Entra ID の基礎（Japan Microsoft 365 コミュニティ カンファレンス 2024）

Transcript

1. #JapanM365CC2024 Nov, 28. -30. 2024 Entra ID の基礎 村地 彰（Murachi

   Akira aka hebikuzure） 株式会社エクシード・ワン テクニカル フェロー / Microsoft Most Valuable Professional B01

2. #JapanM365CC2024 自己紹介 – Murachi Akira aka hebikuzure ▪ 株式会社エクシードワン テクニカルフェロー

   ▪ 株式会社シーピーエス 技術 教育スペシャリスト ▪ 専門学校東京テクニカルカレッジ 非常勤講師 ▪ Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 14 Years! ) • Award Category: Windows and Devices - Windows Cloud and Datacenter Management – Windows Server ▪ Expertise • Windows client / user management and security • Active Directory, Entra ID, Microsoft 365 • Power Platform (Power Apps, Power Automate) Japan Microsoft 365 コミュニティ カンファレンス 2024 2

3. #JapanM365CC2024 Entra ID の基礎 オンプレミス Active Directory Domain Services との違いをもとに

4. #JapanM365CC2024 アジェンダ ▪ Entra ID とは • Entra ID の役割とオンプレミス

   Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと ▪ まとめ

5. #JapanM365CC2024 Entra ID とは

6. #JapanM365CC2024 Microsoft Entra ▪ Microsoft が提供しているクラウド サービス（SaaS） ▪ ID とネットワーク

   アクセス製品のファミリー Japan Microsoft 365 コミュニティ カンファレンス 2024 6

7. #JapanM365CC2024 Microsoft Entra でできること ▪ ゼロ トラストの実装 ▪ アクセスを保護するための包括的で適応性の高いリアルタイムの アプローチ（「トラスト

   ファブリック」）の構築 • ID の検証 • アクセス条件の検証 • アクセス許可の確認 • 接続チャネルの暗号化 • セキュリティ侵害の監視 Japan Microsoft 365 コミュニティ カンファレンス 2024 7

8. #JapanM365CC2024 Microsoft Entra の製品 ▪ Microsoft Entra ID ▪ Microsoft

   Entra Domain Services ▪ Microsoft Entra プライベート アクセス ▪ Microsoft Entra インターネット アクセス ▪ Microsoft Entra ID Governance ▪ Microsoft Entra ID Protection ▪ Microsoft Entra Verified ID ▪ Microsoft Entra 外部 ID ▪ Microsoft Entra Permissions Management ▪ Microsoft Entra ワークロード ID Japan Microsoft 365 コミュニティ カンファレンス 2024 8

9. #JapanM365CC2024 Entra ファミリー製品のカバーする範囲 Japan Microsoft 365 コミュニティ カンファレンス 2024 9

10. #JapanM365CC2024 Entra ID ▪ クラウドベースの ID とアクセス管理のサービス ▪ Microsoft の法人向けクラウド

    サービスで利用される ▪ ユーザーとグループの管理 • クラウドサービスを利用するユーザー • ユーザーを束ねるグループ ▪ 認証とアクセス制御 • 認証基盤として機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 10

11. #JapanM365CC2024 Entra ID と Active Directory

12. #JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server

    の Active Directory Domain Services（ADDS） * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 12 *：Samba の Active Directory 実装がありますが、 今回はこれには触れません

13. #JapanM365CC2024 Active Directory と Entra ID の違い ▪ Windows Server

    の Active Directory Domain Services（ADDS） * • オンプレミスの LAN 内での認証基盤 ▪ Entra ID • インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365 コミュニティ カンファレンス 2024 13 *：Samba の Active Directory 実装がありますが、 今回はこれには触れません

14. #JapanM365CC2024 Active Directory Domain Services ▪ オンプレミスの LAN 内での認証基盤 Japan

    Microsoft 365 コミュニティ カンファレンス 2024 14 ▪ イントラネットの構成 • LAN / WAN で事業所内や事業所間を接続 • 業務用アプリケーション サーバー、社内ポータル Web サーバー、 グループウエア サーバー、データベース サーバーが接続 • クライアント PC やネットワーク プリンターなどのデバイスも接続 ▪ Active Directory（ADDS）の役割 • イントラネット内のデバイス管理 • ユーザーの管理・認証 • ドメイン アカウントを利用したユーザー認証 • グループ ポリシーでデバイスを制御

15. #JapanM365CC2024 Entra ID ▪ インターネット上のクラウド サービスでの 認証基盤 Japan Microsoft 365

    コミュニティ カンファレンス 2024 15 ▪ Microsoft のクラウド サービスでの利用 • Microsoft 365 • Dynamics 365 • Intune • Power Platform • Microsoft Azure • Copilot ▪ サードパーティーの SaaS でのユーザー認証

16. #JapanM365CC2024 実行環境の違い ▪ Active Directory Domain Services • 利用者自身が Windows

    Server の機能として 構築する • 実運用環境では少なくとも2インスタンスの Windows Server が必要 ▪ Entra ID • Microsoft がクラウド上で提供する SaaS • 利用者側で実行環境を用意する必要がない Japan Microsoft 365 コミュニティ カンファレンス 2024 16

17. #JapanM365CC2024 ネットワーク ▪ Active Directory Domain Services • イントラネット内のサーバーとして機能 •

    認証要求と応答はイントラネット内で完結 ▪ Entra ID • クラウド上のエンドポイントとして機能 • 認証要求と応答は通常インターネット経由 * • * ExpressRoute 経由のアクセスとすることは可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 17

18. #JapanM365CC2024 ネットワーク ▪ Active Directory Domain Services • イントラネット内のサーバーとして機能 •

    認証要求と応答はイントラネット内で完結 ▪ Entra ID • クラウド上のエンドポイントとして機能 • 認証要求と応答は通常インターネット経由 * • * ExpressRoute 経由のアクセスとすることは可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 18

19. #JapanM365CC2024 認証プロトコル ▪ Active Directory Domain Services • Kerberos（既定）、条件により NTLM（廃止予定）

    ▪ Entra ID • インターネットで広く使われる多くの認証プロトコルをサポート • Kerberos / NTLM は利用できない * • * Entra ID と ADDS のハイブリッド構成の場合、Windows Hello for Business を 通じてクラウド Kerberos が利用可能 * アプリケーション プロキシを構成して Kerberos の制約付き委任を利用可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 19

20. #JapanM365CC2024 Entra ID の認証プロトコル ▪ OAuth 2.0 ▪ OIDC ▪

    LDAP ▪ SAML ▪ SSH ▪ パスワード ベースの SSO ▪ RADIUS *1 ▪ リモートデスクトップ ゲートウェイ サービス *2 ▪ ヘッダーベース認証 *2 ▪ Windows 認証 *2 Japan Microsoft 365 コミュニティ カンファレンス 2024 20 *1：Entra ID Domain Services が必要 *2 ：アプリケーション プロキシが必要

21. #JapanM365CC2024 ライセンスとコスト ▪ Active Directory Domain Services • Windows Server

    のサーバーライセンス＋ CAL（Client Access License） ライセンス費用はエディション、インスタンス数、アクセスするクライアント数、ユーザー数、 ライセンス形態によって決定される • 実行環境（物理サーバー）の費用も必要 ▪ Entra ID • ユーザーライセンス • Entra ID の基本機能は無償で提供（Entra ID Free） • Microsoft 365にもライセンスが付属 • 有償版ライセンスあり（Entra ID P1 / P2） • アドオン機能のライセンスあり（Entra ID スイートなど） Japan Microsoft 365 コミュニティ カンファレンス 2024 21

22. #JapanM365CC2024 ライセンスとコスト ▪ Active Directory Domain Services • Windows Server

    のサーバーライセンス＋ CAL（Client Access License） ライセンス費用はエディション、インスタンス数、アクセスするクライアント数、ユーザー数、 ライセンス形態によって決定される • 実行環境（物理サーバー）の費用も必要 ▪ Entra ID • ユーザーライセンス • Entra ID の基本機能は無償で提供（Entra ID Free） • Microsoft 365にもライセンスが付属 • 有償版ライセンスあり（Entra ID P1 / P2） • アドオン機能のライセンスあり（Entra ID スイートなど） Japan Microsoft 365 コミュニティ カンファレンス 2024 22

23. #JapanM365CC2024 ユーザー管理 ▪ Active Directory Domain Services • 管理者がアカウントを作成し、ユーザーに割り当てる •

    オンプレミスのリソースにアクセス可能 • Windows PC にサインイン可能 • OU 単位・グループ単位でユーザー管理が可能 • オンプレミスのネットワーク接続が必要 ▪ Entra ID • 管理者がアカウントを作成し、ユーザーに割り当てる • Microsoft 365 などのクラウドサービスにアクセス可能 • Windows PC にサインイン可能 • グループ単位でユーザー管理が可能 • インターネット接続でどこからでもサインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 23

24. #JapanM365CC2024 ユーザー管理 ▪ Active Directory Domain Services • 管理者がアカウントを作成し、ユーザーに割り当てる •

    オンプレミスのリソースにアクセス可能 • Windows PC にサインイン可能 • OU 単位・グループ単位でユーザー管理が可能 • オンプレミスのネットワーク接続が必要 ▪ Entra ID • 管理者がアカウントを作成し、ユーザーに割り当てる • Microsoft 365 などのクラウドサービスにアクセス可能 • Windows PC にサインイン可能 • グループ単位でユーザー管理が可能 • インターネット接続でどこからでもサインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 24

25. #JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる（Windows /

    Mac） • ドメインにコンピューター オブジェクトが作成される ▪ Entra ID • コンピューター（Windows / Mac / Linux）・Android・iOS を Entra ID に登録できる • Windows は Entra ID に参加できる • Entra ID にデバイス オブジェクトが作成される Japan Microsoft 365 コミュニティ カンファレンス 2024 25

26. #JapanM365CC2024 デバイス管理 ▪ Active Directory Domain Services • コンピューターをドメインに参加させることができる（Windows /

    Mac） • ドメインにコンピューター オブジェクトが作成される ▪ Entra ID • コンピューター（Windows / Mac / Linux）・Android・iOS を Entra ID に登録できる * • Windows は Entra ID に参加できる * • Entra ID にデバイス オブジェクトが作成される Japan Microsoft 365 コミュニティ カンファレンス 2024 26 *：「Entra ID 登録」と「Entra ID 参加」は異なります

27. #JapanM365CC2024 デバイスへのサインイン ▪ Active Directory Domain Services • ドメインに参加した Windows

    に、ドメイン アカウントでサインインできる • サインイン認証には LAN への接続が必要 * *：接続が無い場合のキャッシュ ログオンは可能 ▪ Entra ID • Entra IDに参加した Windows に、Entra ID アカウントでサインインできる • インターネット経由でのサインイン認証が可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 27

28. #JapanM365CC2024 デバイスへのサインイン ▪ Active Directory Domain Services • ドメインに参加した Windows

    に、ドメイン アカウントでサインインできる • サインイン認証には LAN への接続が必要 * *：接続が無い場合のキャッシュ ログオンは可能 ▪ Entra ID • Entra IDに参加した Windows に、Entra ID アカウントでサインインできる • インターネット経由でのサインイン認証が可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 28

29. #JapanM365CC2024 ポリシーの適用 ▪ Active Directory Domain Services • 参加したコンピューターにグループポリシーを適用 •

    Active Directory の標準機能 • LAN 内での管理 ▪ Entra ID • Entra ID 自体にはポリシー適用の機能は無い • Microsoft 365、Intune、サードパーティー製MDMソリューションと連携する • MDM の構成プロバイダーによるポリシー適用が行える Windowsに含まれる多くのCSPで管理可能、ADMXファイルを処理するCSPも含まれる Intuneなどを通じてActive Directoryのグループポリシーを適用可能 • インターネット経由での管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 29

30. #JapanM365CC2024 ポリシーの適用 ▪ Active Directory Domain Services • 参加したコンピューターにグループポリシーを適用 •

    Active Directory の標準機能 • LAN 内での管理 ▪ Entra ID • Entra ID 自体にはポリシー適用の機能は無い • Microsoft 365、Intune、サードパーティー製MDMソリューションと連携する • MDM の構成プロバイダーによるポリシー適用が行える Windowsに含まれる多くのCSPで管理可能、ADMXファイルを処理するCSPも含まれる Intuneなどを通じてActive Directoryのグループポリシーを適用可能 • インターネット経由での管理 Japan Microsoft 365 コミュニティ カンファレンス 2024 30

31. #JapanM365CC2024 Entra ID の独自機能

32. #JapanM365CC2024 クラウド認証 ▪ Microsoft / サードパーティのクラウドサービスへのアクセス Japan Microsoft 365 コミュニティ

    カンファレンス 2024 32

33. #JapanM365CC2024 多要素認証 ▪ パスワードやスマートカードなどの1つの認証情報だけでなく、 複数の認証要素を求める ▪ 複数の認証要素を提供することで、より高いセキュリティを実現 ▪ Active Directoryには多要素認証機能がない

    Japan Microsoft 365 コミュニティ カンファレンス 2024 33

34. #JapanM365CC2024 多要素認証 ▪ パスワードやスマートカードなどの1つの認証情報だけでなく、複数の認証 要素を求める ▪ 複数の認証要素を提供することで、より高いセキュリティを実現 ▪ Active Directoryには多要素認証機能がない

    午後の B03 セッションで解説します Japan Microsoft 365 コミュニティ カンファレンス 2024 34

35. #JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可

    • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能 Japan Microsoft 365 コミュニティ カンファレンス 2024 35

36. #JapanM365CC2024 条件付きアクセス ▪ デバイスの状態に基づくサインイン制御 • 更新状態やポリシーの適用状態を確認 ▪ ネットワーク接続状況に基づく制御 • 会社内ネットワークからの接続を許可

    • 会社外ネットワークからの接続には多要素認証を要求 ▪ アクセスリソースに基づく制御 • 特定リソースへのアクセスを制限 ▪ Active Directory にはない機能 午後の B03 セッションで解説します Japan Microsoft 365 コミュニティ カンファレンス 2024 36

37. #JapanM365CC2024 外部ユーザーの招待 ▪ Entra ID の招待機能 • 組織外のユーザーをテナントに招待可能 • Microsoft

    365 の SharePoint Online や Teams、独自アプリケーションへ のアクセスを許可 ▪ 効率的なコラボレーション • 組織内外のユーザー間でのコラボレーションを効率化 ▪ アクセス権限の管理 • ゲストユーザーは招待元の Entra ID で管理 • アクセス権限を制御可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 37

38. #JapanM365CC2024 外部ユーザーとゲストユーザー ▪ ユーザー属性「ゲスト/メンバー」と認証ソース「外部/内部」は 独立した設定 ▪ 内部ユーザーの既定値： メンバー ▪ 外部ユーザーの既定値：

    ゲスト Japan Microsoft 365 コミュニティ カンファレンス 2024 38

39. #JapanM365CC2024 セルフサービス パスワード リセット ▪ パスワードリセットのセルフサービス機能 • ユーザーが管理者に依頼せずにパスワードをリセット可能 ▪ Entra

    ID のセキュリティ情報で本人確認 • メールアドレスや Authenticator アプリを登録 • パスワード忘却時でも本人確認を行いリセット可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 39

40. #JapanM365CC2024 Entra ID と Active Directory の同期

41. #JapanM365CC2024 Entra ID と ADDS の関係 ▪ 目的・対象領域が異なる（オンプレミスとクラウド） • ADDS

    は閉じたネットワークが前提の設計 • インターネット経由での認証が困難 ▪ ディレクトリ データのスキーマは共通 • ユーザーやデバイスのオブジェクトのデータ構造はほぼ同じ • どちらも LDAP スキーマが元になっている

42. #JapanM365CC2024 Entra ID と ADDS の関係 ▪ 目的・対象領域が異なる（オンプレミスとクラウド） • ADDS

    は閉じたネットワークが前提の設計 • インターネット経由での認証が困難 ▪ ディレクトリ データのスキーマは共通 • ユーザーやデバイスのオブジェクトのデータ構造はほぼ同じ • どちらも LDAP スキーマが元になっている ディレクトリ データの同期が可能

43. #JapanM365CC2024 ディレクトリ同期 ▪ ADDS のディレクトリ情報（ユーザー/グループ）を Entra ID に同期 ▪ パスワードも同期

    ▪ ２つの同期方法 • Microsoft Entra Connect オンプレミスで管理する同期ツール • Microsoft Entra クラウド同期 （Entra クラウド プロビジョニング エージェント） クラウドで管理する同期ツール Japan Microsoft 365 コミュニティ カンファレンス 2024 43

44. #JapanM365CC2024 Microsoft Entra Connect Japan Microsoft 365 コミュニティ カンファレンス 2024

    44

45. #JapanM365CC2024 Microsoft Entra クラウド同期 Japan Microsoft 365 コミュニティ カンファレンス 2024

    45

46. #JapanM365CC2024 パスワード同期 ▪ パスワード同期の仕組み • 同期されるのはパスワードのハッシュ • 平文のパスワードはクラウドに保存されない ▪ ユーザーの利便性向上

    • オンプレミスの Active Directory と Entra ID 両方に対応 • 同じアカウント名とパスワードで サインイン可能 Japan Microsoft 365 コミュニティ カンファレンス 2024 46

47. #JapanM365CC2024 パスワード ライトバック ▪ 既定のパスワード同期は ADDS ⇒ Entra ID の一方向

    ▪ Entra ID でのパスワード変更を ADDS に同期する「パスワード ライトバッ ク」も構成可能 ▪ ADDS（ドメイン）パスワードのセルフサービスリセットが可能となる Japan Microsoft 365 コミュニティ カンファレンス 2024 47

48. #JapanM365CC2024 パスワード ライトバックの仕組み Japan Microsoft 365 コミュニティ カンファレンス 2024 48

    https://jpazureid.github.io/blog/azure-active-directory-connect/password-writeback-overview/ から引用

49. #JapanM365CC2024 Entra ID で できないこと

50. #JapanM365CC2024 Entra ID でできないこと ▪ アクセス制御リスト（ACL）による制御 • ユーザーはアカウント ACL に登録されることでアクセスが許可される

    • ACL に登録できるのはオンプレミスのアカウントのみ ※ Entra ID ユーザーやグループはオンプレミスのリソースの ACL に登録できない • Entra ID アカウントで直接オンプレミスリソースのアクセス制御を 行うことはできない Japan Microsoft 365 コミュニティ カンファレンス 2024 50

51. #JapanM365CC2024 まとめ

52. #JapanM365CC2024 まとめ ▪ Entra ID とは • Entra ID の役割とオンプレミス

    Active Directory の役割 • Entra ID と Active Directory の違い ▪ Entra ID で利用可能な機能 ▪ Entra ID と Active Directory の同期 ▪ Entra ID でできないこと