Slide 1

Slide 1 text

#JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の基礎 村地 彰(Murachi Akira aka hebikuzure) 株式会社エクシード・ワン テクニカル フェロー / Microsoft Most Valuable Professional B01

Slide 2

Slide 2 text

#JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワン テクニカルフェロー ▪ 株式会社シーピーエス 技術 教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ 非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティ カンファレンス 2024 2

Slide 3

Slide 3 text

#JapanM365CC2024 Entra ID の基礎 オンプレミス Active Directory Domain Services との違いをもとに

Slide 4

Slide 4 text

#JapanM365CC2024 アジェンダ ▪ Entra ID とは • Entra ID の役割とオンプレミス Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと ▪ まとめ

Slide 5

Slide 5 text

#JapanM365CC2024 Entra ID とは

Slide 6

Slide 6 text

#JapanM365CC2024 Microsoft Entra ▪ Microsoft が提供しているクラウド サービス(SaaS) ▪ ID とネットワーク アクセス製品のファミリー Japan Microsoft 365 コミュニティ カンファレンス 2024 6

Slide 7

Slide 7 text

#JapanM365CC2024 Microsoft Entra でできること ▪ ゼロ トラストの実装 ▪ アクセスを保護するための包括的で適応性の高いリアルタイムの アプローチ(「トラスト ファブリック」)の構築 • ID の検証 • アクセス条件の検証 • アクセス許可の確認 • 接続チャネルの暗号化 • セキュリティ侵害の監視 Japan Microsoft 365 コミュニティ カンファレンス 2024 7

Slide 8

Slide 8 text

#JapanM365CC2024 Microsoft Entra の製品 ▪ Microsoft Entra ID ▪ Microsoft Entra Domain Services ▪ Microsoft Entra プライベート アクセス ▪ Microsoft Entra インターネット アクセス ▪ Microsoft Entra ID Governance ▪ Microsoft Entra ID Protection ▪ Microsoft Entra Verified ID ▪ Microsoft Entra 外部 ID ▪ Microsoft Entra Permissions Management ▪ Microsoft Entra ワークロード ID Japan Microsoft 365 コミュニティ カンファレンス 2024 8

Slide 9

Slide 9 text

#JapanM365CC2024 Entra ファミリー製品のカバーする範囲 Japan Microsoft 365 コミュニティ カンファレンス 2024 9

Slide 10

Slide 10 text

#JapanM365CC2024 Entra ID ▪ クラウドベースの ID とアクセス管理のサービス ▪ Microsoft の法人向けクラウド サービスで利用される ▪ ユーザーとグループの管理 • クラウドサービスを利用するユーザー • ユーザーを束ねるグループ ▪ 認証とアクセス制御 • 認証基盤として機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 10

Slide 11

Slide 11 text

#JapanM365CC2024 Entra ID と Active Directory

Slide 12

Slide 12 text

#JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server の Active Directory Domain Services(ADDS) * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 12 *:Samba の Active Directory 実装がありますが、 今回はこれには触れません

Slide 13

Slide 13 text

#JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server の Active Directory Domain Services(ADDS) * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 13 *:Samba の Active Directory 実装がありますが、 今回はこれには触れません

Slide 14

Slide 14 text

#JapanM365CC2024 Active Directory Domain Services ▪ オンプレミスの LAN 内での認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 14 ▪ イントラネットの構成 • LAN / WAN で事業所内や事業所間を接続 • 業務用アプリケーション サーバー、社内ポータル Web サーバー、 グループウエア サーバー、データベース サーバーが接続 • クライアント PC やネットワーク プリンターなどのデバイスも接続 ▪ Active Directory(ADDS)の役割 • イントラネット内のデバイス管理 • ユーザーの管理・認証 • ドメイン アカウントを利用したユーザー認証 • グループ ポリシーでデバイスを制御

Slide 15

Slide 15 text

#JapanM365CC2024 Entra ID ▪ インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 15 ▪ Microsoft のクラウド サービスでの利用 • Microsoft 365 • Dynamics 365 • Intune • Power Platform • Microsoft Azure • Copilot ▪ サードパーティーの SaaS でのユーザー認証

Slide 16

Slide 16 text

#JapanM365CC2024 実行環境の違い ▪ Active Directory Domain Services • 利用者自身が Windows Server の機能として 構築する • 実運用環境では少なくとも2インスタンスの Windows Server が必要 ▪ Entra ID • Microsoft がクラウド上で提供する SaaS • 利用者側で実行環境を用意する必要がない Japan Microsoft 365 コミュニティ カンファレンス 2024 16

Slide 17

Slide 17 text

#JapanM365CC2024 ネットワーク ▪ Active Directory Domain Services • イントラネット内のサーバーとして機能 • 認証要求と応答はイントラネット内で完結 ▪ Entra ID • クラウド上のエンドポイントとして機能 • 認証要求と応答は通常インターネット経由 * • * ExpressRoute 経由のアクセスとすることは可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 17

Slide 18

Slide 18 text

#JapanM365CC2024 ネットワーク ▪ Active Directory Domain Services • イントラネット内のサーバーとして機能 • 認証要求と応答はイントラネット内で完結 ▪ Entra ID • クラウド上のエンドポイントとして機能 • 認証要求と応答は通常インターネット経由 * • * ExpressRoute 経由のアクセスとすることは可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 18

Slide 19

Slide 19 text

#JapanM365CC2024 認証プロトコル ▪ Active Directory Domain Services • Kerberos(既定)、条件により NTLM(廃止予定) ▪ Entra ID • インターネットで広く使われる多くの認証プロトコルをサポート • Kerberos / NTLM は利用できない * • * Entra ID と ADDS のハイブリッド構成の場合、Windows Hello for Business を 通じてクラウド Kerberos が利用可能 * アプリケーション プロキシを構成して Kerberos の制約付き委任を利用可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 19

Slide 20

Slide 20 text

#JapanM365CC2024 Entra ID の認証プロトコル ▪ OAuth 2.0 ▪ OIDC ▪ LDAP ▪ SAML ▪ SSH ▪ パスワード ベースの SSO ▪ RADIUS *1 ▪ リモートデスクトップ ゲートウェイ サービス *2 ▪ ヘッダーベース認証 *2 ▪ Windows 認証 *2 Japan Microsoft 365 コミュニティ カンファレンス 2024 20 *1:Entra ID Domain Services が必要 *2 :アプリケーション プロキシが必要

Slide 21

Slide 21 text

#JapanM365CC2024 ライセンスとコスト ▪ Active Directory Domain Services • Windows Server のサーバーライセンス+ CAL(Client Access License) ライセンス費用はエディション、インスタンス数、アクセスするクライアント数、ユーザー数、 ライセンス形態によって決定される • 実行環境(物理サーバー)の費用も必要 ▪ Entra ID • ユーザーライセンス • Entra ID の基本機能は無償で提供(Entra ID Free) • Microsoft 365にもライセンスが付属 • 有償版ライセンスあり(Entra ID P1 / P2) • アドオン機能のライセンスあり(Entra ID スイートなど) Japan Microsoft 365 コミュニティ カンファレンス 2024 21

Slide 22

Slide 22 text

#JapanM365CC2024 ライセンスとコスト ▪ Active Directory Domain Services • Windows Server のサーバーライセンス+ CAL(Client Access License) ライセンス費用はエディション、インスタンス数、アクセスするクライアント数、ユーザー数、 ライセンス形態によって決定される • 実行環境(物理サーバー)の費用も必要 ▪ Entra ID • ユーザーライセンス • Entra ID の基本機能は無償で提供(Entra ID Free) • Microsoft 365にもライセンスが付属 • 有償版ライセンスあり(Entra ID P1 / P2) • アドオン機能のライセンスあり(Entra ID スイートなど) Japan Microsoft 365 コミュニティ カンファレンス 2024 22

Slide 23

Slide 23 text

#JapanM365CC2024 ユーザー管理 ▪ Active Directory Domain Services • 管理者がアカウントを作成し、ユーザーに割り当てる • オンプレミスのリソースにアクセス可能 • Windows PC にサインイン可能 • OU 単位・グループ単位でユーザー管理が可能 • オンプレミスのネットワーク接続が必要 ▪ Entra ID • 管理者がアカウントを作成し、ユーザーに割り当てる • Microsoft 365 などのクラウドサービスにアクセス可能 • Windows PC にサインイン可能 • グループ単位でユーザー管理が可能 • インターネット接続でどこからでもサインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 23

Slide 24

Slide 24 text

#JapanM365CC2024 ユーザー管理 ▪ Active Directory Domain Services • 管理者がアカウントを作成し、ユーザーに割り当てる • オンプレミスのリソースにアクセス可能 • Windows PC にサインイン可能 • OU 単位・グループ単位でユーザー管理が可能 • オンプレミスのネットワーク接続が必要 ▪ Entra ID • 管理者がアカウントを作成し、ユーザーに割り当てる • Microsoft 365 などのクラウドサービスにアクセス可能 • Windows PC にサインイン可能 • グループ単位でユーザー管理が可能 • インターネット接続でどこからでもサインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 24

Slide 25

Slide 25 text

#JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる(Windows / Mac) • ドメインにコンピューター オブジェクトが作成される ▪ Entra ID • コンピューター(Windows / Mac / Linux)・Android・iOS を Entra ID に登録できる • Windows は Entra ID に参加できる • Entra ID にデバイス オブジェクトが作成される Japan Microsoft 365 コミュニティ カンファレンス 2024 25

Slide 26

Slide 26 text

#JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる(Windows / Mac) • ドメインにコンピューター オブジェクトが作成される ▪ Entra ID • コンピューター(Windows / Mac / Linux)・Android・iOS を Entra ID に登録できる * • Windows は Entra ID に参加できる * • Entra ID にデバイス オブジェクトが作成される Japan Microsoft 365 コミュニティ カンファレンス 2024 26 *:「Entra ID 登録」と「Entra ID 参加」は異なります

Slide 27

Slide 27 text

#JapanM365CC2024 デバイスへのサインイン ▪ Active Directory Domain Services • ドメインに参加した Windows に、ドメイン アカウントでサインインできる • サインイン認証には LAN への接続が必要 * *:接続が無い場合のキャッシュ ログオンは可能 ▪ Entra ID • Entra IDに参加した Windows に、Entra ID アカウントでサインインできる • インターネット経由でのサインイン認証が可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 27

Slide 28

Slide 28 text

#JapanM365CC2024 デバイスへのサインイン ▪ Active Directory Domain Services • ドメインに参加した Windows に、ドメイン アカウントでサインインできる • サインイン認証には LAN への接続が必要 * *:接続が無い場合のキャッシュ ログオンは可能 ▪ Entra ID • Entra IDに参加した Windows に、Entra ID アカウントでサインインできる • インターネット経由でのサインイン認証が可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 28

Slide 29

Slide 29 text

#JapanM365CC2024 ポリシーの適用 ▪ Active Directory Domain Services • 参加したコンピューターにグループポリシーを適用 • Active Directory の標準機能 • LAN 内での管理 ▪ Entra ID • Entra ID 自体にはポリシー適用の機能は無い • Microsoft 365、Intune、サードパーティー製MDMソリューションと連携する • MDM の構成プロバイダーによるポリシー適用が行える Windowsに含まれる多くのCSPで管理可能、ADMXファイルを処理するCSPも含まれる Intuneなどを通じてActive Directoryのグループポリシーを適用可能 • インターネット経由での管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 29

Slide 30

Slide 30 text

#JapanM365CC2024 ポリシーの適用 ▪ Active Directory Domain Services • 参加したコンピューターにグループポリシーを適用 • Active Directory の標準機能 • LAN 内での管理 ▪ Entra ID • Entra ID 自体にはポリシー適用の機能は無い • Microsoft 365、Intune、サードパーティー製MDMソリューションと連携する • MDM の構成プロバイダーによるポリシー適用が行える Windowsに含まれる多くのCSPで管理可能、ADMXファイルを処理するCSPも含まれる Intuneなどを通じてActive Directoryのグループポリシーを適用可能 • インターネット経由での管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 30

Slide 31

Slide 31 text

#JapanM365CC2024 Entra ID の独自機能

Slide 32

Slide 32 text

#JapanM365CC2024 クラウド認証 ▪ Microsoft / サードパーティのクラウドサービスへのアクセス Japan Microsoft 365 コミュニティ カンファレンス 2024 32

Slide 33

Slide 33 text

#JapanM365CC2024 多要素認証 ▪ パスワードやスマートカードなどの1つの認証情報だけでなく、 複数の認証要素を求める ▪ 複数の認証要素を提供することで、より高いセキュリティを実現 ▪ Active Directoryには多要素認証機能がない Japan Microsoft 365 コミュニティ カンファレンス 2024 33

Slide 34

Slide 34 text

#JapanM365CC2024 多要素認証 ▪ パスワードやスマートカードなどの1つの認証情報だけでなく、複数の認証 要素を求める ▪ 複数の認証要素を提供することで、より高いセキュリティを実現 ▪ Active Directoryには多要素認証機能がない 午後の B03 セッションで解説します Japan Microsoft 365 コミュニティ カンファレンス 2024 34

Slide 35

Slide 35 text

#JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可 • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 35

Slide 36

Slide 36 text

#JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可 • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能 午後の B03 セッションで解説します Japan Microsoft 365 コミュニティ カンファレンス 2024 36

Slide 37

Slide 37 text

#JapanM365CC2024 外部ユーザーの招待 ▪ Entra ID の招待機能 • 組織外のユーザーをテナントに招待可能 • Microsoft 365 の SharePoint Online や Teams、独自アプリケーションへ のアクセスを許可 ▪ 効率的なコラボレーション • 組織内外のユーザー間でのコラボレーションを効率化 ▪ アクセス権限の管理 • ゲストユーザーは招待元の Entra ID で管理 • アクセス権限を制御可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 37

Slide 38

Slide 38 text

#JapanM365CC2024 外部ユーザーとゲストユーザー ▪ ユーザー属性「ゲスト/メンバー」と認証ソース「外部/内部」は 独立した設定 ▪ 内部ユーザーの既定値: メンバー ▪ 外部ユーザーの既定値: ゲスト Japan Microsoft 365 コミュニティ カンファレンス 2024 38

Slide 39

Slide 39 text

#JapanM365CC2024 セルフサービス パスワード リセット ▪ パスワードリセットのセルフサービス機能 • ユーザーが管理者に依頼せずにパスワードをリセット可能 ▪ Entra ID のセキュリティ情報で本人確認 • メールアドレスや Authenticator アプリを登録 • パスワード忘却時でも本人確認を行いリセット可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 39

Slide 40

Slide 40 text

#JapanM365CC2024 Entra ID と Active Directory の同期

Slide 41

Slide 41 text

#JapanM365CC2024 Entra ID と ADDS の関係 ▪ 目的・対象領域が異なる(オンプレミスとクラウド) • ADDS は閉じたネットワークが前提の設計 • インターネット経由での認証が困難 ▪ ディレクトリ データのスキーマは共通 • ユーザーやデバイスのオブジェクトのデータ構造はほぼ同じ • どちらも LDAP スキーマが元になっている

Slide 42

Slide 42 text

#JapanM365CC2024 Entra ID と ADDS の関係 ▪ 目的・対象領域が異なる(オンプレミスとクラウド) • ADDS は閉じたネットワークが前提の設計 • インターネット経由での認証が困難 ▪ ディレクトリ データのスキーマは共通 • ユーザーやデバイスのオブジェクトのデータ構造はほぼ同じ • どちらも LDAP スキーマが元になっている ディレクトリ データの同期が可能

Slide 43

Slide 43 text

#JapanM365CC2024 ディレクトリ同期 ▪ ADDS のディレクトリ情報(ユーザー/グループ)を Entra ID に同期 ▪ パスワードも同期 ▪ 2つの同期方法 • Microsoft Entra Connect オンプレミスで管理する同期ツール • Microsoft Entra クラウド同期 (Entra クラウド プロビジョニング エージェント) クラウドで管理する同期ツール Japan Microsoft 365 コミュニティ カンファレンス 2024 43

Slide 44

Slide 44 text

#JapanM365CC2024 Microsoft Entra Connect Japan Microsoft 365 コミュニティ カンファレンス 2024 44

Slide 45

Slide 45 text

#JapanM365CC2024 Microsoft Entra クラウド同期 Japan Microsoft 365 コミュニティ カンファレンス 2024 45

Slide 46

Slide 46 text

#JapanM365CC2024 パスワード同期 ▪ パスワード同期の仕組み • 同期されるのはパスワードのハッシュ • 平文のパスワードはクラウドに保存されない ▪ ユーザーの利便性向上 • オンプレミスの Active Directory と Entra ID 両方に対応 • 同じアカウント名とパスワードで サインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 46

Slide 47

Slide 47 text

#JapanM365CC2024 パスワード ライトバック ▪ 既定のパスワード同期は ADDS ⇒ Entra ID の一方向 ▪ Entra ID でのパスワード変更を ADDS に同期する「パスワード ライトバッ ク」も構成可能 ▪ ADDS(ドメイン)パスワードのセルフサービスリセットが可能となる Japan Microsoft 365 コミュニティ カンファレンス 2024 47

Slide 48

Slide 48 text

#JapanM365CC2024 パスワード ライトバックの仕組み Japan Microsoft 365 コミュニティ カンファレンス 2024 48 https://jpazureid.github.io/blog/azure-active-directory-connect/password-writeback-overview/ から引用

Slide 49

Slide 49 text

#JapanM365CC2024 Entra ID で できないこと

Slide 50

Slide 50 text

#JapanM365CC2024 Entra ID でできないこと ▪ アクセス制御リスト(ACL)による制御 • ユーザーはアカウント ACL に登録されることでアクセスが許可される • ACL に登録できるのはオンプレミスのアカウントのみ ※ Entra ID ユーザーやグループはオンプレミスのリソースの ACL に登録できない • Entra ID アカウントで直接オンプレミスリソースのアクセス制御を 行うことはできない Japan Microsoft 365 コミュニティ カンファレンス 2024 50

Slide 51

Slide 51 text

#JapanM365CC2024 まとめ

Slide 52

Slide 52 text

#JapanM365CC2024 まとめ ▪ Entra ID とは • Entra ID の役割とオンプレミス Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと