Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Entra ID の基礎(Japan Microsoft 365 コミュニティ カンファレンス...

Murachi Akira
November 28, 2024

Entra ID の基礎(Japan Microsoft 365 コミュニティ カンファレンス 2024)

Japan Microsoft 365 コミュニティ カンファレンス 2024 で発表したセッションのスライドです。
https://japan-m365-community-conference-2024.connpass.com/event/332074/

Murachi Akira

November 28, 2024
Tweet

More Decks by Murachi Akira

Other Decks in Technology

Transcript

  1. #JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の基礎 村地 彰(Murachi

    Akira aka hebikuzure) 株式会社エクシード・ワン テクニカル フェロー / Microsoft Most Valuable Professional B01
  2. #JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワン テクニカルフェロー

    ▪ 株式会社シーピーエス 技術 教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ 非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティ カンファレンス 2024 2
  3. #JapanM365CC2024 アジェンダ ▪ Entra ID とは • Entra ID の役割とオンプレミス

    Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと ▪ まとめ
  4. #JapanM365CC2024 Microsoft Entra ▪ Microsoft が提供しているクラウド サービス(SaaS) ▪ ID とネットワーク

    アクセス製品のファミリー Japan Microsoft 365 コミュニティ カンファレンス 2024 6
  5. #JapanM365CC2024 Microsoft Entra でできること ▪ ゼロ トラストの実装 ▪ アクセスを保護するための包括的で適応性の高いリアルタイムの アプローチ(「トラスト

    ファブリック」)の構築 • ID の検証 • アクセス条件の検証 • アクセス許可の確認 • 接続チャネルの暗号化 • セキュリティ侵害の監視 Japan Microsoft 365 コミュニティ カンファレンス 2024 7
  6. #JapanM365CC2024 Microsoft Entra の製品 ▪ Microsoft Entra ID ▪ Microsoft

    Entra Domain Services ▪ Microsoft Entra プライベート アクセス ▪ Microsoft Entra インターネット アクセス ▪ Microsoft Entra ID Governance ▪ Microsoft Entra ID Protection ▪ Microsoft Entra Verified ID ▪ Microsoft Entra 外部 ID ▪ Microsoft Entra Permissions Management ▪ Microsoft Entra ワークロード ID Japan Microsoft 365 コミュニティ カンファレンス 2024 8
  7. #JapanM365CC2024 Entra ID ▪ クラウドベースの ID とアクセス管理のサービス ▪ Microsoft の法人向けクラウド

    サービスで利用される ▪ ユーザーとグループの管理 • クラウドサービスを利用するユーザー • ユーザーを束ねるグループ ▪ 認証とアクセス制御 • 認証基盤として機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 10
  8. #JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server

    の Active Directory Domain Services(ADDS) * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 12 *:Samba の Active Directory 実装がありますが、 今回はこれには触れません
  9. #JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server

    の Active Directory Domain Services(ADDS) * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 13 *:Samba の Active Directory 実装がありますが、 今回はこれには触れません
  10. #JapanM365CC2024 Active Directory Domain Services ▪ オンプレミスの LAN 内での認証基盤 Japan

    Microsoft 365 コミュニティ カンファレンス 2024 14 ▪ イントラネットの構成 • LAN / WAN で事業所内や事業所間を接続 • 業務用アプリケーション サーバー、社内ポータル Web サーバー、 グループウエア サーバー、データベース サーバーが接続 • クライアント PC やネットワーク プリンターなどのデバイスも接続 ▪ Active Directory(ADDS)の役割 • イントラネット内のデバイス管理 • ユーザーの管理・認証 • ドメイン アカウントを利用したユーザー認証 • グループ ポリシーでデバイスを制御
  11. #JapanM365CC2024 Entra ID ▪ インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365

    コミュニティ カンファレンス 2024 15 ▪ Microsoft のクラウド サービスでの利用 • Microsoft 365 • Dynamics 365 • Intune • Power Platform • Microsoft Azure • Copilot ▪ サードパーティーの SaaS でのユーザー認証
  12. #JapanM365CC2024 実行環境の違い ▪ Active Directory Domain Services • 利用者自身が Windows

    Server の機能として 構築する • 実運用環境では少なくとも2インスタンスの Windows Server が必要 ▪ Entra ID • Microsoft がクラウド上で提供する SaaS • 利用者側で実行環境を用意する必要がない Japan Microsoft 365 コミュニティ カンファレンス 2024 16
  13. #JapanM365CC2024 ネットワーク ▪ Active Directory Domain Services • イントラネット内のサーバーとして機能 •

    認証要求と応答はイントラネット内で完結 ▪ Entra ID • クラウド上のエンドポイントとして機能 • 認証要求と応答は通常インターネット経由 * • * ExpressRoute 経由のアクセスとすることは可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 17
  14. #JapanM365CC2024 ネットワーク ▪ Active Directory Domain Services • イントラネット内のサーバーとして機能 •

    認証要求と応答はイントラネット内で完結 ▪ Entra ID • クラウド上のエンドポイントとして機能 • 認証要求と応答は通常インターネット経由 * • * ExpressRoute 経由のアクセスとすることは可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 18
  15. #JapanM365CC2024 認証プロトコル ▪ Active Directory Domain Services • Kerberos(既定)、条件により NTLM(廃止予定)

    ▪ Entra ID • インターネットで広く使われる多くの認証プロトコルをサポート • Kerberos / NTLM は利用できない * • * Entra ID と ADDS のハイブリッド構成の場合、Windows Hello for Business を 通じてクラウド Kerberos が利用可能 * アプリケーション プロキシを構成して Kerberos の制約付き委任を利用可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 19
  16. #JapanM365CC2024 Entra ID の認証プロトコル ▪ OAuth 2.0 ▪ OIDC ▪

    LDAP ▪ SAML ▪ SSH ▪ パスワード ベースの SSO ▪ RADIUS *1 ▪ リモートデスクトップ ゲートウェイ サービス *2 ▪ ヘッダーベース認証 *2 ▪ Windows 認証 *2 Japan Microsoft 365 コミュニティ カンファレンス 2024 20 *1:Entra ID Domain Services が必要 *2 :アプリケーション プロキシが必要
  17. #JapanM365CC2024 ライセンスとコスト ▪ Active Directory Domain Services • Windows Server

    のサーバーライセンス+ CAL(Client Access License) ライセンス費用はエディション、インスタンス数、アクセスするクライアント数、ユーザー数、 ライセンス形態によって決定される • 実行環境(物理サーバー)の費用も必要 ▪ Entra ID • ユーザーライセンス • Entra ID の基本機能は無償で提供(Entra ID Free) • Microsoft 365にもライセンスが付属 • 有償版ライセンスあり(Entra ID P1 / P2) • アドオン機能のライセンスあり(Entra ID スイートなど) Japan Microsoft 365 コミュニティ カンファレンス 2024 21
  18. #JapanM365CC2024 ライセンスとコスト ▪ Active Directory Domain Services • Windows Server

    のサーバーライセンス+ CAL(Client Access License) ライセンス費用はエディション、インスタンス数、アクセスするクライアント数、ユーザー数、 ライセンス形態によって決定される • 実行環境(物理サーバー)の費用も必要 ▪ Entra ID • ユーザーライセンス • Entra ID の基本機能は無償で提供(Entra ID Free) • Microsoft 365にもライセンスが付属 • 有償版ライセンスあり(Entra ID P1 / P2) • アドオン機能のライセンスあり(Entra ID スイートなど) Japan Microsoft 365 コミュニティ カンファレンス 2024 22
  19. #JapanM365CC2024 ユーザー管理 ▪ Active Directory Domain Services • 管理者がアカウントを作成し、ユーザーに割り当てる •

    オンプレミスのリソースにアクセス可能 • Windows PC にサインイン可能 • OU 単位・グループ単位でユーザー管理が可能 • オンプレミスのネットワーク接続が必要 ▪ Entra ID • 管理者がアカウントを作成し、ユーザーに割り当てる • Microsoft 365 などのクラウドサービスにアクセス可能 • Windows PC にサインイン可能 • グループ単位でユーザー管理が可能 • インターネット接続でどこからでもサインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 23
  20. #JapanM365CC2024 ユーザー管理 ▪ Active Directory Domain Services • 管理者がアカウントを作成し、ユーザーに割り当てる •

    オンプレミスのリソースにアクセス可能 • Windows PC にサインイン可能 • OU 単位・グループ単位でユーザー管理が可能 • オンプレミスのネットワーク接続が必要 ▪ Entra ID • 管理者がアカウントを作成し、ユーザーに割り当てる • Microsoft 365 などのクラウドサービスにアクセス可能 • Windows PC にサインイン可能 • グループ単位でユーザー管理が可能 • インターネット接続でどこからでもサインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 24
  21. #JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる(Windows /

    Mac) • ドメインにコンピューター オブジェクトが作成される ▪ Entra ID • コンピューター(Windows / Mac / Linux)・Android・iOS を Entra ID に登録できる • Windows は Entra ID に参加できる • Entra ID にデバイス オブジェクトが作成される Japan Microsoft 365 コミュニティ カンファレンス 2024 25
  22. #JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる(Windows /

    Mac) • ドメインにコンピューター オブジェクトが作成される ▪ Entra ID • コンピューター(Windows / Mac / Linux)・Android・iOS を Entra ID に登録できる * • Windows は Entra ID に参加できる * • Entra ID にデバイス オブジェクトが作成される Japan Microsoft 365 コミュニティ カンファレンス 2024 26 *:「Entra ID 登録」と「Entra ID 参加」は異なります
  23. #JapanM365CC2024 デバイスへのサインイン ▪ Active Directory Domain Services • ドメインに参加した Windows

    に、ドメイン アカウントでサインインできる • サインイン認証には LAN への接続が必要 * *:接続が無い場合のキャッシュ ログオンは可能 ▪ Entra ID • Entra IDに参加した Windows に、Entra ID アカウントでサインインできる • インターネット経由でのサインイン認証が可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 27
  24. #JapanM365CC2024 デバイスへのサインイン ▪ Active Directory Domain Services • ドメインに参加した Windows

    に、ドメイン アカウントでサインインできる • サインイン認証には LAN への接続が必要 * *:接続が無い場合のキャッシュ ログオンは可能 ▪ Entra ID • Entra IDに参加した Windows に、Entra ID アカウントでサインインできる • インターネット経由でのサインイン認証が可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 28
  25. #JapanM365CC2024 ポリシーの適用 ▪ Active Directory Domain Services • 参加したコンピューターにグループポリシーを適用 •

    Active Directory の標準機能 • LAN 内での管理 ▪ Entra ID • Entra ID 自体にはポリシー適用の機能は無い • Microsoft 365、Intune、サードパーティー製MDMソリューションと連携する • MDM の構成プロバイダーによるポリシー適用が行える Windowsに含まれる多くのCSPで管理可能、ADMXファイルを処理するCSPも含まれる Intuneなどを通じてActive Directoryのグループポリシーを適用可能 • インターネット経由での管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 29
  26. #JapanM365CC2024 ポリシーの適用 ▪ Active Directory Domain Services • 参加したコンピューターにグループポリシーを適用 •

    Active Directory の標準機能 • LAN 内での管理 ▪ Entra ID • Entra ID 自体にはポリシー適用の機能は無い • Microsoft 365、Intune、サードパーティー製MDMソリューションと連携する • MDM の構成プロバイダーによるポリシー適用が行える Windowsに含まれる多くのCSPで管理可能、ADMXファイルを処理するCSPも含まれる Intuneなどを通じてActive Directoryのグループポリシーを適用可能 • インターネット経由での管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 30
  27. #JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可

    • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 35
  28. #JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可

    • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能 午後の B03 セッションで解説します Japan Microsoft 365 コミュニティ カンファレンス 2024 36
  29. #JapanM365CC2024 外部ユーザーの招待 ▪ Entra ID の招待機能 • 組織外のユーザーをテナントに招待可能 • Microsoft

    365 の SharePoint Online や Teams、独自アプリケーションへ のアクセスを許可 ▪ 効率的なコラボレーション • 組織内外のユーザー間でのコラボレーションを効率化 ▪ アクセス権限の管理 • ゲストユーザーは招待元の Entra ID で管理 • アクセス権限を制御可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 37
  30. #JapanM365CC2024 セルフサービス パスワード リセット ▪ パスワードリセットのセルフサービス機能 • ユーザーが管理者に依頼せずにパスワードをリセット可能 ▪ Entra

    ID のセキュリティ情報で本人確認 • メールアドレスや Authenticator アプリを登録 • パスワード忘却時でも本人確認を行いリセット可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 39
  31. #JapanM365CC2024 Entra ID と ADDS の関係 ▪ 目的・対象領域が異なる(オンプレミスとクラウド) • ADDS

    は閉じたネットワークが前提の設計 • インターネット経由での認証が困難 ▪ ディレクトリ データのスキーマは共通 • ユーザーやデバイスのオブジェクトのデータ構造はほぼ同じ • どちらも LDAP スキーマが元になっている
  32. #JapanM365CC2024 Entra ID と ADDS の関係 ▪ 目的・対象領域が異なる(オンプレミスとクラウド) • ADDS

    は閉じたネットワークが前提の設計 • インターネット経由での認証が困難 ▪ ディレクトリ データのスキーマは共通 • ユーザーやデバイスのオブジェクトのデータ構造はほぼ同じ • どちらも LDAP スキーマが元になっている ディレクトリ データの同期が可能
  33. #JapanM365CC2024 ディレクトリ同期 ▪ ADDS のディレクトリ情報(ユーザー/グループ)を Entra ID に同期 ▪ パスワードも同期

    ▪ 2つの同期方法 • Microsoft Entra Connect オンプレミスで管理する同期ツール • Microsoft Entra クラウド同期 (Entra クラウド プロビジョニング エージェント) クラウドで管理する同期ツール Japan Microsoft 365 コミュニティ カンファレンス 2024 43
  34. #JapanM365CC2024 パスワード同期 ▪ パスワード同期の仕組み • 同期されるのはパスワードのハッシュ • 平文のパスワードはクラウドに保存されない ▪ ユーザーの利便性向上

    • オンプレミスの Active Directory と Entra ID 両方に対応 • 同じアカウント名とパスワードで サインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 46
  35. #JapanM365CC2024 パスワード ライトバック ▪ 既定のパスワード同期は ADDS ⇒ Entra ID の一方向

    ▪ Entra ID でのパスワード変更を ADDS に同期する「パスワード ライトバッ ク」も構成可能 ▪ ADDS(ドメイン)パスワードのセルフサービスリセットが可能となる Japan Microsoft 365 コミュニティ カンファレンス 2024 47
  36. #JapanM365CC2024 パスワード ライトバックの仕組み Japan Microsoft 365 コミュニティ カンファレンス 2024 48

    https://jpazureid.github.io/blog/azure-active-directory-connect/password-writeback-overview/ から引用
  37. #JapanM365CC2024 Entra ID でできないこと ▪ アクセス制御リスト(ACL)による制御 • ユーザーはアカウント ACL に登録されることでアクセスが許可される

    • ACL に登録できるのはオンプレミスのアカウントのみ ※ Entra ID ユーザーやグループはオンプレミスのリソースの ACL に登録できない • Entra ID アカウントで直接オンプレミスリソースのアクセス制御を 行うことはできない Japan Microsoft 365 コミュニティ カンファレンス 2024 50
  38. #JapanM365CC2024 まとめ ▪ Entra ID とは • Entra ID の役割とオンプレミス

    Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと