この資料のPPT版、および AD on IaaS の構築手順書は、以下のキャンペーンサイトから入手してくださいませ。 http://technet.microsoft.com/ja-jp/windowsserver/dn715816 大人の事情でごめんなさい。でも気合い入れて作った手順書です。

1. ハイブリッドクラウドに一歩踏み出すには？
2014/5/5 v2.0

3. • ガバナンスを浸透させリスクを減らすため
• プロセスを自動化し生産性を高めるため
• ビジネスの成功をサポートするため！
Process
Process Process
Process
Process
Process
Process Process
Process
Process
company
politics
Process
Process
Process
temptations
Process
ProcessProcess Process
Process
Process
Process Goal!!
Pitfall
Loop
Start
Loop
Loop
PitfallBomb
Bomb
Loop
company
politics
company
politics
実態は。。。ゴールへの道筋は統制の効かない「細かく分断されたプロセスの」集合体

4. Question
なぜパブリッククラウドが注目をあびるのか

5. Process
Process Process
Process
Process
Process
Process Goal!!
Pitfall
Loop
Loop
Loop
Bomb
Bomb
Loop
temptations
company
politics
company
politics
Process
Process
Process
Process
Process
Process PitfallStart
Loop
company
politics
Process
company
politics
Process
Process
Process
Pitfall
Process Process
Pitfall
Bomb
Pitfall
Process
Pitfall
Process
Pitfall
temptations
Loop
Bomb
temptations
temptations Loop
company
politics
Bomb
Bomb
Pitfall
Process
BombLoop
Process
Pitfall
company
politics
Process Process
Process
Process

6. • パブリッククラウドとの「一貫性」を実現できるインフラ
＝ Private Cloud 化
• プロセスに連続性がある
• ガバナンスが効いている
• 生産性を落とさない
ノウハウではなく
「 IT の仕組み」の問題
Hybrid Cloud
Process Process Process Process
Private Cloud
Process Process Process Process
Public Cloud
プロセスの連続性と End to End なガバナンス
• Private Cloud の拡張先として Public Cloud が存在するという認識

7. Storage
クラウドの 5 つの基本特性（要件）
• リソース共有
（プールされたリソース）
• オンデマンドのセルフ サービス
• 迅速な弾力性
（伸縮性と自動化）
• 広範なアクセス
（セキュリティとアクセシビリティ）
• 計測可能なサービス
（監視と報告）
CPU Storage RAM Network
Apps
Portal
Apps Apps
Scale out
Deploy
tenant
Monitor
Access
ScaleUP

8. Process Process Process Process
Private Cloud
Process Process Process Process
Public Cloud
プロセスの連続性と End to End なガバナンス
Portal
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
Hybrid Cloud

10. (パブリッククラウド)
Cloud
OS
企業 IT の一貫性を維持する仕組み

11.  全てのリソースとプロセスが、統一されたセキュリティ ポリシーによって管理されている
Process Process Process Process
Private Cloud
Process Process Process Process
Public Cloud
プロセスの連続性と End to End なガバナンス
Portal
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
CPU Storage RAM Network
Storage
Apps Apps Apps
Scale out
tenant
ScaleUP
Hybrid Cloud

13. IT ガバナンスを “IT” でコントロールするため
IT ガバナンスとは（経済産業省）
• 企業が、ITに関する企画・導入・運営および活用を行
うにあたって、すべての活動、成果および関係者を
適正に統制し、目指すべき姿へと導くための仕組み
を組織に組み込むこと、または、組み込まれた状態
• ITガバナンスは、ITマネジメントに関わる方針や基準
を明確にし、それを経営者やユーザーに浸透させる
ことに重点が置かれており、ITマネジメントは、日々
の運営や活動の管理に重点が置かれている
http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index03.html

14. システム運営
企業情報システムを安定的かつ適正に運
用・管理することに加えて、サービスレベ
ル合意書 (SLA) に基づくサービス品質の
管理、セキュリティを含むITリスク管理、
技術標準および運用手順の設定など
組織運営
スタッフ個人および部門の目標管理に基づ
くIT部門の健全運営に加えて、IT予算およ
び投資の管理、外部ベンダーおよび契約の
管理など
http://warp.ndl.go.jp/info:ndljp/pid/286890/www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/index02.html
説明責任
経営者および利用部門に対する説明責任を意味
しますが、具体的にはコストの妥当性、作り上
げたシステムの利用状況、ビジネスへの貢献度
などを自ら評価し、その結果をフィードバック
することで、IT部門の取り組みの適正さを明ら
かにする
リレーションシップ管理
利用部門との関係を維持・改善し、企業情報シ
ステムの適性かつ有効な利用を促進することを
目的に、啓蒙・教育、情報発信、部門間調整な
どを行うものです。これは満足度調査やニーズ
および要件の聞き取りといったインバウンド
(IT部門へ) のコミュニケーションと、情報発信
やシーズの提案といったアウトバウンド (IT部
門から) のコミュニケーションを伴う

15. IT リスクの低減
生産性の向上
IT 利用度の向上
• 禁止事項を増やす
• ルールを増やす
• 手順を増やす
• ビジネスロジックを増やす
• PC リプレイス
• 新ソフトの導入
• 新機能の導入
• 使うことを強制するルール
生産性は ?

16. 全てにリスクが潜んでいる
＆
リスクは無くせない
（低減は可能）
“面倒な”ルール

17. リスクとリスクが出会ってしまったとき
トランスポーター

18. • 個々のリスクを低減する（出会う確率を減らす）
• エンタープライズ・セキュリティ・ポリシーによりトラッキング（監視）
• 必要に応じて“トランスポーター”をブロック

19. 認証とは
：ユーザーやデバイスの一意性を保証すること
：ユーザーやデバイスを特定すること
：認証サーバーが行う
認可とは
：認証されたユーザーやデバイスにアクセス権を与えるか
どうかを判断すること
：アプリケーションやサービスが行う
「誰が（どのデバイスが）、何をできるか」を判断するプロセスが、
全ての IT リソースに対して有効であることが重要

21. • 全てのリソースへのアクセスには認証が必要
• 各リソースに適切なアクセス権を設定
• 社内 PC は持ち出さない
• 個人デバイスは社内で利用しない
• 社外秘データは持ち出さない
• ハードディスクは暗号化する
• 定期的なパスワードの変更
• ウィルスパターンを定期的に更新
• セキュリティパッチの迅速な適用
• 不要なソフトウェアをインストールしない
• 怪しいサイトにはアクセスしない
など
コンプライアンス（法令順守）のためのセキュリティの大原則
企業内 IT インフラストラクチャー全体に適用する

22. DataApplication
Network Device
全てのリソースが常に認証基盤とつながっている状態を維持する
データを社外に持ち出しても、
社内のセキュリティポリシー
によってアクセスが制限でき
る
デバイスは認証を受けなけれ
ば社内のリソースにアクセス
できない。
デバイスを社外に持ち出して
も、社内のセキュリティポリ
シーが常に適用される。
セキュリティポリシーを満
たしているユーザーとデバ
イスがネットワークに接続
できる。
ポリシー違反が発生したら、
強制的にネットワークから
除外することができる。
アプリケーションは認証さ
れたユーザーと認証された
デバイスにアクセス権を与
えることができる。
アプリケーションは認証
サーバーからユーザーとデ
バイスの情報を取得できる。 ユーザーは認証を受けな
ければ社内のリソースを
一切利用できない

23. セキュリティドメイン
• ユーザー認証とデバイス認証
• データへのアクセス権管理
• セキュリティポリシーの適用
• 企業内データの動的分類
セキュリティ
の壁

24. Active Directory ドメイン
AD DS
ID/Pass で Sign-in
グループポリシーによる統制
Windows
クライアント
AD CS
証明書発行
アカウント管理
AD RMS
アクセス制御
データ暗号化
ファイルサーバ
メールサーバー
WEB サーバー
DB サーバー
ア
ク
セ
ス
制
御

25. INTERNET
• 社内セキュリティポリシーによる継続的な監視
• PC のセキュリティはリアルタイムに監視されている
Active Directory ドメイン
検疫ネットワーク
社内ネットワーク
Firewall Direct Access
ServerHotel
評価
Network Access Protection
ドメインコントローラー
業務サーバー
ファイルサーバー
Windows7/8
R-Proxy

26. Active Directory ドメイン
AD DS
AD RMS
Exchange
Server
• 重要なデータ（メール、ドキュメント）を暗号化
• データにアクセス権限を付与
• 認可の集中管理
SharePoint
Server
EAS
https
認
証
認
可
Firewall
※権限を付与するのはデータ/メールの作成者
または、動的分類機能で自動化
暗号化メールを解読

27. Active Directory ドメイン
• RDP を使用して社内仮想 PC を操作
• 社内仮想PCは常に社内セキュリティポリシーが適用されている
• データは 社内仮想 PC から外に出られない
各種
業務サーバー
RDP
セキュリティ境界
踏み台（仮想PC群）
遠隔操作
AD DS
遠隔操作

28. • サービスのパブリッククラウドへの移行は加速する
• インフラがパブリッククラウド上に完全移行したとしても
IT ガバナンスの観点から、セキュリティドメインは無くせない
• 認証の中心はセキュリティドメインである
セキュリティドメインの
維持/更新
セキュリティドメイン外
との連携
IT 部門のチャレンジ
同期
• 壁をより堅牢に
• 認証の信頼性を向上
• スピード感のある導入
• 業界標準技術の採用
• 連携しやすい IdP の採用
認証の中心

29. セキュリティ ドメイン外
パ
ブ
リ
ッ
ク
ク
ラ
ウ
ド
オ
ン
プ
レ
ミ
ス
セキュリティドメイン
IaaS の活用と VPN による接続
IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
Enterprise BYOD
セキュリティ ドメイン内

30. セキュリティドメイン
全てドメイン内
IdP
ユーザーと
デバイスを
認証
ユーザーはドメイン内
ユーザーだけ
認証
すべてドメイン外
認証不可
=アクセス禁止
安全性 高 低

31. Question
セキュリティドメイン外との連携は
高度な Password 同期のテクノロジーが
カギを握っている
B. NO

32. • Password を使いまわさない
• 「認証」と「認可」を分離する
業務サービス
認証プロバイダー
（IdP）
サービスプロバイダー
（SP）
認証
• ユーザーの特定
• デバイスの特定
• 特定したことの保障
認可
• 権限の特定
必要な情報を提供
信頼

33. 業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
業務サービス
IdP SP
独立した IdP が分散すると「認証」の品質と信頼性は低下する
too many chiefs and not enough workers
ID
マスター

34. IdP
信頼
SP
SP
SP
SP
信頼

35. 社内だけでなく、社外（セキュリティドメイン外）から信頼される必要がある
セキュリティ ドメイン外
パ
ブ
リ
ッ
ク
ク
ラ
ウ
ド
オ
ン
プ
レ
ミ
ス
IaaS の活用と VPN による接続 IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
BYOD
セキュリティ ドメイン内
IdP
信頼
SP
信
頼
信頼

36. • IdP と SP 間で信頼関係を構築（双方の身元情報を持ち合う）
IdP SP
SP は IdP を信頼
IdP も SP を信頼
あなたの言うこと
なら信頼できるおまえになら
この情報を託せる
IdP SPIdP
Pattern1
直接信頼
Pattern2
間接信頼
同一のセキュリティ
ドメイン内で使われる
パターン
セキュリティドメインを
異にする組織間で使用さ
れるパターン
私にはあなたしか見えない。
あなたの言うことならなんでもきくわ。
同一のセキュリティドメイン

37. • 「正しく認証したこと」をサービスプロバイダーに知らせる
• ユーザーの属性情報（クレーム）をサービスプロバイダーに渡す
IdP SP
IdP1 SPIdP2
Pattern1
直接信頼
Pattern2
間接信頼
拝啓SP様 UserA氏は確かに当方に登録されたユーザー
であり認証は完了しております。UserA氏の個人情報を
以下に添付します。
Name = UserA
eMail Address = usera@microsoft.com
Division = Developer&Platform Evangelism
拝啓IdP1様
・・・
p.s. SP様によろ
しく伝えてくだ
さい
SP君へ
・・・
p.s. IdP1氏からもらっ
たクレームを精査し
ました。添付したの
はその報告書です。

38. • SP は IdP から送られてきたクレームを読み、ユーザーのアクセスを認可する
• 認可の際、ユーザーには権限を決定するためのロールを与える
SP
役割 権限
Author RW
User R
Guest -IdP
SP は IdPに対し、事前に以下を通告しておく
役割を判定するにあたり、
• どんな名前の変数を使うこと
• どんな値を入れてくること
IdP は SP に通告された通りの情報を生成して
渡さなければならない

39. IdP ：Identity Provider（ID情報提供者）
CP ：Claims Provider（クレーム提供者）
SP ：Service Provider（サービス提供者）
RP ：Relying Party
（ID 情報に依存している団体 、ID情報利用者）
以降、状況に応じて上記を使い分けます

40.  WS-Federation
 SAML 2.0
 OpenID Connect
 OAuth 2.0
• どのサービスが利用できるかは IdP が決定
• IdP がユーザーに対してクレームを発行
• ユーザーがアプリケーションにクレームを渡す
• どのサービスを利用するか（どのサービスを信頼
するか）ユーザーが決める
• ユーザーがアプリケーションに対しクレーム取得
を許可する（クレームを取得するための API 利用
を許可する（API認可））
RPIdP
信頼
利用者
お勧めの参考資料 NRI 工藤達雄 氏 「なぜ OpenID Connect が必要となったのか、その歴史的背景」
http://www.slideshare.net/tkudo/openid-connect-devlove#
①認証
②クレーム
③クレーム
RPIdP
利用者
②認証
④APIアクセス
①認証依頼
③APIアクセス許可
⑤ユーザー情報
⑥アクセス許可
通信にはHTTP/Sが使用される

41. CP RP
業務トークン トークンユーザー
情報
利用者
ロール
管理簿
トークンを解析
• 本人識別
• ロール決定
信頼
クレームを格納
SAML 2.0 / WS-Fed.
属性ストア

42. RP
業務 ロール
管理簿
トークンを解析
• 本人識別
• ロール決定
CP
ユーザー
情報
属性ストア
• ロールを決定するための「クレーム」は RP が提示する
• アプリケーションには「ロール」決定のためのロジックを実装
Claims
mail
name
company
title
署名
値
値
値
値
提
示

43. • 社内SPとIdPを SAML/WS-Fed 対応
• 社内SP は 社内 IdP を信頼
利用者
IdP
信頼
SP
SAML/WS-Fed対応 IdPSAML/WS-Fed対応SP

44. 企業間連携
セキュリティドメイン
IdP
信頼
SP
自社 パートナー企業
IdP SP
自社の社員が、パートナー企業のサービスを利用する場合
信頼 信頼
利用者
SAML/WS-Fed対応IdP IdP対応SP

45. IdP を持つ SaaS 自社展開アプリ（PaaS/IaaS）
Office365/Saleceforce/Google 等 IdP を持つ IdP を持たない
IdP
SAML/WS-Fed
対応IdP
SAML/WS-Fed 対応IdP
信頼
IdP
SAML/WS-Fed
対応IdP
信頼
IdP対応SP
SAML/WS-Fed 対応IdP
次のページ
IdP対応SP

46. 自社展開アプリ（PaaS/IaaS）
IdP を持たない
IdP
信
頼
SAML/WS-Fed
対応SP
直接信頼 IDaaS を使う
IdP
SAML/WS-Fed
対応IdP
SAML/WS-Fed
対応IdP
IdP対応SP
信頼
トークンゲートウェイを使う
IdP
SAML/WS-Fed
対応IdP
SAML/WS-Fed
対応GW
GW対応
SP
信頼
SAML/WS-Fed
対応IdP

47. Point：エンタープライズ セキュリティ ポリシーを満たすこと
セキュリティドメイン
Enterprise Security Policy
IdP
•改修コスト大
•パッケージの場合は
当然不可能

48. Point：認証要求をHTTP/Sでカプセルし、リバースプロキシーによって受け入れる
セキュリティドメイン
Enterprise Security Policy
Point：認証サーバーそのものを外部公開するなんてもってのほか！
Reverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP

49. Point：利用したい SaaS とともに検討する
Point：SaaS を利用するには IdP 間で ID の同期が必要（パスワードは必要ない）
セキュリティドメイン
Enterprise Security Policy
Reverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
SaaS Cloud IdP
IDSync
• ここまでできれば、第一段階は完了。
• 以降、新規サービスの導入/開発時には IdP
に対応していることを鑑みつつ選定する
信頼
信
頼

50. Point：SAML/WS-Fed対応 にする
Point：展開先はクラウド、オンプレミスいずれでもOK
Point：信頼先はCloud IdP、オンプレミス IdP いずれでもOK
セキュリティドメイン
Enterprise Security Policy
Reverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
Cloud IdP
IDSync
オンプレミス
IdPでもOK
SaaS
業務
サービス

51. Point：既存 IdP と連携可能な SaaS を選択する（通常は SAML に対応している）
Point：SaaS を利用するために ID 同期が必要
セキュリティドメイン
Enterprise Security Policy
Reverse
Proxy
セキュリティドメイン
Enterprise Security Policy
他社IdP
IdP
Cloud IdP
IDSync
SaaS Cloud IdP SaaS
信頼
業務
サービス
信頼
ID Sync

52. Point：通常、企業ごとに IdP を保持/管理する
Point：企業が増える可能性があるのがサービスへの影響を最小限におさえる
セキュリティドメイン
Enterprise Security Policy
Cloud IdP
ID
Sync
共有業務
サービス
セキュリティドメイン
Enterprise Security Policy
Cloud IdP
トークン
ゲートウェイ
信頼
信頼
信頼
信頼
企業A 企業B 企業C

53. セキュリティドメイン
Enterprise Security Policy
Reverse
Proxy
IdP
Cloud IdP
オ
ン
プ
レ
ミ
ス
IdP
と
の
ID同
期
トークン
ゲートウェイ
（Option）
他のIdPとのID同期
トークンGWとの信頼
オンプレミスIdP
との信頼
他のIdPから信頼
社外からの
認証要求

54. Microsoft Azure
Active Directory
Active Directory
Domain Service
Active Directory
Federation Service
Web Application
Proxy
WAAD
Access Control Service

55. FIM
Microsoft Azure
Active Directory
Microsoft
全製品
Microsoft
全 OS
Windows 8
Microsoft Account
(Windows Live ID）
Consumer Enterprise
他社 IdP
HR
Windows Server
Active Directory

57. AD DS
ユーザーとデバイスを認証する
AD DS で認証したユーザーと
デバイスにトークンを発行する
AD FS ※逆に言えば「認証してなければトークンは発行されない」

58. ユーザーがAD DSで認証されたことを確認
ユーザーのクレーム（属性）を集める
クレームを変換する
クレームを発行する
クレームを判定してトークンを発行する
認証 OK
トークンがアプリケーションに渡される
AD DS
AD FS

59. 認証
トークン
発行
アクセス
判定
認証
トークン
発行
AD FS により、事前認可が行われている
認証 認可① 認可②

60. 認証
トークン
発行
アクセス
判定
認証
トークン
発行
AD FS により、事前認可が行われている
認証 認可① 認可②
そもそも
アクセスを
許可するか
どうかの判定
どのような
アクセス権を
与えるか
という判定

61. • AD FS はリソースへのアクセス可否を集中的に判定する「前門」である
• トークンにはアプリケーションのアクセス権を得るために必要な情報
（クレーム）が格納されている（ていうか、格納するように設定する）
Resources
Web Service
Web Service
まずは俺を倒し
てからだ
AD FS

62. • WEB アプリケーションを AD FS に登録する
• アプリの種類によってアクセス方法が異なる
AD FS
AD DS
SAML/WS-Fed 対応アプリ 通常の WEB アプリ
事前に登録 事前に登録
AD FS Proxy
AD FSにリダイレクトできない
ため、AD FS Proxy を経由する
AD FS Proxy は Web Application Proxy の機能
WEBアプリの
URLはAD FS
Proxy に向ける

63. • WS 2012 R2 デバイス レジストレーション サービス（DRS）を有効化し、
デバイスを AD DS に事前登録しておく
• ドメインに参加している社内 PC
• ドメインに参加していない個人デバイス
• サポートされている OS
• Windows 8.1, Windows RT 8.1
• Windows 7（ドメイン参加）※Beta
• iOS
• Android（機種依存）
Start
AD FS
AD DS
①「社内ネットワークに参加」
UserID/Password クレーム処理
エンジン
デバイス登録
サービス
（DRS）
②ユーザー
認証
④デバイス登録
Start
⑤ 証明書インストール
個人デバイス
HTTPS

64. Start
AD FS AD DS
クレーム処理エンジン
• デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御
• クレーム規則言語を使用
Start
ユーザー認証
デバイス認証
追加認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
AD登録された
ユーザー
AD登録された
デバイス

65. マルチファクター認証デバイス認証
Active Directory にデバイ
スが登録されているかどう
かを確認する
プライマリ認証
（ユーザー認証）
• Form 認証
• Windows 統合
• 証明書
デバイス
認証
無効
有効
登録済み
デバイス
NO
YES
認証
NG
OK
MFA
認証
完了
NG
OK
無効
有効
<認証方式>
<条件>
• ユーザー/グループ
• 登録/非登録デバイス
• 外部/内部ネットワーク
• Smart Card
• Phone Factor
• その他
OK
NG

67. https/http
2012 R2
社内
リソース
https
• リバースプロキシー（https -> http/https )
• AD FS Proxy 機能も包含
2012 R2
Firewall
AD FS AD DS

68. • （当然ですが）http/https でアクセス可能なアプリケーション
 AD FS に登録されたアプリケーション
 その他のアプリケーション（パススルー公開）
• AD FS に登録されたアプリはプロキシ通過時に事前認証/認可が行われる
（結果はアプリでの認証に引き継がれる）
2012 R2
公開
ADFS
AD FS によ
る事前認可

69. • 「AD FS に登録されたアプリ」が対象
 AD FS が発行したトークンを理解できるアプリ
 HTTP/HTTPS が話せるアプリ（Windows Server 2012 R2 の新機能）
• 事前認証するには WEB APPLICATION PROXY を通過する必要がある
2012 R2
公開
ADFS
AD FS によ
る事前認可
普通のWEBアプリを AD FS 経由で公開するこ
とで、事前認証の対象となる

70. Start
AD FS AD DS
クレーム処理エンジン
Start
ユーザー認証
デバイス認証
追加認証
デバイス クレーム
アクセス可否を判定
ユーザー クレーム
AD登録された
ユーザー
AD登録された
デバイス
WAP
事
前
認
証
プ
ロ
セ
ス
Firewall

71. （参考）マイクロソフトのリモートアクセス機能
RDP
透過的
透過的
社内
リソース
透過的
Firewall

72. RD Connection Broker
Internet
RemoteApp
Session-based
Desktop
仮想化ホスト+RemoteApp
Firewall
リモートデスクトップ
クライアント
セッションホスト
公開

73. 自動構成
Firewall
NAT, Proxy
(IPv6 packets on an HTTPS)
社内ネットワーク
Firewall

74. （参考）働き方を変えるリモートアクセス機能 V2
RDP
透過的
透過的
社内
リソース
Firewall
2012 R2
https/http

75. BYOD
Web Service
Web Service
Web Service
Web Service
Web Service
Web Service
Web
Service
Salesforce.com
Google.com
office365Public Cloud
アプリケーションにとっては、
「どこの馬の骨ともわからないデ
バイス」を、社内AD DSによって
認証し、一定の安全性を担保する
ことができる。

76. • Active Directory ドメインに個人デバイスを登録しておく（ドメイン参加ではない）
• “AD FS トークンが必要なサービス”にアクセスする前にデバイス認証を実施
AD FS
/DRS
Office 365
個人デバイス
デバイスのアクセスを許可するか
どうかを判断
認証

77. • AD FS にはクレーム対応アプリに加え、通常の WEB アプリも登録できる
 Windows 統合認証に対応したアプリには クレデンシャルを渡すことも
できる
• WEB APPLICATION PROXY を通過する際に、
AD FS による事前認証/認可が行える
WAP を通過するようにインフラを設計しさえすれば、
旧来の社内WEBアプリを AD FS による事前認証/認可 機能で保護できる

79. Microsoft Azure Active Directory
アクセスコントロール
• ID 連携
• トークン変換
ディレクトリ
• ユーザー管理
• Graph API
• Auth. Library
• 認証
• ID/Password
• 多要素認証
• AD DS 同期
• Application Access
• ユーザー同期
Active Directory
IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス
AD DS Azure AD
多要素認証プロバイダー（有償）
• 電話応答
• ワンタイムパスワード
Rights Management
• メールおよびドキュメントのIRM

80. 無料 プレミアム (プレビュー)
料金 (ユーザーごと) 無料 無料プレビュー
ディレクトリ サービス 含まれます 含まれます
ディレクトリ オブジェクト（既定では 15000 個） 500,000 個 無制限
SaaS 用の SSO とクラウドベースのカスタム アプリケーション 含まれます 含まれます
SaaS アプリケーション用のユーザーベースのアクセス管理/プ
ロビジョニング
含まれます 含まれます
SaaS アプリケーション用のグループベースのアクセス管理/プ
ロビジョニング
利用できません 含まれます
エンド ユーザー アクセス パネル 含まれます 含まれます
アクセス パネルのカスタマイズ 利用できません 含まれます
Microsoft Azure AD でのユーザーによるセルフサービスのパス
ワード リセット
利用できません 含まれます
基本的なセキュリティ レポート 含まれます 含まれます
高度なセキュリティ レポート 利用できません 含まれます
DirSync 含まれます 含まれます

81. ディレクトリ
ID Store
（AD LDS に相当）
Federation
Gateway
(AD FSに相当)
Graph
（REST API）
アカウント情報
の管理
• ユーザー
• グループ
• デバイス
AD DS
3rd Party SaaS
CP(IdP)側
RP(SP)側
WS-Fed.
SAML 2.0
OAuth 2.0
WS-Fed
SAML 2.0
（ECP Profile）
その他
105 サービスに対応
（ 2013/8 時点）
AD FS
（WS-Fed）
自社開発アプリ
OR
• Shibboleth(SAML 2.0)
• Ping Federate( WS-Fed,SAML 2.0 )
http://technet.microsoft.com/en-us/library/jj679342.aspx

82. ア
プ
リ
ケ
ー
シ
ョ
ン
ア
ク
セ
ス
• 既存 SaaS の認証を “インスタント” に WAAD に関連づける
• Google Apps, Salesforce.com などはSSO/ID同期も可能
Federation-Based Apps
Password-based Apps
Active Directory
ID連携
ID フェデレーション
ID 同期
その他(1133種類 2014.3.31 現在）
パスワード連携
事前にID/Passを登録
その他
自社開発アプリ

84. • Microsoft Azure AD テナントと関連付けられた SaaS の一覧（ポータル）
• ユーザーは、サービスをクリックすればよい
http://myapps.microsoft.com/
IDとパスワードを自動入
力してくれるアドイン

85. アプリケーション用の ID とパスワードを設定してお
くと、アイコンクリック後自動サインイン可能

86. 2014.4 Preview
• SaaS 版 AD RMS
• メール、ドキュメントの暗号化、権限管理
• Office 365
• Office Pro Plus 2013
• Office Pro 2010
• Office 365 との連携
• オンプレミスとの連携
• Exchange Server 2013,2010
• Office SharePoint Server 2013/2010
• Windows Server 2012/R2 File Server FCI
（ファイル分類機能）
• サポートされる Windows OS
• Windows 7 Pro/Ent/Ultimate
• Windows 8 Pro/Enterprise
• Windows 8.1 Pro/Enterprise
• サポートされるモバイルデバイス
• Windows Phone 8
• Android Phone/Tablet 4.0.3以降
• iPhone/iPad iOS 6.0 以降
• Windows 8 RT/8.1 RT

87. Azure RM AD RMS
オンプレミス Exchange/SharePoint/File Server/FCI サポート ○ ○
Microsoft Online Service サポート ○ ×
ADドメインの異なる組織間で保護データを共有するにはADドメイン信頼、またはAD FS信頼が必須 × ○
異なる組織間または組織外のユーザーと保護データを共有するには、ユーザーがOffice 365を使用してい
るか、Azure RMを使用しているか、RMS for Individuals にサインアップしていればよい。
○ ×
既定では「読み取り専用ポリシー」と「変更ポリシー」の2つのテンプレートが提供される ○ ○
独自のポリシーテンプレートを作成できる ○ ○
ユーザー自身がパーミッションを変更して設定できる ○ ○
サポートされる Office バージョン 2010 以降 2007 以降
Office for MAC 2011 サポート × ○
サポートされる Windows クライアント 7 以降 Vista SP2 以降
Windows Phone サポート 8 以降 ○
Android 用 RMS 共有アプリサポート ○ ×
iOS 用 RMS共有アプリサポート ○ ×
Exchange ActiveSync IRM による email サポート ○ ○
サポートされる Cryptographic Mode
Public Key
Signing
2
RSA 2048
SHA 256
1（既定）or 2
RSA 1024/2048
SHA1/256
Azure RM -> AD RMS 移行 ○
AD RMS -> Azure RM 移行 ×

88. RMS for Individuals
• 組織内（メールアドレスのドメイン名が同一）限定の RMS
• https://portal.aadrm.com/ からサインアップするだけで使い始められる！
• ユーザーが個別にサインアップ必要
• Azure AD にテナントを作成すれば、Azure Rights Management に移行可能

89. Access Control Service
アクセス コントロール
• 外部認証サービスから RP 側へのトークン ゲートウェイ
• ACS自身は認証プロバイダーではない
Application
WAAD
- Directory WS-Fed
OpenID Oauh 2.0
ADFSFederaton
Gateway.
WS-Fedトークン
変換
OAuth
Wrap
Application
RP(SP)側
CP（IdP）側
WS-Fed をサポートしている CP

90. 既存の IdP に認証要素を追加することができる独立したプロバイダー
多要素認証
プロバイダー
Active Directory
Microsoft Azure
Active Directory
Active Directory
Domain Service
Active Directory
Federation Service
追加
追加
$2/month/人 or $2/month/10Auth

91. クラウドサービス
Identity Provider
オンプレミス
Web Application
多要素認証プロバイダー
• ワンタイムパスワード
• 通知
• 電話
• テキストメッセージ
IE⑧
③
⑤
ID/Password
④
⑥
Microsoft Azure Portal
サードパーティ製
WEB サービス ①
Microsoft Azure
Active Directory
AD DS + AD FS
スマフォ
専用アプ
リ

92. Add in
WAAD
多要素認証プロバイダー
認証①
認証②
BYOD
AD FS
認証依頼
iPhone

94. 94
BYODデバイス登録と
デバイス認証
ネットワークロケーション
や IP アドレス、ユーザー属
性、デバイス属性などによ
る、多要素認証/認可
パートナー企業
との ID 連携
パブリッククラウド
とのID連携
AD FS により社内リソースの集中
的なアクセス制御が可能
業務
アプリケーション
Firewall
Active Directory
マルチファクター認証

95. パブリック クラウド
オンプレミス
（プライベート クラウド）
社内 PC 個人 PC, Tablet
Web
Service
Web
Service
Web
Service

96. “同じこと”はできません

97. IdM as a Service（IDMaaS）
IdMaaS Web
Service
Web
Service
Web
Service
Active Directory

100. IT ガバナンス的課題
インフラストラクチャー的課題
クラウド化
上を解決するための前提条件

101. セキュリティ ドメイン外
パ
ブ
リ
ッ
ク
ク
ラ
ウ
ド
オ
ン
プ
レ
ミ
ス
セキュリティドメイン
IaaS の活用と VPN による接続
IaaS/SaaS/PaaS との連携
企業間連携
外部 IdP との連携
セキュリティドメイン
Enterprise BYOD
セキュリティ ドメイン内

102. Intern
et
Site to Site 接続
Microsoft Azure
Software Load Balancer
Intern
et
Microsoft Azure
Software Load Balancer
Cloud Service
AD FS
Cloud Service Cloud Service
SaaS
WS-Fed.
信頼関係
VPN
Gateway
VPN
Device

103. • 少なくとも以下の 3 種類のサーバーを配置する
• AD DS & DNS
• AD FS
• Web Application Proxy
• それぞれのサーバーは個別のクラウドサービスに所属させる
• それぞれのサーバーは少なくとも2台で構成し、2台は同じ可用性セットに所属させる
• AD FS と Web Application Proxy は負荷分散セットを構成することで VIP に対してロードバランスが可能になる
Point
インターネットからの認証要求を受け入れる場合、AD DS および AD FS を直接インターネット
に公開するのではなく、Web Application Proxy を介することで安全性を高められる。
Point
クラウドサービス単位にパブリックなIPアドレス（VIP）が1つ付与される
Point
可用性セットを構成することで、障害やメンテナンスにより2台が同時にダウンすることを防ぐことができる（SLA 99.95）
Point
仮想ネットワーク上のローカル IP アドレス（DIP）はロードバランスを構成できないため、VIP側でロードバランスする必要がある

104. • 障害ドメイン：ハードウェア障害やハードウェアメンテナンスの影響を同時に受ける可能性のある集合体
※ 一般的にはラック単位であると言われている
• 可用性セット：障害ドメインの影響を同時に受けないインスタンス群
※可用性セットを構成することで SLA 99.95 %を実現
Fabric Controller
Power Definition Unit
Top of Rack Switches
Node
Node
Node
Node
Node
Node
Node
Node
障害ドメイン
可用性セット
インスタンス
（仮想マシン）
ラック ラック ラック ラック

105. Vendor Device family Minimum OS version
Configuration template for
static routing (policy-based)
Configuration template for dynamic
routing (route-based) [Preview]
Cisco ASA 8.3 Cisco ASA templates Not compatible
Cisco ASR
IOS 15.1 (static)
IOS 15.2 (dynamic)
Cisco ASR templates Cisco ASR templates
Cisco ISR
IOS 15.0 (static)
IOS 15.1 (dynamic)
Cisco ISR templates Cisco ISR templates
Juniper SRX
JunOS 10.2 (static)
JunOS 11.4 (dynamic)
Juniper SRX templates Juniper SRX templates
Juniper J-Series
JunOS 10.4r9 (static)
JunOS 11.4 (dynamic)
Juniper J-series templates Juniper J-series templates
Juniper ISG
ScreenOS 6.3 (static and
dynamic)
Juniper ISG templates Juniper ISG templates
Juniper SSG
ScreenOS 6.2 (static and
dynamic)
Juniper SSG templates Juniper SSG templates
Watchguard All Fireware XTM v11.x Configuration instructions Not compatible
F5 BIG-IP series N/A Configuration instructions Not compatible
Citrix
CloudBridge MPX
appliance or VPX virtual
appliance
N/A Integration instructions Not compatible
Microsoft
Routing and Remote
Access Service
Windows Server 2012 Not compatible
Routing and Remote Access Service
templates
http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx

106. クラウドサービス hogehoge
仮想
マシン
Server1
仮想
マシン
Server2
仮想
マシン
Server3
Azure 仮想ネットワーク
VPN GW
• 仮想マシンはクラウドサービスでグルーピング可能
• クラウドサービスにはインターネット上から一意に
識別可能なDNS名が付与される
hogehoge.cloudservice.com
• 仮想マシンにはホスト名が割り当てられる
• 仮想ネットワークを構成することで、ホスト名を使
用した通信が可能
• オンプレミスとサイト間接続することで、企業ネッ
トワークとの通信も可能

107. クラウドサービス hogehoge
仮想
マシン
Server1
仮想
マシン
Server2
仮想
マシン
Server3
Azure 仮想ネットワーク
VPN GW
DNS名：hogehoge.cloudservice.com
VIP xxx.xxx.xxx.xxx
DIP DIP DIP
• クラウドサービスのDNS名にはパブリックなIPア
ドレス VIP が割り当てられる
• 仮想ネットワークを構成するとDHCPサービスが
自動的に設置され、各仮想マシンに DIP を割り当
てる
• DIP は動的に割り当てられるが仮想マシンを廃棄
するまで固定される
• Azure SDK PowerShell コマンドレットを使用すれ
ば静的なアドレスに変更可能

108. VIPが付与されるタイミング
• Cloud Service 内にインスタンスが作成されたとき
VIP がリリースされるタイミング
• Cloud Service 内のすべてのインスタンスが削除された場合
 手動で削除した場合
 フォールトドメインが故障した場合
 フォールトドメインがメンテナンスされた場合
リリースされないようにするには
• 少なくとも１つのインスタンスを維持する
 全てのインスタンスを同時に削除しない
 可用性セットを設定し、フォールトドメインの影響を最小限にする

109. クラウドサービス hogehoge
仮想
マシン
Server1
仮想
マシン
Server2
仮想
マシン
Server3
Azure 仮想ネットワーク
VPN GW
DNS名：hogehoge.cloudservice.com
VIP xxx.xxx.xxx.xxx
DIP DIP DIP
既定のDNS
サーバー
独自のDNS
サーバー
• 仮想ネットワークを構成すると、既定のDNSサー
バーが設置され、外部/内部DNSサーバーとなる
（DIP は外部に公開されないのでご安心を） 。
• 仮想マシンにDNSサーバーをインストールし、これ
を仮想ネットワーク上のDNSサーバーとして利用す
ることも可能。その場合、既定の DNS サーバーは外
部 DNS サーバーとして利用される
• Active Directory Domain Service をIaaS 上に構成する
場合には、独自のDNSサーバーが必須
ADドメイン内
の名前解決 外部DNS
サーバー

110. クラウドサービス hogehoge
仮想
マシン
Server1
仮想
マシン
Server2
仮想
マシン
Server3
DNS名：hogehoge.cloudservice.com
VIP xxx.xxx.xxx.xxx • 仮想マシン単位にポートを公開することができる
• 公開はローカルポートとパブリックポートのマッ
ピング方式
• パブリックポートはクラウドサービス内で一意で
ある必要がある
※ 例えば Server1 が ローカルポート443をパブ
リックポート443で公開したら、他のサーバーは
ポート番号を変えて公開しなければならない
• 同じポート番号で公開するには、「負荷分散セッ
ト」を構成するか、異なるクラウドサービスに所
属させる必要がある
443 443 443
443 444 445
3389
50219 50220 50221
3389 3389

111. 仮想
マシン
Server1
仮想
マシン
Server2
仮想
マシン
Server3
Azure 仮想ネットワーク
VPN GW
DNS名：hogehoge.cloudservice.com
VIP xxx.xxx.xxx.xxx
DIP DIP DIP
• VIP に負荷分散セットを構成することで、仮想マシンの
ロードバランスが可能
• 負荷分散セットはポート単位（例 HTTPS）に定義でき
る
• 同じ負荷分散セットに所属できるのは同じクラウド
サービス内の仮想マシン
• 同じクラウドサービス内にある仮想マシンだからと
いって、強制的に負荷分散セットのメンバーになるわ
けではない（手動で構成する必要がある）
負荷分散セット HTTPS
• DIP は負荷分散構成ができない（Windows 標準の NLB
を使用できない）
• 単純な DNS ラウンドロビンは可能
負荷分散セット FTP

112. AD FS
Internet Internet
Site to Site 接続
Microsoft Azure
Software Load Balancer
Microsoft Azure
Software Load Balancer
VIP VIP
DIP DIP DIP DIP
Cloud Service Cloud Service Cloud Service
DIP DIP
AD DSはロードバラ
ンスの必要が無い

113. 同じクラウドサービス内の仮想マシン

114. 例えば、AD FS にアクセスするサーバーを制限する場合は、HTTPSに対して以下の 2 種類のサーバー
を許可する
• Web Application Proxy（AD FS Proxy）
• Relying Party（証明書利用者信頼）
• ACL を設定することでクラウドサービスにアクセス可能なIPアドレスを制限できる
• ポート番号単位に ACL を設定できる

115. Internet
Site to Site VPN 接続
Microsoft Azure
Software Load Balancer
VIP
DIP DIP DIP DIP
Internet
Microsoft Azure
Software Load Balancer
VIP
Cloud Service
AD FS
Cloud Service Cloud Service
ACL Rules
AD FS は全力で守る！
DIP DIP

116. • IP アドレス
 DHCP のまま利用（IaaS 上では静的IPアドレスは使用できない）
 一度リースされたアドレスは VM が廃棄されない限り永続される
• DNS
 AD DS と同時に DNS もインストール
 Virtual Network に当該 DNS を設定する
 Microsoft Azure の内部 DNS は使用できない
• DISK
 C: OS
 D: テンポラリ
 E:～
• 通信課金について
 課金対象は Azure → オンプレミス 方向のみ
 RODC（Read-Only Domain Controller）→ DC への通信は発生しない
自身で追加し、
キャッシュをオフ
既定のディスク
Active Directory のデータベース用ディスク
として使用

117. 読み取り専用のドメインコントローラー
• 通常のドメインコントローラーからの複製ターゲットを選択できる
• PII（Personally identifiable information）をフィルタ
• パスワード同期の要否を選択可能
• 認証したユーザーのパスワードはキャッシュされる
• パスワード同期を無効にした場合、
Site-to-Site VPN ダウン時には認証が不可
• [RODC] → [通常のDC] 方向の複製は発生しない
• DC 間複製の通信課金 0
複
製
フ
ィ
ル
タ
ー
RWDC RODC
必要最小限の
情報のみ複製
Read
Only

118. DIP DIP
Azure VNET
• Virtual Network は独立したサブネットとする
• Virtual Network ごとにサイト作成
• サイト間の複製間隔を調整
JapanEastRegion
複
製サイト
DIP DIP
Azure VNET
JapanWestRegion
サイト
サイト

119. • Active Directory 認証が必要なサービスを IaaS に展開するとき
• SharePoint Server
• SQL Server
• Oracle
• その他 認証が必要な WEB サービス 等
is better than