Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Microsoft Entra Suite で実現する新たな ID Journey

shmatsuy
October 05, 2024
280

Microsoft Entra Suite で実現する新たな ID Journey

shmatsuy

October 05, 2024
Tweet

Transcript

  1. Microsoft Entra Suite で実現する 新たな ID Journey 日本マイクロソフト株式会社 クラウド &

    AI ソリューション本部 テクニカルスペシャリスト 松山 祥子
  2. Agenda • Microsoft の ID 戦略 • Microsoft Entra Suite

    • Entra ID with Copilot for Security
  3. Azure AD は Microsoft Entra ID に Azure AD External

    Identities Microsoft Entra External ID Azure AD Microsoft Entra ID Azure AD Free Microsoft Entra ID Free Azure AD Premium P1 Microsoft Entra ID P1 Microsoft 365 E3 に含まれる Azure AD Premium P2 Microsoft Entra ID P2 Microsoft 365 E5 に含まれる 同じ価格とライセンス 2023 年 7 月発表
  4. Microsoft Entra 名称変更 # BEFORE AFTER 特記 1 Azure Active

    Directory Free Microsoft Entra ID Free 2 Azure Active Directory Premium P1/P2 Microsoft Entra ID P1/P2 Premium 削除 3 Azure AD Identity Protection/Governance Microsoft Entra ID Protection/Governance ID に統一 4 Azure AD External Identities Microsoft Entra External ID ID に統一 5 Azure AD 条件付きアクセス (CA) Microsoft Entra 条件付きアクセス (CA) ID 不要 6 Azure AD シングルサインオン (SSO) Microsoft Entra シングルサインオン (SSO) ID 不要 7 Azure AD 参加 /Azure AD Joined Microsoft Entra 参加 /Microsoft Entra Joined ID 不要 8 Azure AD Connect Microsoft Entra Connect ID 不要 9 Azure AD PowerShell for Graph Microsoft Graph Powershell Entra ファミリー除外 10 Active Directory Federation Services (AD FS) Active Directory Federation Services (AD FS) AD は変更なし 11 Active Directory Domain Services (AD DS) Active Directory Domain Services (AD DS) AD は変更なし 基本ルール 1. “Azure Active Directory” or “Azure AD” or “AAD” は、 “Microsoft Entra ID “へ 2. “Azure Active Directory <機能名>“ or “Azure AD <機能名>“ は、 “ Microsoft Entra <機能名>“へ
  5. 働き方に関するインサイト セキュリティに関する インサイト データ利用に関するインサイト アクセス状況 コラボレーション状況 デバイス状況 脆弱性の状況 侵害の状況 データ利用の可視化

    Microsoft 365 E5 お客様固有のデータ 従業員の AI 活用 Copilot for Microsoft 365 業務での AI 活用 Copilot for Security IT 運用での AI 活用 経営層向けインサイト Defender XDR 外部脅威対策状況 Microsoft Purview 内部データ利活用状況 Microsoft 365 E5 が提供する価値
  6. の業績上位企業が、デジタルトレーニ ングプログラムによって 従業員のエンゲージメントとパフォーマン スを向上させたいと報告しています。 2 どんなビジネスでも原動力は「人」です 従業員のエンゲージメントが高 い企業は、収益性が 21% 向上している.

    4 高エンゲージメントの従業員は、 エンゲージメントの 低い従業員に比べて、 12倍 、 会社を辞める可能性が低い1 94% の従業員が、学習や開発に 投資するならば、 その会社に長くとどまると答え ています 3 1 Glint, 2 PwC’s Global Digital IQ survey, 3 LinkedIn Learning 2020 Workplace Learning Report, 4 Gallup 86%
  7. 生産性・セキュリティ両面を支える IT インフラ クラウドのシグナルの利活用・分析 活動の分析 検索 資料作成 チャット 情報共有 メール

    電話 会議 ブラウジング メール デバイス ID 機密情報 ディレクトリ セキュリティ&コンプライアンス ID を中心とした行動やセキュリティの可視化 全てのデータをつなぐのは ID
  8. 働き方改革シグナル セキュリティ・コンプライアンスシグナル 検索 資料作成 チャット 情報共有 メール 電話 会議 ブラウジング

    メール デバイス ID 機密情報 ディレクトリ “人” 中心に AI で分析 ナレッジ提供の自動化 攻撃の自動検出・対処 内部不正の自動検知 組織全体の脅威を可視化 Teams によるコラボレーション Teams Microsoft Defender Microsoft Sentinel Microsoft Purview 働き方の分析 Microsoft 365 で経営基盤強化・組織風土改革を実現するクラウド IT 環境 Microsoft 365 で集約できるデータ Viva Learning Viva Insights Microsoft Copilot シリーズによる対話型でのデータ活用 事業経営モデル改革 DXにおける新規事業創出 D&I・人材育成制度改革 SDGs 環境・社会のサステナビリティ コーポレートガバナンス強化 グループ間連携によるコミュニケーション・コラボレーション ゼロトラスト セキュリティの構築 経営分析ツール、業務自動化 エンゲージメントサーベイ Well Being 測定 経営アジェンダ デジタル手段 サプライチェーンのデジタル化・分析 現場主導による開発 リモートワークにおける情報保護 顧客管理基盤 従業員スキル情報の見える化・ ノウハウ共有 クラウド活用による排出削減
  9. Microsoft Entra ID P1 / P2 基本機能に加え、ハイブリッド ユーザーがオンプレミスと クラウドの両方のリソースにアクセスすることも可能。 AI

    や ML を利用して高度な ID の保護を実現する Identity Protection、また、ローコードツールとの連携に よって高度な ID 管理機能もサポート IDaaS の基本機能 ユーザーとグループの管理、オンプレミス ディレクトリ同期、 基本レポート、クラウド ユーザー向けのセルフサービスのパス ワード変更のほか、Azure、Microsoft 365、および多くの 一般的な SaaS アプリ全体のシングル サインオンを提供。 Microsoft のクラウド サービスを利用する場合必須 クラウドベースの ID およびアクセス管理サービス Microsoft Entra ID
  10. ID 構成管理のチェック セキュアスコア Posture Management Exposure Management 組織全体の構成についてスコアリング 化。類似組織と比較してどの程度設 定が出来てるか確認ができる

    Microsoft 推奨のセキュリティ設定に ついてカテゴリごとに確認ができる 攻撃領域を包括的に可視化 ID セキュリティ戦略に必要なメトリクスや それに紐づいた推奨事項を確認すること が可能 セキュアに使っていただくために構成のスコアリングを行い現状の設定について数値で可視化することができます 設定項目はリスクベースでの優先順位付けを行い、推奨設定を参考に設定有無の判断をサポートします 全て同一画面、設定内容など連動 Public Preview Entra ID については M365 E3 バンドル Entra ID については M365 E3 バンドル
  11. 2024年のセキュリティトレンド サイバー犯罪の 増加 4,000 件/秒 パスワード攻撃 (2023年) トークン リプライ アタック

    2 倍 2023年から2倍に増加 Identityの増化 3000 億以上 のパスワードが人間や機械 により使用されている **** Microsoft Digital Defense Report 2023 (MDDR) Most enterprises looking to consolidate security vendors · CSO Online The world needs cybersecurity experts – Microsoft expands skilling effort with a focus on women · Microsoft On the Issues ファーストラインの防御線と してのIdentity 66 % の攻撃パスが不安全な ID 認証情報を含む
  12. アプリケーション データ インフラストラクチャー ゼロトラスト セキュリティ モデルを実現するポリシーエンジン ID ネットワーク エンドポイント 継

    続 的 なリスクアセスメント&自 動 化 脅 威情報とテレメトリー活用 ゼロトラストポリシー 適応 Microsoft Entra 条件付きアクセス
  13. Microsoft Entra 条件付きアクセス – ネットワーク要素を 全てのアプリ リソース オンプレミス インターネット Microsoft

    365 IaaS / PaaS / Datacenter 許可 MFA必須 ブロック 制限 継続的 な ア クセス評価 Security Se rvice Edge 統一された ポリシー設計 効果的な ポリシー適応 リアルタイム 評価 マシン ラーニング ID/ワークロード、 グループ、ロール リスク 信頼されたデバイス アプリ & データ 場所 信頼された ネットワーク
  14. Microsoft Entra Private Access Microsoft Entra Internet Access Microsoft Entra

    ID Protection ユーザーのオンボーディング 従業員をディレクトリにオン ボードする ゲストをディレクトリにオンボード する Face Check with Microsoft Entra Verified ID Microsoft Entra ID Governance リソースへのアクセス権の付与を自動 化する 追加のアクセスが必要な場合のセルフ サービスアクセス要求 ジャストインタイムのアクセス、アラート、 承認ワークフローにより、重要なリソース へのアクセスを保護 過剰なアクセス権付与のレビューをして リスクを軽減する ライフサイクルの自動化(入社/異動/ 退職) アクセスを管理する プライベートリソース Apps hosted in cloud infra On-premises apps インターネットリソース Microsoft 365 apps Internet and SaaS apps Microsoft Entra ID journey 安全なアクセス ゼロトラスト リスクベースのアクセスポリシー 脅威インテリジェンス と テレメトリ 継続的なリスク アセスメントと オートメーション Reduce on-premises footprint Improve the user experience 継続的な監査とレポート Unify conditional access Ensure least privilege access
  15. Microsoft Entra Suite ID ベースのセキュリティアーキテクチャをさらに拡張するための Suite ライセンス Microsoft Entra Identity

    Protection Microsoft Entra Verified ID Microsoft Entra ID Governance Microsoft Entra Private Access Microsoft Entra Internet Access Microsoft Entra Suite アクセス制御の一元化 ID ライフサイクル管理 ユーザーエクスペリエンスの向上 ID ベースゼロトラストアーキテクチャに リスクベース認証とネットワーク要素の追加 ID ライフサイクルに応じた ガバナンスの自動化・可視化 豊富な可視化機能と 社内外ユーザーの利便性向上
  16. Microsoft Entra Internet Access インターネットの脅威、悪意のあるネットワーク トラ フィック、ID 中心のセキュアWebゲートウェイ(SWG) を使用した安全でないコンテンツまたは非準拠のコ ンテンツから保護します

    条件付きアクセスをネットワーク に拡張する ネットワーク セキュリティを最新化して ユーザー、アプリ、リソースを保護する Microsoft 365 アクセスの セキュリティと可視性を強化 Market challenge: 高度な脅威保護、コンテンツ フィルタリング、ポリシー適用により Web トラフィックを制御して、従業員の安全で生産的なインター ネット利用を確保します
  17. Microsoft Entra Private Access 従来の VPN のリスクと運用の複雑さを取り除き ユーザーの生産性を向上させます あらゆるデバイスやネットワークのリモートユーザーをオ ンプレミス、クラウド間、およびその間のあらゆる場所

    にあるプライベートアプリに迅速かつ安全に接続しま す ID中心のZTNAによるプライベートアプリ アクセスのモダナイゼーション 適応型アクセス制御による侵害の防止 きめ細かなアプリセグメンテーション によるセキュリティの強化 Market challenge: 組織のネットワークアーキテクチャを簡素化し、複数のセキュリティ機能 とネットワーク機能を統合されたクラウドベースのサービスに統合すること で、セキュリティを強化し、運用の複雑さを軽減します。
  18. ID とのより深い統合 ID およびネットワーク保護ポリシーを 条件付きアクセスに統合 Microsoft の大規模ネットワーク 70 Azure リージョン

    170+ エッジサイト 22.5万マイル+ 光ファイバー 2万+ ピアリングコネクション Microsoft グローバル プライベート WAN により すべてのアプリとリソースに 高速かつシームレスにアクセス セキュリティと可視性の強化 インターネットアプリと プライベートアプリ Microsoft 365 アプリ Microsoft または サードパーティー SSE Microsoft Entra Internet Access エンドポイント リモート ネットワーク ID 他 SSE ソリューションと並行展開が可能な オープンプラットフォームを備えた Microsoft 365独自の価値 Microsoft の SSE の独自の差別化要素
  19. デバイス ルーター VPN 接続 トンネリング or ※ M365 アクセスのみ クライアント

    アプリ (北米、南米、アジア、ヨーロッパ、アフリカ etc) Microsoft プライベート WAN 職場 / リモート Private Access Internet Access HTTP/HTTPS RDP/SSH SMB, FTP プリンター … インターネット コネクタ Microsoft 365 通常のインターネットアクセス プライベートアプリとリソース SaaS アプリ インターネットアプリとリソース Microsoft Entra Internet Access / Private Access
  20. リスクの 評価 トークン窃取への対処 SP トークン窃取の検出 - Identity Protection ID に関する様々なリスクを自動検知

    ・異常なトークン ・トークン発行異常 Check! Office Cafe 条件付きアクセスポリシー 条件付きアクセスの再評価 - 継続的アクセス評価 (Entra ID P1) サービス利用をしているユーザーの状態に 変化があった場合に、ほぼリアルタイムで検知アク セス制御を行う アプリセッションの保護 企業外 NW でアクセストークンや Cookie の 利用をブロックすることが可能 - 条件付きアクセス (Entra ID P1) 場所によるアクセスブロック - 継続的アクセス評価 (Entra ID P1) 場所ポリシーを厳密に適応する 条件付きアクセス 条件付きアクセスポ リ シ ー 継続的アクセス評価 Microsoft Entra ID P1 / P2
  21. 27 Microsoft Entra ID Identity Protection 高度な機械学習の力で、リアルタイムで ID の 乗っ取りを防止および軽減します

    リスクベース認証 高度な検出 きめ細やかな アクセスポリシー Market challenge: 高度な機械学習を使用して、サインイン リスクと異常なユーザー行動 を特定し、アクセスをブロック、チャレンジ、制限、または許可します Microsoft Entra ID P2
  22. Microsoft Entra ID Governance 適切なユーザーが適切なリソースに適切なタイミングで 適切にアクセスできるようにする 生産性の向上 セキュリティの強化 定型業務の自動化 Market

    challenge: IT環境全体でユーザーID、アクセス権、および資格を管理して、 適切なアクセス制御を確保し、リスクを軽減し、規制要件への コンプライアンスを維持します
  23. アクセスパッケージ ユーザー ID Microsoft 365 SaaS アプリ ID Governance 全体像

    IaaS / PaaS オンプレミス / データセンター HR コネクタ 管理者 連携 and more… イベントトリガー アクセス権の 自動付与 特権昇格 アクセス レビュー 特権クリープの可視化 修復と監視 組織内の アクセス権可視化 権限はく奪 ID リタイア 追加アクセス権の セルフサービス リクエスト ライフサイクルワークフロー 監査と分析 修復と管理 評価 評価 JIT による 権限コントロール エンタイトルメント 管理
  24. ID 作成とアクセス管理の自動化例 アプリ / リソース アプリ / リソース 入社/異動/退社などの イベントをトリガーに自動化

    ライフサイクル ワークフロー ユーザーリクエスト エンタイトルメント管理 アプリケーションリスト App1 User1:General User2:Admin User3:General ・・・ ・・・ 承 認 要件に応じて 属性追加や カスタムWF実装 アプリケーションパッケージ アクセスレビュー 特権 Entra ID Governance ライセンスが必要 実装や IGA での実現範囲 • 管理範囲については Administrative Unit で制限可能 • ID ライフサイクルワークフロー機能の活用とセルフサービスを極力ご利用いただくことで遅延やオペミスを減らす
  25. こんな時にも ID Governance 入社 異動 退職 セルフサービス 個別申請 営業部 自動はく奪

    / アクセスレビュー オンボーディング 属性の変更 総務部 セルフサービス 個別申請 自動はく奪 / アクセスレビュー 無効化 / 削除 属性の変更 Copilot for M365 利用時に 懸念になりやすい アクセス権管理などにも◎
  26. Microsoft Entra Verified ID 職場の資格、市民権、教育ステータス、認定資 格、または人、組織、モノの間のより安全な相互 作用のために設計されたグローバルエコシステム内 の一意の ID 属性を自信を持って発行および検証

    します 顔認証による本人確認 より安全なアクセス 簡単なアカウント復元 Market challenge: 人々は自分のアイデンティティデータを所有しておらず、個人は自分の データがどのように使用され、どのようにデータを取り戻すかについての 可視性を欠いています
  27. 36 代表的な利用シナリオ 社員、契約社員、顧客用 アカウントの提供 迅速なセルフサービスによるオンボー ディングを、信頼性が高く業界を リードする ID 検証プロバイダとの 連携により実現

    アプリやリソースへの アクセスコントロール 素早く資格情報を検証し、高度 なセキュリティ要件を持つ 機密リソースへのアクセスを許可 アカウント回復の セルフサービス 既存のアカウント回復手法よりも強 固でシンプルな方法を用い実装サ ポート問い合わせ件数削減を実現
  28. 社員、契約社員、顧客用アカウントの提供 登録サイトへアクセス 新社員向けウェブサイトに アクセスしオンボードを開始 ID 検証リクエスト 検証パートナーによる確認 アップロード ドキュメントや写真をアップロード 発行

    検証パートナーによる Verifiable Credential が発行される 提示 検証済みの証である Verifiable Credential を会社に提示 Start 企業からの VC 発行 会社アカウント/パスワードの発行 (+ パスワードレス登録) など 迅速なセルフサービスによるオンボーディングを、信頼性が高く業界をリードする ID 検証プロバイダとの連携により実現
  29. ID ユーザー ID ワークロード ID インターネットアプリ プライベートアプリ インターネット Microsoft 365

    SaaS アプリ Microsoft Entra ID で実現する ID アクセス管理 外部コラボレーション 証明可能なクレデンシャル IaaS / PaaS オンプレミス / データセンター HR コネクタ 許可 MFA必須 ブロック 制限 脅威インテリジェンス 組織のポリシー 動的な アクセス制御 リアルタイムなポリシー評価 管理者 可視化・自動化 連携 アクセス権 レビュー 発行 デバイス and more…
  30. 従業員オンボーディングの効率化 Microsoft Entra ID Governance インバウンド プロビジョニング HR システムからの ID

    プロビジョニング ライフサイクル ワークフロー(joiner) 参加するユーザーのラ イフサイクル自動化 エンタイトルメント管理 ユーザーが利用する各種リソー スへのアクセス権最適化および 定期的なレビュー Microsoft Entra Verified ID Verified ID Face Check リアルタイムでよりセキュア な資格情報確認
  31. Microsoft Entra Suite ライセンス価格と前提条件 Microsoft Entra Identity Protection Microsoft Entra

    Verified ID Microsoft Entra ID Governance Microsoft Entra Private Access Microsoft Entra Internet Access Microsoft Entra Suite $5 user/月 $5 user/月 $7 user/月 $12 user/月 Microsoft Entra ID P1 ※前提条件 Secure Access Essentials 後日発表
  32. Securit y Id entity & Managemen t Compli ance &

    Privacy Microsoft Defender Microsoft Sentinel Microsoft Purview Microsoft Entra マルチクラウド マルチデバイス Microsoft Priva Microsoft Copilot for Security でパラダイムシフトを Microsoft Intune
  33. Demo Microsoft Entra Identity Governance + Copilot for Security マーケティング部門に新入社員が入社する日に

    下記の LCW (ライフサイクルワークフロー)のテンプレートを作成する • ユーザーの有効化 • ユーザーへ Welcome メールの送信 • ユーザーの上長に TAP (一時アクセスパス) をメールで送付 今後提供予定
  34. Entra 管理センター Copilot に Identity Governance 機能のテンプレート作成依頼 マーケティング部門に新入社員が入った際に • Welcome

    メールの送信 • 一時パスワードの発行 をするライフサイクルワークフローの作成を依頼
  35. Copilot からテンプレート案の返答で • 新入社員入社日をトリガー • ユーザーアカウントを有効 • Welcome メールを送信 •

    適切なユーザーグループへ追加 • 上長へワンタイムパスコードのメールを送信 を行う提案がされました Create Draft でドラフトの作成を指示します Copilot for Security が作成した内容を文面で確認し、ドラフトの作成を依頼