Entra ID の基礎（Japan Microsoft 365 コミュニティカンファレンス 2024）

Slide 1

Slide 1 text

#JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の基礎村地彰（Murachi Akira aka hebikuzure）株式会社エクシード・ワンテクニカルフェロー / Microsoft Most Valuable Professional B01

Slide 2

Slide 2 text

#JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワンテクニカルフェロー ▪ 株式会社シーピーエス技術教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティカンファレンス 2024 2

Slide 3

Slide 3 text

#JapanM365CC2024 Entra ID の基礎オンプレミス Active Directory Domain Services との違いをもとに

Slide 4

Slide 4 text

#JapanM365CC2024 アジェンダ ▪ Entra ID とは • Entra ID の役割とオンプレミス Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと ▪ まとめ

Slide 5

Slide 5 text

#JapanM365CC2024 Entra ID とは

Slide 6

Slide 6 text

#JapanM365CC2024 Microsoft Entra ▪ Microsoft が提供しているクラウドサービス（SaaS） ▪ ID とネットワークアクセス製品のファミリー Japan Microsoft 365 コミュニティカンファレンス 2024 6

Slide 7

Slide 7 text

#JapanM365CC2024 Microsoft Entra でできること ▪ ゼロトラストの実装 ▪ アクセスを保護するための包括的で適応性の高いリアルタイムのアプローチ（「トラストファブリック」）の構築 • ID の検証 • アクセス条件の検証 • アクセス許可の確認 • 接続チャネルの暗号化 • セキュリティ侵害の監視 Japan Microsoft 365 コミュニティカンファレンス 2024 7

Slide 8

Slide 8 text

#JapanM365CC2024 Microsoft Entra の製品 ▪ Microsoft Entra ID ▪ Microsoft Entra Domain Services ▪ Microsoft Entra プライベートアクセス ▪ Microsoft Entra インターネットアクセス ▪ Microsoft Entra ID Governance ▪ Microsoft Entra ID Protection ▪ Microsoft Entra Verified ID ▪ Microsoft Entra 外部 ID ▪ Microsoft Entra Permissions Management ▪ Microsoft Entra ワークロード ID Japan Microsoft 365 コミュニティカンファレンス 2024 8

Slide 9

Slide 9 text

#JapanM365CC2024 Entra ファミリー製品のカバーする範囲 Japan Microsoft 365 コミュニティカンファレンス 2024 9

Slide 10

Slide 10 text

#JapanM365CC2024 Entra ID ▪ クラウドベースの ID とアクセス管理のサービス ▪ Microsoft の法人向けクラウドサービスで利用される ▪ ユーザーとグループの管理 • クラウドサービスを利用するユーザー • ユーザーを束ねるグループ ▪ 認証とアクセス制御 • 認証基盤として機能 Japan Microsoft 365 コミュニティカンファレンス 2024 10

Slide 11

Slide 11 text

#JapanM365CC2024 Entra ID と Active Directory

Slide 12

Slide 12 text

#JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server の Active Directory Domain Services（ADDS） * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウドサービスでの認証基盤 Japan Microsoft 365 コミュニティカンファレンス 2024 12 *：Samba の Active Directory 実装がありますが、今回はこれには触れません

Slide 13

Slide 13 text

#JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server の Active Directory Domain Services（ADDS） * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウドサービスでの認証基盤 Japan Microsoft 365 コミュニティカンファレンス 2024 13 *：Samba の Active Directory 実装がありますが、今回はこれには触れません

Slide 14

Slide 14 text

#JapanM365CC2024 Active Directory Domain Services ▪ オンプレミスの LAN 内での認証基盤 Japan Microsoft 365 コミュニティカンファレンス 2024 14 ▪ イントラネットの構成 • LAN / WAN で事業所内や事業所間を接続 • 業務用アプリケーションサーバー、社内ポータル Web サーバー、グループウエアサーバー、データベースサーバーが接続 • クライアント PC やネットワークプリンターなどのデバイスも接続 ▪ Active Directory（ADDS）の役割 • イントラネット内のデバイス管理 • ユーザーの管理・認証 • ドメインアカウントを利用したユーザー認証 • グループポリシーでデバイスを制御

Slide 15

Slide 15 text

#JapanM365CC2024 Entra ID ▪ インターネット上のクラウドサービスでの認証基盤 Japan Microsoft 365 コミュニティカンファレンス 2024 15 ▪ Microsoft のクラウドサービスでの利用 • Microsoft 365 • Dynamics 365 • Intune • Power Platform • Microsoft Azure • Copilot ▪ サードパーティーの SaaS でのユーザー認証

Slide 16

Slide 16 text

#JapanM365CC2024 実行環境の違い ▪ Active Directory Domain Services • 利用者自身が Windows Server の機能として構築する • 実運用環境では少なくとも2インスタンスの Windows Server が必要 ▪ Entra ID • Microsoft がクラウド上で提供する SaaS • 利用者側で実行環境を用意する必要がない Japan Microsoft 365 コミュニティカンファレンス 2024 16

Slide 17

Slide 17 text

#JapanM365CC2024 ネットワーク ▪ Active Directory Domain Services • イントラネット内のサーバーとして機能 • 認証要求と応答はイントラネット内で完結 ▪ Entra ID • クラウド上のエンドポイントとして機能 • 認証要求と応答は通常インターネット経由 * • * ExpressRoute 経由のアクセスとすることは可能 Japan Microsoft 365 コミュニティカンファレンス 2024 17

Slide 18

Slide 18 text

Slide 19

Slide 19 text

#JapanM365CC2024 認証プロトコル ▪ Active Directory Domain Services • Kerberos（既定）、条件により NTLM（廃止予定） ▪ Entra ID • インターネットで広く使われる多くの認証プロトコルをサポート • Kerberos / NTLM は利用できない * • * Entra ID と ADDS のハイブリッド構成の場合、Windows Hello for Business を通じてクラウド Kerberos が利用可能 * アプリケーションプロキシを構成して Kerberos の制約付き委任を利用可能 Japan Microsoft 365 コミュニティカンファレンス 2024 19

Slide 20

Slide 20 text

#JapanM365CC2024 Entra ID の認証プロトコル ▪ OAuth 2.0 ▪ OIDC ▪ LDAP ▪ SAML ▪ SSH ▪ パスワードベースの SSO ▪ RADIUS *1 ▪ リモートデスクトップゲートウェイサービス *2 ▪ ヘッダーベース認証 *2 ▪ Windows 認証 *2 Japan Microsoft 365 コミュニティカンファレンス 2024 20 *1：Entra ID Domain Services が必要 *2 ：アプリケーションプロキシが必要

Slide 21

Slide 21 text

#JapanM365CC2024 ライセンスとコスト ▪ Active Directory Domain Services • Windows Server のサーバーライセンス＋ CAL（Client Access License）ライセンス費用はエディション、インスタンス数、アクセスするクライアント数、ユーザー数、ライセンス形態によって決定される • 実行環境（物理サーバー）の費用も必要 ▪ Entra ID • ユーザーライセンス • Entra ID の基本機能は無償で提供（Entra ID Free） • Microsoft 365にもライセンスが付属 • 有償版ライセンスあり（Entra ID P1 / P2） • アドオン機能のライセンスあり（Entra ID スイートなど） Japan Microsoft 365 コミュニティカンファレンス 2024 21

Slide 22

Slide 22 text

Slide 23

Slide 23 text

#JapanM365CC2024 ユーザー管理 ▪ Active Directory Domain Services • 管理者がアカウントを作成し、ユーザーに割り当てる • オンプレミスのリソースにアクセス可能 • Windows PC にサインイン可能 • OU 単位・グループ単位でユーザー管理が可能 • オンプレミスのネットワーク接続が必要 ▪ Entra ID • 管理者がアカウントを作成し、ユーザーに割り当てる • Microsoft 365 などのクラウドサービスにアクセス可能 • Windows PC にサインイン可能 • グループ単位でユーザー管理が可能 • インターネット接続でどこからでもサインイン可能 Japan Microsoft 365 コミュニティカンファレンス 2024 23

Slide 24

Slide 24 text

Slide 25

Slide 25 text

#JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる（Windows / Mac） • ドメインにコンピューターオブジェクトが作成される ▪ Entra ID • コンピューター（Windows / Mac / Linux）・Android・iOS を Entra ID に登録できる • Windows は Entra ID に参加できる • Entra ID にデバイスオブジェクトが作成される Japan Microsoft 365 コミュニティカンファレンス 2024 25

Slide 26

Slide 26 text

#JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる（Windows / Mac） • ドメインにコンピューターオブジェクトが作成される ▪ Entra ID • コンピューター（Windows / Mac / Linux）・Android・iOS を Entra ID に登録できる * • Windows は Entra ID に参加できる * • Entra ID にデバイスオブジェクトが作成される Japan Microsoft 365 コミュニティカンファレンス 2024 26 *：「Entra ID 登録」と「Entra ID 参加」は異なります

Slide 27

Slide 27 text

#JapanM365CC2024 デバイスへのサインイン ▪ Active Directory Domain Services • ドメインに参加した Windows に、ドメインアカウントでサインインできる • サインイン認証には LAN への接続が必要 * *：接続が無い場合のキャッシュログオンは可能 ▪ Entra ID • Entra IDに参加した Windows に、Entra ID アカウントでサインインできる • インターネット経由でのサインイン認証が可能 Japan Microsoft 365 コミュニティカンファレンス 2024 27

Slide 28

Slide 28 text

Slide 29

Slide 29 text

#JapanM365CC2024 ポリシーの適用 ▪ Active Directory Domain Services • 参加したコンピューターにグループポリシーを適用 • Active Directory の標準機能 • LAN 内での管理 ▪ Entra ID • Entra ID 自体にはポリシー適用の機能は無い • Microsoft 365、Intune、サードパーティー製MDMソリューションと連携する • MDM の構成プロバイダーによるポリシー適用が行える Windowsに含まれる多くのCSPで管理可能、ADMXファイルを処理するCSPも含まれる Intuneなどを通じてActive Directoryのグループポリシーを適用可能 • インターネット経由での管理 Japan Microsoft 365 コミュニティカンファレンス 2024 29

Slide 30

Slide 30 text

Slide 31

Slide 31 text

#JapanM365CC2024 Entra ID の独自機能

Slide 32

Slide 32 text

#JapanM365CC2024 クラウド認証 ▪ Microsoft / サードパーティのクラウドサービスへのアクセス Japan Microsoft 365 コミュニティカンファレンス 2024 32

Slide 33

Slide 33 text

#JapanM365CC2024 多要素認証 ▪ パスワードやスマートカードなどの1つの認証情報だけでなく、複数の認証要素を求める ▪ 複数の認証要素を提供することで、より高いセキュリティを実現 ▪ Active Directoryには多要素認証機能がない Japan Microsoft 365 コミュニティカンファレンス 2024 33

Slide 34

Slide 34 text

#JapanM365CC2024 多要素認証 ▪ パスワードやスマートカードなどの1つの認証情報だけでなく、複数の認証要素を求める ▪ 複数の認証要素を提供することで、より高いセキュリティを実現 ▪ Active Directoryには多要素認証機能がない午後の B03 セッションで解説します Japan Microsoft 365 コミュニティカンファレンス 2024 34

Slide 35

Slide 35 text

#JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可 • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能 Japan Microsoft 365 コミュニティカンファレンス 2024 35

Slide 36

Slide 36 text

#JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可 • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能午後の B03 セッションで解説します Japan Microsoft 365 コミュニティカンファレンス 2024 36

Slide 37

Slide 37 text

#JapanM365CC2024 外部ユーザーの招待 ▪ Entra ID の招待機能 • 組織外のユーザーをテナントに招待可能 • Microsoft 365 の SharePoint Online や Teams、独自アプリケーションへのアクセスを許可 ▪ 効率的なコラボレーション • 組織内外のユーザー間でのコラボレーションを効率化 ▪ アクセス権限の管理 • ゲストユーザーは招待元の Entra ID で管理 • アクセス権限を制御可能 Japan Microsoft 365 コミュニティカンファレンス 2024 37

Slide 38

Slide 38 text

#JapanM365CC2024 外部ユーザーとゲストユーザー ▪ ユーザー属性「ゲスト/メンバー」と認証ソース「外部/内部」は独立した設定 ▪ 内部ユーザーの既定値：メンバー ▪ 外部ユーザーの既定値：ゲスト Japan Microsoft 365 コミュニティカンファレンス 2024 38

Slide 39

Slide 39 text

#JapanM365CC2024 セルフサービスパスワードリセット ▪ パスワードリセットのセルフサービス機能 • ユーザーが管理者に依頼せずにパスワードをリセット可能 ▪ Entra ID のセキュリティ情報で本人確認 • メールアドレスや Authenticator アプリを登録 • パスワード忘却時でも本人確認を行いリセット可能 Japan Microsoft 365 コミュニティカンファレンス 2024 39

Slide 40

Slide 40 text

#JapanM365CC2024 Entra ID と Active Directory の同期

Slide 41

Slide 41 text

#JapanM365CC2024 Entra ID と ADDS の関係 ▪ 目的・対象領域が異なる（オンプレミスとクラウド） • ADDS は閉じたネットワークが前提の設計 • インターネット経由での認証が困難 ▪ ディレクトリデータのスキーマは共通 • ユーザーやデバイスのオブジェクトのデータ構造はほぼ同じ • どちらも LDAP スキーマが元になっている

Slide 42

Slide 42 text

Slide 43

Slide 43 text

#JapanM365CC2024 ディレクトリ同期 ▪ ADDS のディレクトリ情報（ユーザー/グループ）を Entra ID に同期 ▪ パスワードも同期 ▪ ２つの同期方法 • Microsoft Entra Connect オンプレミスで管理する同期ツール • Microsoft Entra クラウド同期（Entra クラウドプロビジョニングエージェント）クラウドで管理する同期ツール Japan Microsoft 365 コミュニティカンファレンス 2024 43

Slide 44

Slide 44 text

#JapanM365CC2024 Microsoft Entra Connect Japan Microsoft 365 コミュニティカンファレンス 2024 44

Slide 45

Slide 45 text

#JapanM365CC2024 Microsoft Entra クラウド同期 Japan Microsoft 365 コミュニティカンファレンス 2024 45

Slide 46

Slide 46 text

#JapanM365CC2024 パスワード同期 ▪ パスワード同期の仕組み • 同期されるのはパスワードのハッシュ • 平文のパスワードはクラウドに保存されない ▪ ユーザーの利便性向上 • オンプレミスの Active Directory と Entra ID 両方に対応 • 同じアカウント名とパスワードでサインイン可能 Japan Microsoft 365 コミュニティカンファレンス 2024 46

Slide 47

Slide 47 text

#JapanM365CC2024 パスワードライトバック ▪ 既定のパスワード同期は ADDS ⇒ Entra ID の一方向 ▪ Entra ID でのパスワード変更を ADDS に同期する「パスワードライトバック」も構成可能 ▪ ADDS（ドメイン）パスワードのセルフサービスリセットが可能となる Japan Microsoft 365 コミュニティカンファレンス 2024 47

Slide 48

Slide 48 text

#JapanM365CC2024 パスワードライトバックの仕組み Japan Microsoft 365 コミュニティカンファレンス 2024 48 https://jpazureid.github.io/blog/azure-active-directory-connect/password-writeback-overview/ から引用

Slide 49

Slide 49 text

#JapanM365CC2024 Entra ID でできないこと

Slide 50

Slide 50 text

#JapanM365CC2024 Entra ID でできないこと ▪ アクセス制御リスト（ACL）による制御 • ユーザーはアカウント ACL に登録されることでアクセスが許可される • ACL に登録できるのはオンプレミスのアカウントのみ ※ Entra ID ユーザーやグループはオンプレミスのリソースの ACL に登録できない • Entra ID アカウントで直接オンプレミスリソースのアクセス制御を行うことはできない Japan Microsoft 365 コミュニティカンファレンス 2024 50

Slide 51

Slide 51 text

#JapanM365CC2024 まとめ

Slide 52

Slide 52 text

#JapanM365CC2024 まとめ ▪ Entra ID とは • Entra ID の役割とオンプレミス Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと