキュリティによって安全になったからといって、仕事がやりずらくなっては意味がないわけです。<クリック>我々は、セキュリティは「保護」「アクセス」「管理」という3つの要素から成るととらえています。<クリック>これらはユーザーIDを中心として構成することで、統合性が高く、安全で、相互運用可能なプラットフォームを構築することができます。では、このIDと、密接に統合された3つの要素により何が実現できるのか?<クリック>1つは、全社レベルでのセキュリティポリシーの統合と、末端までの浸透です。一部のシステムでセキュリティレベルが高くても意味がありません。末端まで浸透させてこそセキュリティのメリットを享受できます。<クリック>2つ目が、「全てを保護して、どこからでもアクセスができる」。そのためには、複数のレイヤーをまたがって保護することができなければなりません。複数のレイヤーとはすなわち、「ネットワーク」「コンピューター」「情報」「アプリケーション」です。保護に例外を設けてはいけません。一切のレイヤーが保護されていることで、はじめて、自由なアクセスを許可できるようになります。<クリック>3つ目に「セキュリティとコンプライアンスの管理がシンプル」になります。操作が複雑であったり、手作業が多いと、それは絶対に守られませんし、例外も発生しやすくなります。シンプルであることが、確実な管理の大前提であると認識する必要があります。