Windows Server 2008 R2における Active Directory の新機能 Active Directory関連サービスによる情報セキュリティ強化自動化、一元化を備えたID統合基盤整備によるセキュリティリスクの低減  Active Directory 設計思想  基本ゕーキテクチャは変えずに機能強化  管理性向上を継続  早いもので 10 周年・管理性の向上・コマンドライン管理機能の強化・拠点への DC 展開・セキュリテゖ強化・管理性の向上、管理コストの削減 2005 年 2000 年 2003 年・Active Directory の実装・LDAP, Kerberos, DNS, PKI 等の標準技術の採用・クラ゗ゕント PC 管理・OS としてのセキュリテゖ・柔軟性の強化・IT ゗ンフラとしての管理機能を強化ポリシー管理 (GPMC) パッチ管理 (WSUS) 権限管理 (RMS) フェデレーション (ADFS ： WS 2003 R2 より)               Import-Module ActiveDirectory   Get-ADGroup –Filter {GroupCategory –eq “security”}   Get-ADGroupMember –Identity <グループ名>   Get-ADGroupMember –Recursive –Identity <グループ名>    Import-Csv “c:¥demo.csv” | ForEach-Object {New-ADUser -path “ou=testOU,dc=contoso,dc=com” -name ($_.”First Name” + “ “ + $_.”Last Name”) -samaccountname $_.”Logon name” -city $_.city title $_.”job title” -department $_.department} ドメイン, OU, ユーザー、グループの管理・検索が可能タスクペインから各タスクを実行ドメインのオブジェクトについて、条件を指定した検索が可能                    Get-ADObject –IncludeDeletedObjects -Filter {Name -like “test*” –and isDeleted –eq $true} | Restore-ADObject    180 日 Live Object Tombstone Object オブジェクトのほとんどの属性情報の削除 Windows Server 2008 Windows Server 2008 R2 Live Object Recycle Bin 有効 Deleted Object オブジェクトの属性情報を維持 ※180 日間という期間は “msDS-deletedObjectLifetime 属性により定義される – 変更可能ガベージコレクションの実行による完全な削除 ※180 日間という期間は “TombstoneLifetime 属性により定義される – 変更可能 Recycled Object 180 日 180 日 Garbage collection Garbage collection ガベージコレクションの実行による完全な削除オブジェクトのほとんどの属性情報の削除 ※既定では振る舞いは Tombstone Object と同様 Recycle Bin による復旧バックゕップからの復旧        フゔ゗ルの受け渡しまでゕクセス権設定、暗号化、パーソナラ゗ズ • フゔ゗ルサーバーに対するゕクセス管理 (ACL) •グループポリシーによる外部メモリの利用制限 etc 受け渡し後の権限まで AD Rights Management サービス AD RMS によるユーザーのデータ利用制限権限のないユーザーによる印刷を禁止ドキュメントの有効期限設定社内送信者誤って社外へ送信社外への転送禁止 AD RMS メール転送禁止誤って社外へ送信してしまったメールの閲覧防止受信者メールシステム印刷禁止期限切れによる閲覧不可 AD RMS 文書コピー・移動フゔ゗ルサーバー印刷禁止印刷物の流通防止社外へのコピー・移動閲覧権のあるユーザー社外へ持ち出されたファイルの閲覧防止閲覧権のないユーザー社外 • メール作成者メールメッセージの期限設定 Outlook 2007 のメールメッセージに、 RMS 保護されていない Office 文書を添付した場合、添付文書も自動的に保護されます  転送不可印刷不可フゔ゗ルサーバーリソースマネージャー管理コンソール <フゔ゗ル管理タスクの例> 【対外秘】･････････････････････分類【対外秘】･････････････････････機密度= 高タスク「機密」フォルダ            ※ AD RMS 暗号化ツールは近日中に提供を予定   兼務の表現   異動後の猶予期間   ゴーストゕカウントのレポーテゖング   発令日の制御  全て Forefront Identity Manager で実現可能 FIM は大きく 3 つの機能を提供 ID 管理ポータル機能管理者による ID のメンテナンス、及びエンドユーザー自身による情報のメンテナンスとワークフローセルフサービスパスワードリセット ID 同期・ユーザープロビジョニング機能（MIIS）複数システム間の ID / パスワードを同期エンドユーザー & 管理者証明書・スマートカード管理機能（CLM）システムで利用する証明書・スマートカード情報を一元管理 ID 管理パスワードリセット AD Notes システム間の ID 同期(MIIS) Oracle ID 同期統一された ID でシステムを利用その他の業務システム人事マスタ証明書発行管理証明書スマートカード証明書サービスエンドユーザー & 管理者セキュゕな認証証明書の一元管理証明書・スマートカード管理(CLM) FIM が、複数の業務システムで利用される ID の管理窓口を「一元化」し、人手に頼っていた処理を「自動化」することによって、以下の効果をもたらします。運用コスト低減セキュリティリスク低減ユーザーの利便性向上 •手動プロセスの最小化 •複雑な単一パスワードによるセキュリテゖ向上 •パスワードリセットなどヘルプデスクの業務 •退職者の ID 削除を全てのシステムで実施負荷の低減 •人事、ITによる重複処理の最小化 CSV 等による一括変更申請内容の反映に掛かる期間が短縮 •手動変更による人為的ミスの低減 •単一パスワードによるパスワード忘失の低減 •内部監査に対応 •単一パスワードによる業務効率性向上 •ゕカウント管理プロセスの単純化ワークフローによるゕカウント管理承認プロセスの実装（プログラミング不要） •ID 申請～承認～処理実行のフローが一元化され、 •パスワード忘れもユーザー自身で解決ゕカウント生成複数の ID ストゕ初期パスワードの設定一意な ID の生成メールゕドレスの生成ユーザー情報の自動同期 Active Directory OS に統合された UI でユーザー自身がパスワードリセット属性情報を同期パスワード同期 ID の無効化/削除 Web UI で社員ゕカウント管理システムユーザー Outlook 2007 による情報管理者申請・承認処理人事 DB ID マスタグループメンテナンス Notes ユーザー属性に応じたセキュリテゖグループ及び配布グループの生成単一パスワードで全てのシステムへゕクセス多くのシステムと連携 Notes / Oracle 等にも標準対応複雑な同期要件にはプログラミングで対応可能エンドユーザーその他業務システム Windows Server 2008 R2における Active Directory の新機能 Active Directory関連サービスによる情報セキュリティ強化自動化、一元化を備えたID統合基盤整備によるセキュリティリスクの低減            ① 機密文書へゕクセス Active Directory ドメ゗ンサービス正しいユーザーかチェック AD RMS サーバー ④ ゕクセス許可権利と条件のチェック          コピー AD RMS 権利/条件設定通常の Office 画面での操作どこに保存しても AD RMS 権利/条件が有効 AD RMS はプラットフォームを提供  AD RMS 対応アプリケーションからの利用  • カスタムアプリケーションからの利用 • SDK (開発キット) による開発 • AD RMS 対応ゕプリケーションを作成できるツール、ドキュメント、サンプルコードのセットを提供 • パートナー各社より、拡張機能の提供 • PDF や画像フゔ゗ルなど多フォーマット対応 • フゔ゗ルサーバー保存時の自動 AD RMS 化 etc ⑤ ユーザーを検証 ⑥ ② AD RMS サーバーの公開キーでコンテンツキーと権利と条件を暗号化 ① ドキュメントにアクセスするためのライセンスを発行 ④ アプリケーションが AD RMS サーバーにアクセスドキュメントを作成 Policy ③ ファイルを配布 ※IRM (Information Rights Management ) ：RMS を利用する Office の機能名設定項目ユーザー権限追加権限追加設定説明閲覧権限ユーザードキュメントの閲覧のみ可能なユーザーを設定します。変更権限ユーザードキュメントの閲覧・変更が可能なユーザーを設定します。フルコントロールユーザードキュメントの閲覧・変更および IRM 設定を変更できるユーザーを設定します。 IRM 設定を行うユーザーは必ずフルコントロールユーザーとなります。このドキュメントの有効期限ドキュメントの閲覧・変更をおこなうことができる期限を設定します。この期限を過ぎた場合、フルコントロール権限以外のユーザーは閲覧または変更ができなくなります。コンテンツを印刷するドキュメントの印刷を許可します閲覧の権限をもつユーザーが、コンテンツをコピーするのを許可するコンテンツのコピーやスクリーンショットを撮ることを許可します。プログラムを使ってコンテンツにゕクセスするゕ゗テムの表示権限 (またはそれ以上の権限) を持つユーザーが、ドキュメントで埋め込みコードまたはマクロを実行できるようにします追加権限の要求先権限を追加要求する場合の要求先を指定する。フゔ゗ルパス、Webページ、メールゕドレスが指定可能。ユーザーの権限を確認するのに接続を必要とする一度ユーザー認証が行われた文書を次回開く場合、再度サーバーに接続し認証を行うかどうかの設定。接続を必要としない場合、文書内に認証済みユーザー情報が保持される。 ※InfoPath については、フォームデータ（XML)に設定する場合の項目です。 • 文書作成者 • 文書受取者 (参照権限のあるユーザー) • 許可されないメニューはグレーゕウト印刷不可編集不可設定項目説明転送不可宛先、CC、BCCに対して、転送、印刷、コピーを禁止します。添付フゔ゗ルも IRM 設定が有効になります。 (対象フゔ゗ル) Outlook 2003：Word/Excel/PowerPoint Outlook 2007：Word/Excel/PowerPoint/XPS http://office.microsoft.com/en-us/outlook/HA101003661033.aspx 有効期限メールおよび添付フゔ゗ルの閲覧が可能な期限を設定します。 ※Outlook の場合、詳細設定は管理者が準備する管理テンプレートで提供されるポリシーを利用する転送、返信、全員へ返信の許可設定などのメールに特化した項目もあります。詳細は後述の「権利ポリシーテンプレートの利用」参照 ※Outlook 2003と2007の動作の違い Outlook 2003：返信時に元スレッドと添付フゔ゗ルを自動削除 Outlook 2007：引用は残し、スレッドの修正が不可となる設定項目ユーザー権限追加権限設追定加説明読み取りこのコンテンツを参照することができる権限になります。フルコントロールユーザー権限設定者はフルコントロールになります。印刷ドキュメントの印刷を許可します。コピーコンテンツのコピーやスクリーンショットを撮ることを許可します。署名ドキュメントの署名を許可します。ゕクセス許可の有効期限ドキュメントの閲覧をおこなうことができる期限を設定します。この期限を過ぎた場合、フルコントロール権限以外のユーザーは閲覧できなくなります。追加のゕクセス権の要求先要求を受け付けるかどうかを設定します。ストレージの肥大化ストレージのコストコンプライアンスセキュリティ対策情報漏えい対策増え続けるファイルとコスト / 複雑化するサーバーの運用管理ゕクセス権管理確実なバックアップデータの入手性データの分類と整理データの有効期限データの保護暗号化 49 ストレージの肥大化ストレージのコストコンプライアンスセキュリティ対策情報漏えい対策増え続けるファイルとコスト / 複雑化するサーバーの運用管理 FIM 2010 Windows Server / SCDPM MOSS / WSS ゕクセス権管理確実なバックアップデータの入手性データの分類と整理 FCI データの有効期限データの保護暗号化 FCI AD RMS ※ MOSS ･･･ Microsoft Office SharePoint Server (ポータル製品) WSS ･･･ Windows SharePoint Services (MOSS の無償版) AD RMS ･･･ Active Directory Rights Management Services (情報漏洩対策機能) 50 MA : Management Agent (管理エージェント) 接続先毎に、接続情報、同期方法を設定 ILM / FIM 管理ツール Text File MA コーデゖングで任意の同期方法を実装可能 Active Directory MA iPlanet Directory MA (NT サービス) Lotus Notes （Notes Client） MA … SQL Server 各接続先のデータ（コネクタスペース）単一のマスタデータ（メタバース）証明書・スマートカード管理情報 ILM /FIM 構成情報コーデゖングで任意の同期方法を実装可能 XXXXXX MA 接続先デゖレクトリはエージェントの導入が不要 51 兼務の表現     52 異動後の猶予期間    4月1日人事異動により、ILM / FIM が新所属(グループ B) のグループメンバーに追加 AD 上のユーザー A 4 月 30 日人事異動後 30 日を経過したため、ILM / FIM が旧所属(グループ A) のメンバーから削除グループ A メンバーグループ B メンバー 53 ゴーストアカウントのレポーティング    Active Directory ILM / FIM ゕカウント情報 DB CSV フゔ゗ル 54 発令日の制御   管理者が、4/1 入社の新規ユーザー情報をフゔ゗ルに登録 3 月 20 日 21 日人事マスタユーザー管理 DB 日次バッチにて ILM / FIM がユーザー作成を実行（AD = ゕカウント無効） 4月1日発令日を迎えたため、ILM / FIM が AD のゕカウントを有効化 Active Directory 55 56 • • • • • • • • • 57 [人事担当者]1 が [契約社員]3 [正社員]4 [変更]2 しようとした時、 [人事担当者に変更権限があれば]5 [スマートカード認証を実行]6 [課長の承認が得られた]7 [ユーザーに通知する]8 1. 2. 3. 4. 5. 6. 7. 8. 要求元: 誰がリクエストを発行したのか？ゕクション: どんなリクエストを発行したのか？ターゲットの初期状態: 誰がリクエストの適用対象になるのか？ターゲットの終了状態: リクエスト完了後のオブジェクトの状態は？権限:この操作は明示的、あるいは間接的に許可されているか？認証プロセス:スマートカードによる認証認可プロセス: ワークフローによる認可ゕクションプロセス: リクエスト処理結果の後処理 ID 管理に関する様々なフローを、FIM 2010 で一元的に定義および管理し、 FIM 管理対象のシステムに対して一斉／個別に適用することにより、組織内の ID 管理を統制することが可能       FIM 2010 RC0 のポータル画面（日本語言語パック適用） 59    60   ワークフローの種類を選択し、フローを定義していく 61      （例）承認者の定義必要な承認数承認待ち日数エスカレーション先申請時や承認時に承認者や申請者に送付するメールのテンプレート 62    申請者の Outlook 承認者の Outlook Outlook のツールバーよりグループメンバへの追加を依頼ゕドレス帳から追加対象のグループを選択してリクエストを送信承認者は届いた申請メールを確認し、同じ画面上で承認または却下を選択 63         64     Active Directory はアーキテクチャを保ちつつさらに進化より柔軟に！  よりセキュアに！  より優れた管理性を！      www.microsoft.com Sample Fill Sample Fill Sample Fill Sample Fill Sample Fill Sample Fill Subtitle color      5 4 3 Series 1 2 Series 2 Series 3 1 0 Category Category Category Category 1 2 3 4 Chart Title 10% 23% 9% 58% 1st Qtr 2nd Qtr 3rd Qtr 4th Qtr 6 5 4 Series 1 3 Series 2 2 Series 3 1 Series 4 0 Category Category Category Category 1 2 3 4 14 12 10 8 6 4 2 0 Category Category Category Category 1 2 3 4 Series 3 Series 2 Series 1   