JAZUG 女子部に行ってきた (AzureAD についてより深く知る)
3 月 28 日に JAZUG 女子部に行ってきました。
Microsoft の安納さん直々に AzureAD についてお話しを聞いてきました。
Office 365 関連の Webiner でしかお話しをお聞きできなかったので、 Azure 側からみた AzureAD ってどんなものだろうか?と結構楽しみにしてました。
Office 365 の運用を行っている方から見ても良い情報だと思ったこと
①AzureAD Premium Plan2 から利用できる PIM が Azure のリソース管理もできる
セキュリティの観点からも、特権を守る・きちんと棚卸をする、というのはどこの企業でも課題に出ていると思います。
Office 365 や EMS のご提案などを聞いている方はよく
「Exchange 管理者作業を決められた時間のみ割り振る」
「申請制で特権ロールを割り当てられる」
等々で聞いている機能だと思いますが、 恥ずかしながら Azure リソースの管理も同様に出来るのは知りませんでした。
Microsoft 系のシステムでまとめられている企業様では特に運用負荷の軽減に役立ちそうです。
②AzureAD と AD の認証方法はやっぱり闇
安納さんにもお尋ねしたのですが、認証方法は「パスワードハッシュ同期での SSO」がオススメとの事。色んな方にお話し聞いたりブログ読むのですがやっぱり意見分かれますねぇ。。
パスワードハッシュ同期って実際は厳密に SSO にはなっていない為、実は AzureAD と AD のパスワードポリシーが有るため 2 重管理になってしまう点が個人的には実運用的にどうかな?と思っています。
※パスワードハッシュ+ADFS or パススルー認証、の組み合わせで解決は出来ますがそうすると結局費用が、ね。
日本企業では「会社が認めた端末でしかアクセスさせない」等々のポリシーを設ける所が多いので
・ADFS + 証明書での端末制御
⇒ADFS は豪勢な構成で構築にかかるショットの費用が高い
・パスワードハッシュ同期+ Azure AD Premium の条件付きアクセスで端末制御
⇒Azure AD Premium のランニング費用がずっとかかる
の比較はどこの企業もされるのかな、と思います。
個人的に ADFS を利用しての同期は「Windows Hello for Business で生体認証を利用したSSO」、「SmartCard 認証をしたい」といった要件が無い限りは
EMS を利用して、Office 365 をもっとセキュアにするシナリオを活用する選択の方が賢明かな、と思います。
さいごに
AzureAD はやっぱり奥が深い。
安納さんの Webiner 2017 年 5 月版でお聞きしていたものの、この 1 年近くで相当 Update したなぁ、と思いました。
これからも逐次ウオッチしていきます。