Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
失敗しない条件付きアクセス Season 3
Search
Kunii, Suguru
May 06, 2022
Technology
4
4.6k
失敗しない条件付きアクセス Season 3
2022年5月現在のAzure AD 条件付きアクセスについて解説しています。
Kunii, Suguru
May 06, 2022
Tweet
Share
More Decks by Kunii, Suguru
See All by Kunii, Suguru
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
500
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
37
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
570
なんでもCopilot for Security
sophiakunii
3
4.3k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
130
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
430
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
0
220
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
6
4.6k
Microsoft Cloud Security Benchmarkから学ぶMicrosoft Defender for Cloud
sophiakunii
4
810
Other Decks in Technology
See All in Technology
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
650
The Rise of LLMOps
asei
7
1.6k
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
940
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
150
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
360
第1回 国土交通省 データコンペ参加者向け勉強会③- Snowflake x estie編 -
estie
0
130
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
340
Platform Engineering for Software Developers and Architects
syntasso
1
520
Featured
See All Featured
Documentation Writing (for coders)
carmenintech
65
4.4k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
BBQ
matthewcrist
85
9.3k
Faster Mobile Websites
deanohume
305
30k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
410
Unsuck your backbone
ammeep
668
57k
Agile that works and the tools we love
rasmusluckow
327
21k
Music & Morning Musume
bryan
46
6.2k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
It's Worth the Effort
3n
183
27k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Transcript
失敗しない条件付きアクセス Season 3 国井 傑 (くにい すぐる) 株式会社エストディアン MICROSOFT 365
VIRTUAL MARATHON 2022 MAY, 4 – 6, 2022
M365VIRTUALMARATHON.COM #M365VM MICROSOFT 365 VIRTUAL MARATHON 2022 SPONSORS
M365VIRTUALMARATHON.COM #M365VM 国井 傑 (くにい すぐる) 株式会社エストディアン
Microsoft MVP for Enterprise Mobility Microsoft Certified Trainer https://AzureAD.net 自己紹介 NEW!
m365virtualmarathon.com #M365VM 増刷決まりました
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
前回までの「失敗しない条件付きアクセス」
6 【基本】条件付きアクセスとは • Azure AD 経由でクラウド アプリ等にアクセスする際に、 そのアクセス制御をするサービス (Azure AD
Premium P1 以上必須) • Azure AD 管理センター (https://aad.portal.azure.com) [セキュリティ] - [条件付きアクセス] より設定 ▪ 条件付きアクセスの設定例 など Intune 登録デバイスのみ許可 MFA 成功した場合のみ許可 特定 OS からのアクセス時のみ許可
7 【基本】条件付きアクセス ポリシーの構成要素 (論理ビュー) ID アプリ データ デバイス Azure AD
条件付きアクセス クラウド アプリ
8 【基本】条件付きアクセス ポリシーの構成要素 (メニュービュー) 条件 サインイン リスク ユーザー/グループ クラウドアプリ デバイス
OS 種類 場所 クライアント アプリ 許可/拒否 デバイスの属性 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control)
9 ベストプラクティス ポリシーに沿った運用を目指す 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、 同期
アカウント ユーザータイプ ポリシー
10 ベストプラクティス ポリシー (アプリ種類別) ゲストのアプリアクセス ジャンル ポリシー ロックダウンポリシーグループ クラウド アプリ別
クライアント アプリ別 ゲスト用 ポリシー グループ アプリ
11 ベストプラクティス ポリシー (セキュリティ強度別) ジャンル ポリシー ベースライン ポリシーグループ デバイス別ポリシー 強力なセキュリティ
ポリシー
12 利用するデバイスによってアクセス制御を行いたい 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、 同期 アカウント
ユーザータイプ ポリシー
13 業務利用のデバイスの定義 COBO Company Owned Business Only BYOD Bring Your
Own Device COPE Company Owned Personally Enabled ・ Azure AD 参加 + Intune ・ ハイブリッド Azure AD 参加 (+ Intune) ・ Intune 以外の MDM 利用 ・ 登録なし ・ Azure AD 参加 + Intune ・ ハイブリッド Azure AD 参加 (+ Intune) ・ Intune 以外の MDM 利用 ・ 登録なし ・ Azure AD 登録 + Intune ・ Intune 以外の MDM 利用 ・ 登録なし
14 アクション 条件/制御を MDA (旧 MCAS) に丸投げして解決 セッション アプリによる制御 ユーザー/グループ
クラウドアプリ アプリの条件付き アクセス サインインの頻度 永続的セッション 条件 条件付きアクセス フィルター User-Agent ファイルの検査 アクティビティ 証明書 アラート ブロック 条件 (Condition) 制御 (Control) Microsoft Defender for Cloud Apps (MDA) ポリシー
15 ベストプラクティス ポリシー (いままで) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント、
同期 アカウント ユーザータイプ ポリシー
16 ベストプラクティス ポリシー (これから) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント
ユーザータイプ ポリシー COBO/COPE BYOD BYOD
17 To Be ゼロ トラストを意識したアクセス制御を目指す As Is ステップ 1 :
IP アドレス ベースの信頼 ステップ 2 : MDA による証明書ベースのデバイス信頼※ ステップ 3 : Intune 登録ベースのデバイス信頼 今の時代にあった「信頼できるアクセス」を 定義し、アクセス制御を実装したいですね ステップ 4 : ポリシー ベースのデバイス信頼 ※「条件付きアクセスを利用した証明書認証」より https://azuread.net/2020/04/03/ca-mcas/
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
今回はこれまでの話をベースに 役立つ (かもしれない) Tips & Tricks をお伝えします
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
1. Azure AD のデバイス登録種類に関わらず アクセス制御したい
20 Azure AD のデバイス登録種類に関わらずアクセス制御したい ハイブリッド Azure AD 参加以外でも Azure AD
に 登録されているデバイスを識別できるようになりました
21 【設定】条件付きアクセス ポリシーの構成要素 条件 サインイン リスク ユーザー/グループ クラウドアプリ デバイス OS
種類 場所 クライアント アプリ 許可/拒否 デバイスの属性 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control)
22 デバイス種類に合わせたアクセス制御パターン Intune 登録またはハイブリッド Azure AD 参加で判定 証明書で判定 いずれかの Azure
AD デバイス 登録が行われているかで判定 (Windows のみ) Azure AD 登録されているか で判定 COBO Company Owned Business Only BYOD Bring Your Own Device COPE Company Owned Personally Enabled
23 条件付きアクセスでの業務デバイスの識別方法 (いままで) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして
マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 Azure AD 参加 Intune 以外の MDM +Azure AD 登録 Azure AD 登録 登録なし MDA による証明書認証
24 条件付きアクセスでの業務デバイスの識別方法 (これから) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして
マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター Azure AD 参加 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Intune 以外の MDM +Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 登録なし MDA による証明書認証
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
2. デバイスの属性に基づいてアクセス制御したい
26 デバイスの属性に基づいてアクセス制御したい Azure AD に登録されているデバイスであれば デバイスの属性に基づいてデバイスを識別できるようになりました
27 利用可能な属性一覧 deviceId displayName deviceOwnership isCompliant manufacturer mdmAppId model operatingSystem
physicalIds profileType systemLabels trustType extensionAttribute1-15 https://docs.microsoft.com/ja-jp/azure/active-directory/conditional-access/concept-condition-filters-for-devices ▪利用可能な属性一覧 ▪利用例 コンピューター名が DT で始まる場合 displayName StartsWith DT デバイスが Microsoft Surface の場合 model Contains Surface OS バージョンが 10.0.19044 の場合 operatingSystemVersion Contains 10.0.19044 COPE として配布したデバイスの場合 extensionAttribute1 Equals COPE
28 【参考】extensionAttribute の設定 https://azuread.net/archives/11727 #モジュールのロード Install-Module -Name MSAL.PS -AcceptLicense #パラメーター
$ClientId = "クライアントID" $RedirectUri = "https://login.microsoftonline.com/common/oauth2/nativeclient" $TenantId = "テナントID" #トークンの取得 $authResult = Get-MsalToken -ClientId $ClientId -RedirectUri $RedirectUri -TenantId $TenantId -Interactive $Token = $authResult.Accesstoken #extensionAttribute属性の設定 $apiUrl=https://graph.microsoft.com/beta/devices/e8de6f3e-a509-4d1c-b4a8-ca283148e15a/extensionAttributes $body = ‘{ “extensionAttributes”: { “extensionAttribute1”: “COPE” } }’ Invoke-RestMethod -Headers @{Authorization = "Bearer $token"; "Content-type" ` ="application/json"} -Uri $apiUrl -Method patch -Body ` $body Microsoft Graph を利用して登録します。Azure AD への事前 設定などは https://azuread.net/archives/11727 にてどうぞ。
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
3. デバイスの属性ではなく、状態に基づいてアクセス制御したい
30 条件を Inutne で判断させることで判断基準を拡張できる ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否
許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE マルウェア対策クライアントの バージョンが 4.18.2203.5 以上であれば準拠
31 4月の品質更新までがインストールされているデバイスだけ許可したい 品質更新プログラムはインストールするとビルド番号が変わります。 そのため、Intune コンプライアンスポリシーを使って識別します。 https://support.microsoft.com/en-us/topic/april-12-2022-kb5012599-os-builds-19042- 1645-19043-1645-and-19044-1645-548cc67c-7f12-46fd-878e-589ba81ac2f5
32 4月の品質更新までがインストールされているデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠
許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE OS バージョンが 10.0.19044.1645 以上であれば準拠
33 マルウェア感染していないデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス コンプライアンス設定 カスタム コンプライアンス システム
セキュリティ デバイスのプロパティ デバイスの正常性 条件 (Condition) 制御 (Control) Intune コンプライアンス ポリシー 許可/拒否 拒否 許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ MDE 状態 リスクレベル 露出レベル Microsoft Defender for Endpoint (MDE)
34 特定の KB がインストールされているデバイスだけ許可したい 特定の Knowledge Base (KB) に対応する HotFix
をインストー ルしていることを条件にする場合、HotFix がインストールされている ことを PowerShell で確認し、その結果をもとに判定します https://azuread.net/archives/11757 #KB 番号 $patch = “KB4593175” #デバイスにインストールされている事を確認 $ep = (Get-HotFix).HotFixID | where {$_ -eq $patch} if ($ep -eq $patch){$hash = @{ Patch = $true}} else {$hash = @{ Patch = $false}} return $hash | ConvertTo-Json -Compress インストールされていれば True そうでなければ False を返す
35 特定の KB がインストールされているデバイスだけ許可したい ユーザー/グループ クラウドアプリ 条件 条件付きアクセス 許可/拒否 拒否
許可-多要素認証 許可-デバイス準拠 許可-ドメイン参加 許可-承認アプリ 条件 (Condition) 制御 (Control) コンプライアンス設定 カスタム コンプライアンス システム セキュリティ デバイスのプロパティ デバイスの正常性 Intune コンプライアンス ポリシー MDE KB4593175 が インストール されていれば準拠 PowerShell スクリプト
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
4. 不適切なデバイス登録をさせない
37 Intune 登録を制限したい Intune 登録を条件付きアクセスで制御する場合、 主に2つの方法があります
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
5. 登録されていないデバイスを制御したい
39 登録されていない BYOD デバイス デバイス登録なし いずれかの Azure AD デバイス 登録が行われているかで判定
(Windows のみ) ベストプラクティスでは MFA でアクセス可否を決定 COBO Company Owned Business Only BYOD Bring Your Own Device COPE Company Owned Personally Enabled
40 MFA 以外の方法でのアクセス制御 MDA セッション ポリシーの利用 Microsoft Purview Information Protection
によるコンテンツ保護 (条件付きアクセス関係ないけど…) Intune MAM ポリシー (MAM-WE) によるアクセス制御 + 条件付きアクセスによる、そのほかのアクセスの制限 BYOD Bring Your Own Device
41 ここまでのまとめ (登録デバイスの識別) COBO COPE BYOD Intune 登録デバイス 条件付きアクセス デバイスは準拠しているとして
マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります 条件付きアクセス デバイスは準拠しているとして マーク済みである必要があります ハイブリッド Azure AD 参加 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター 条件付きアクセス Hybrid Azure AD Join を 使用したデバイスが必要 or デバイスのフィルター Azure AD 参加 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Intune 以外の MDM +Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター Azure AD 登録 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 条件付きアクセス デバイスのフィルター 登録なし MDA による証明書認証 COBO/COPE では 利用したくない
42 ここまでのまとめ (属性,状態ベースの識別) 登録のチェック 属性のチェック 状態のチェック Intune 登録デバイス CA:準拠済みデバイス CA:デバイスのフィルター
CA:デバイスのフィルター IN:コンプライアンス ポリシー IN:コンプライアンスポリシー MDE:リスクレベル ハイブリッド Azure AD 参加 CA:デバイスのフィルター CA:Hybrid Azure AD Join CA:デバイスのフィルター Azure AD 参加 CA:デバイスのフィルター CA:デバイスのフィルター Intune 以外の MDM +Azure AD 登録 CA:デバイスのフィルター CA:デバイスのフィルター Azure AD 登録 CA:デバイスのフィルター CA:デバイスのフィルター 登録なし MDA:証明書の有無 MDA:User-Agent チェック MAM-WE: コンテンツアクセスの制限 MDA:アクティビティチェック CA:条件付きアクセス, IN:Intune の略称です
43 ベストプラクティス構成例(1) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー
COBO/COPE/BYOD iOS, Android はどうする?
44 ベストプラクティス構成例(2) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー
COBO/COPE BYOD BYOD ブラウザー アクセス アプリアクセス
45 ベストプラクティス構成例(3) 特権アカウント 通常ユーザーアカウント ゲスト Break Glass アカウント ユーザータイプ ポリシー
COBO/COPE BYOD ブラウザー アクセス
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
6. そのほか知っていると役立つこと
47 設定をエクスポート/インポートしたい 検証環境/本番環境で条件付きアクセス設定をスイッチング したいときにエクスポート/インポート設定が役立ちます https://github.com/Micke-K/IntuneManagement
48 設定をエクスポート/インポートしたい ベストプラクティス ポリシーの JSON ファイルはこちらから https://github.com/sophiakunii/CABestPractice
49 サインイン後の面倒な画面を出さないでほしい サインインの状態の選択を 自動的に行うように構成できます
50 まとめ デバイス信頼への道は登録から ポリシーベースのデバイス信頼 ベストプラクティスからはじめよう 登録されていない BYOD デバイス
MICROSOFT 365 VIRTUAL MARATHON 2022 MAY, 4. – 6. 2022
https://forms.office.com/r/qCXhcZZUgU スピーカーおよびイベント への感想やご意見 アンケートにご協力ください