Upgrade to Pro — share decks privately, control downloads, hide ads and more …

今更学ぶ Active Directory(1)

今更学ぶ Active Directory(1)

2024年1月27日開催「.NETラボ 勉強会 2024年1月」での登壇スライドです。
Active Directory とは何か、Active Directory の歴史の振り返り、Windows Server 2025 で提供される Active Directory の新機能・機能強化について解説しています。

Murachi Akira

January 27, 2024
Tweet

More Decks by Murachi Akira

Other Decks in Technology

Transcript

  1. About me • Murachi Akira aka hebikuzure ( 村地 彰

    ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2
  2. 3 内容 • Active Directory とは何ですか • Entra IDとActive Directory

    • これからのActive Directory (次回) • AD DS と Entra Domain Services • AD 構築・構成のポイント (次々回) • クラウド上の AD 構築
  3. Active Directory とは何ですか • Active Directory とは、 Microsoft が提供しているローカル エ

    リア ネットワーク(LAN)内のデバイス(Device)とユーザー (Identity)を管理する機能群の総称(ブランド)です • Windows Server オペレーティングシステムの機能として提供 されています • 中心となる機能は Active Directory Domain Service(AD DS) で、ディレクトリ サービスを提供しています
  4. ディレクトリ サービス • コンピューターネットワーク内のリソースを識別し、リソース の属性を管理し、検索できるようにした電子システム • ITU X.500 モデル •

    ディレクトリ サービスの国際標準 • LDAP • Lightweight Directory Access Protocol、RFC1777 • ディレクトリ アクセスの標準的なプロトコル • X.500 で標準化されたアクセスプロトコルは重厚長大だった(のであ まり実用的でなかった)ことに対して、この名前となった 6
  5. Active Directory Domain Services • 元々 Active Directory =ディレクトリ サービスでした

    • Windows Server の機能強化で “Active Directory” がブランド ネーム化されたため、従来のドメイン システム(ディレクトリ サービス)が “Active Directory Domain Service“ となりました。 • Windows の世界で通常「ドメイン」と言うのはコレのこと 7
  6. 他の Active Directory ブランド • Active Directory Federation Services(AD FS)

    • 他の Idp との連携機能 • 一種の認証プロキシとして機能 • Active Directory Rights Management Services (AD RMS) • AD で管理される Identity に基づく DRM 機能 • Active Directory Certificate Services(AD CS) • AD で管理される Device と Identity に対する認証局として機能 • 組織独自の証明書管理 8
  7. 「ドメイン」という言葉 • Windows ネットワークの認証基盤 • LAN Manager • NT ドメイン

    • Active Directory ドメイン • 認証基盤(上の意味での「ドメイン」)による認証でアクセス 可能なネットワーク リソースの範囲 • イントラネット • ドメイン ネットワーク 9
  8. 10 • ---- OS/2 • 1993 Windows NT 3.1 Advanced

    Server • 1994 Windows NT 3.5 Advanced Server • 1995 Windows NT 3.5.1 Advanced Server • 1996 Windows NT 4.0 Server • 2000 Windows 2000 Server • 2003 Windows Server 2003 • 2005 Windows Server 2003 R2 • 2008 Windows Server 2008 • 2009 Windows Server 2008 R2 • 2012 Windows Server 2012 • 2013 Windows Server 2012 R2 • 2016 Windows Server 2016 • 2018 Windows Server 2019 • 2021 Windows Server 2022 Active Directory LAN Manager NT Domain
  9. Active Directory • NTドメインを置き換える新しいドメイン システム • Windows 2000 で登場 •

    LDAP、DNS、Kerberos などの標準技術を組み合わせ • マルチマスタ システム • NTドメインではPDC/BDCの区分がある • ドメインコントローラーはサーバーの「役割」 • NTドメインではWindows自体をDCとしてインストール • 親子関係、フォレストなどのグループ化が可能 11
  10. 認証プロトコルの進化 • LAN Manager ⇒LM 認証 • NT ドメイン ⇒NTLM

    認証(NT3.1) ⇒NTLMv2認証(NT4.0SP4、2000) • Active Directory ドメイン(2000以降) ⇒Kerberos認証 12
  11. よくある誤解 • AD DS は Microsoft の特殊な実装ではありません • LDAP、DNS、Kerberos などの標準技術を組み合わせています

    • 仕様は Open specifications として公開されています • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- adts/d2435927-0999-4c62-8c6d-13ba31a52e1a • SAMBA によるオープンソース実装も利用できます • cf. https://wiki.archlinux.jp/index.php/Samba/Active_Directory_ドメ インコントローラ 13
  12. Entra ID(旧称 Azure Active Directory) • クラウドベースの ID およびアクセス管理サービス •

    Azure Active Directory から(今年)改称 • 組織アカウント、ビジネスアカウントなどとも呼ばれる • Microsoft 365、Office 365、Azure、Dynamics CRM Online、 Power Platform のテナント=Entra ID テナント • テナント = 単一に管理されるユーザーとアプリケーションの範囲 15
  13. AD DS vs Entra ID AD DS オンプレミス Kerberos デバイスの登録

    Windows へのサインイン グループ ポリシー アクセス制御(オンプレミス) Entra ID クラウド 標準準拠の各種プロトコル SAML、WS-Federation、OpenID Connect、OAuth デバイスの登録 Windows へのサインイン ポリシー・MDM(Intune を経由して) アクセス制御(クラウド) 条件付きアクセス 16
  14. Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra

    ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証(Entra ID 認証) • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 17
  15. Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra

    ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウド認証(Entra ID 認証) • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 18 NEW!
  16. Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Entra

    ID 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS • AD CS⇒Microsoft Cloud PKI 19 Active Directory ピンチ!
  17. Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 •

    ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 (当面は…) 20
  18. Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 •

    ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 21 オンプレミスの AD DS が必要
  19. Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 •

    ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 22 オンプレミスの AD 必要 Active Directory は死なず!
  20. AD DS と Entra ID の連携 • Entra ID Connect

    / Entra ID Connect cloud sync • オンプレミス(AD DS)のディレクトリ オブジェクト (ユーザー・グループ)を Entra ID に複製・同期 • AD DS からの一方向同期(パスワード ハッシュのみ双方向可能) • Hybrid Entra ID Join(ハイブリッド Entra ID 参加) • AD DS が丸ごと Entra ID Join するイメージ • デバイスは AD DS に参加すると同時に Entra ID にも参加 • デバイスにサインインすることで Entra ID にもサインイン • オンプレミスでは AD DS 認証、クラウドは Entra ID 認証 23
  21. Active Directory のこれから • クラウド ファーストになっても Active Directory は無くなりません •

    オンプレミスの認証基盤は不要にならない • クラウド ベースに置き換え可能な機能は クラウド シフトが望ましい • AD FS、AD RMS、グループ ポリシー管理など • 将来的には AD CS も… 25
  22. Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中

    • プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ~ッ! 26
  23. Windows Server vNEXT • Windows Server 2022 の次のバージョン • 現在開発中

    • プレビュービルド提供中 • https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver • Active Directory に新機能キタ~ッ! 27 さっき、Windows Server 2025 になりました Introducing Windows Server 2025! - Microsoft Community Hub https://techcommunity.microsoft.com/t5/windows-server-news-and-best/introducing-windows- server-2025/ba-p/4026374
  24. NUMA サポート • NUMA:Non-Uniform Memory Access • 以前は、AD はグループ 0

    の CPU のみを使用していました • Active Directory は 64 コアを超えて拡張できます 34 https://www.intel.com/content/www/us/en/developer/articles/technical/use-intel-quickassist-technology-efficiently-with-numa-awareness.html
  25. セキュリティの強化 • 機密属性のセキュリティの強化 • チャネル バインド監査サポート • LDAP の暗号化の優先を既定に設定 •

    LDAP の TLS 1.3 サポート • レガシ SAM RPC パスワード変更のブロック • Kerberos の AES SHA256/384 サポート • Kerberos の PKINIT サポート 37