12. 個人デバイスをADで認証 ~ Workplace Join/DRS
Workplace Join
• 個人保有のデバイスを AD DS に登録し、認証するためのテクノロジー
DRS (デバイス登録サービス)
• デバイスを AD DS に登録するためのサービス
AD FS
AD DS
Start
iOS or Win8.1
Start
②
Claims
Engine
認証
認可
①個人デバイスを事前に登録(Workplace Join)
https
DRS
AD FS : Active Directory Federation Service
AD DS: Active Directory Domain Service
12
13. AD FS によるクレーム処理
AD FS はデバイスクレームとユーザークレームからアクセス可否を判定している
AD FS
AD DS
クレーム処理エンジン
デバイス認証
Start
デバイス クレーム
iOS or Win8.1
Start
②
認証
認可
ユーザー認証
③-1 認可依頼
ユーザー クレーム
追加認証
アクセス可否を判定
13
18. リバースプロキシー = Web Application Proxy
• Windows Server 2012 R2 に実装
• AD FS と連携し、デバイス クレームとユーザークレームを使用した事前認証が可能
• 追加認証プロバーダーによるマルチファクター認証が可能
Web
Application
Proxy
AD FS
クレーム処理エンジン
デバイス認証
③ アクセス
Start
③
デバイス クレーム
事前認証
プロセス
ユーザー認証
Start
AD FS に
リダイレクト
AD DS
① 事前認証
②結果
ユーザー クレーム
追加認証
アクセス可否を判定
18
20. Windows Azure Active Directory MFA プロバイダー
• Windows Azure が提供するクラウド上の多要素認証プロバイダー
• スマートフォンまたは携帯電話
• ワンタイムパスワード
• 電話応答
Windows Azure AD
• テキストメッセージ 等
MFA
⑥電話
⑦応答
①認可依頼
⑨アクセス認可
⑧OK
⑤フォーンファクター認証
②ユーザ認証
③デバイス認証
④ OK
AD FSを通過する全ての認可依頼に実装可能
20
21. ファイル サーバーをどう公開するか
Work Folder
ファイルサーバーを HTTPS で公開
ローカル デバイスに「自分のデータのみ」を同期
System Center Configuration Manager 2012 R2 との連携で
企業データのみをリモート ワイプ
•
•
•
AD FS
Web
Application
Proxy
事前認証
Work Folder
https://workfolder.contoso.com/
Start
AD DS
File Server
同期
21
22. 重要データの流出対策
•
•
•
ファイル サーバー リソース マネージャ(FSRM)
自動分類、スクリーニング
Rights Management Service(RMS)
暗号化、アクセス権限設定
ダイナミック アクセス 制御(DAC)
機密
Data
重要
スクリーニング
Data
参照
期限
読み
取り
FSRM
RMS
暗号化
暗号化
重要
Data
重要
Data
コピペ
禁止
印刷
禁止
保存
禁止
個人
情報
File Server
分類
重要データ保管庫
22
24. まとめ
• IT によるセキュリティこそが生産性を高めます
• 条件を満たせば、デバイスを「差別」する必要はありません
セキュリティポリシーが適用可能か
デバイス認可が利用可能か
データの漏えい対策がされているか
• 安全性を高めるには
Web Application Proxy + AD FS による認可制御がカギです
24
25. Mobile Device Management
モバイル デバイスの管理
Windows 8.1/RT
Windows 8/RT,
Windows Phone 8
iOS
Android
Windows Azure
Active Directory
Federation
Web
Application
Proxy
企業内デバイスの管理
Windows Intune Connector
Windows PCs
(x86/64, Intel SoC),
Windows to Go
Windows Embedded
Mac OS X
AD DS & AD FS
統合管理
コンソール
Linux/UNIX
25