Microsoft IT CAMP 勉強会キット

Microsoft IT CAMP
Windows Server 2012 R2 Preview
勉強会キット
~ People-Centric IT 編
はじめに
3
BYOD をより効率的/効果的に
Accessibility
• Workplace Join
• Work Folders
• Web Application Proxy
個人のデバイスを安全に受け
入れ、個人デバイスから社内
リソースへのアクセシビリ
ティを高める
Security
Active Directory
•
•
•
•
•
Federation Service
Device Registration Service
Multi Factor AuthN.
Dynamic Access Control
Rights Management Service
ユーザー、デバイス、ロケー
ションなどの多要素認証によ
り、個人デバイスの社内アク
セスを制限
Manageability
• Windows Intune
• System Center
Configuration Manager
個人デバイスに対し企業内管理
ポリシーを適用
People-Centric IT(PCIT)
ユーザー
デバイス
アプリケーション
管理基盤、セキュリティポリシー、アクセスコントロール
社内データ
People-Centric IT シナリオの全体像
Device Management
Admin
Mobile Device
Management
Desktop
Virtualization
(VDI)
ユーザーはどこからでも、どのデバ
イスからでもアクセス可能
社内リソース
ユーザーとデバイスは
Active Directory によっ
て統合認証される
• DirectAccess
• VPN
3タイプのクライアントとアクセス方法
https
RDP
透過的
https
NEW!!
https/http
2012 R2
IPv6 over IPSec
IPv6 over IPv4 (w/ IPSec)
IPv6 packets on HTTPS
透過的
社内
リソース
個人デバイスから社内リソースの利用
⑤ シングル サインオン
①社内ネットワークに対する認証
• デバイス認証
• ユーザー認証
• その他の認証
② リソースに対する認証
• デバイス認証
• ユーザー認証
• その他の認証
WEB
Gateway
File Server
④ 個人デバイスのセキュリティ
• 社内データの漏えい防止
• 暗号化、リモートワイプ
• パスワードロック
③ ファイルのアクセス権
• 社外秘データの持ち
出し防止
Web Application Proxy
• AD FS Proxy 機能を兼ね備えたリバースプロキシー
 社内 Web Application(外部 https → 内部 http/https)
 社内 フィルサーバー(Work Folder)
• Pre-Authentication(事前認証) 機能
 AD FS 連携
 パススルー(認証なし)
• アプリケーション(URI)単位に認証ポリシーを設定可能
社内リソース
https
https/http
2012 R2
アーキテクチャ - “事前認証=パススルー”の場合
• 単なるリバースプロキシーとして動作
• 事前認証は行われない
Web Application Proxy
Active Directory
Federation Service
Active Directory
Domain Service
事前認証
① HTTPS
パススルー
② HTTP/HTTPS
/
③
認
証
認
可
統合認証が有
効ならば、
ポップアップ
が表示される
アーキテクチャ - “事前認証=AD FS” の場合
• AD FS の認証ポリシーにのっとって事前認証が行われる
• Web Application の認証は、事前認証の後で行われる
Web Application Proxy
事前認証
AD FS
認証
ポリシー
⑤ HTTP/HTTPS
⑥
① HTTPS
Active Directory
Federation Service
/
認
証
認
可
Active Directory
Domain Service
③ いろいろ
なやりとり
事前認証=AD FS の場合
• デバイスクレームとユーザークレームを使用したきめの細かいアクセス制御
• クレーム規則言語を使用
• AD FS に対応していないアプリケーションの事前認証も可能!!
AD FS
Web
Application
Proxy
アクセス
AD DS
クレーム処理エンジン
デバイス認証
https
Start
事前認証
事前認証
プロセス
デバイスクレーム
ユーザー認証
ユーザークレーム
追加認証
アクセス可否を判定
Start
AD FS による事前認証ポリシー
Web Application に到達する前に、Web Application Proxy で認証が可能
無効
無効
有効
デバイス認証
Active Directory にデバイスが登
録されているかどうかを確認す
る
有効
プライマリ認証
(ユーザー認証)
マルチファクター認証
Form 認証
Windows 統合
証明書
• ユーザー/グループ
• 登録/非登録デバイス
• 外部/内部ネットワーク
<認証方式>
• 証明書(Smart Card)
• PhoneFactor
• その他
•
•
•
NG
NO
YES
事前
認証完了
OK
<条件>
NG
OK
Workplace join のアーキテクチャ
① デバイスのローカルユーザー
または Microsoft Account で
サインイン
Start
②「職場のネットワークに参加」
Domain UserID/Password
Start
AD DS
③ 認証
Web
Application
Proxy
⑥ 証明書インストール
⑤デバイス
登録
AD FS
クレーム処理
エンジン
初回認証時に、今後SSOで
使用されるIDとパスワードが
デバイスの属性としてAD に
登録される
デバイス登録
サービス(DRS)
④デバイスクレーム
事前認証
プロセス
アクセス
(復習):AD DS と AD FS の関係
AD DS :ユーザーとデバイスを「認証」する
AD FS :認証されたユーザーとデバイスの“クレーム”を含んだ「トークン」を発行
認証したユーザーを
認可
認証したかどうか
認証したユーザーの
属性情報
認証したかどうか
AD FS
認証したユーザーの
属性情報によって認可
詳しくは 明日のセッションへ!
Windows Server 2012 R2 AD FS 新機能
• 認証ポリシー
• クレーム対応アプリ/非対応アプリ の事前認証として利用
• Web Application Proxy との連携
• 認証方式を選択可能
• エクストラネット認証の方式
• イントラネット認証の方式
• デバイス認証の要否
• マルチファクター認証の要否
• クレームの拡張
• insiderCorporateNetwork :true/false
• X-ms-proxy:プロキシサーバーのコンピューター名
• デバイス クレーム
• AppIdentifier:接続先の web アプリケーション
• x-ms-forwarded-client-ip:クライアントのIPアドレス
• ロケーション クレーム
• X-ms-lient-ip:プロキシーのIPアドレス
• OAuth 2.0 対応
• WS-Federation、SAML 2.0 は既存
AD FS 管理コンソールー認証ポリシー
プライマリ認証
他要素認証
IF
THEN
デバイス認証
• Active Directory にデバイスが登録されているかどうかを確認
• デバイスが正しく登録されていれば“デバイスクレーム”を発行
•
•
•
•
•
•
•
Registrationid
Displayname
Identifier
Ostype
Osversion
isManaged
isRegisteredUser
: デバイスの登録 ID
:コンピューター名
:デバイスのGUID
:OSのタイプ
:OSのバージョン
:MDM 管理対象デバイスかどうか
:デバイスに関連づけられたユーザーかどうか
• 「登録されているデバイス」とは?
• ドメインに参加している Windows PC
• Workplace Join した Windows 8.1 デバイス
• Workplace Join した iOS デバイス
Workplace Join とは
• ドメインに参加していない個人デバイスを AD DS に登録すること
※ デバイスのローカルユーザー単位の設定
• デバイス認証後にデバイスクレームが発行される
ーーーー
独立した
デバイス
Start
BYOD devices
ーーーー
Workplace
Joined
Domain
Joined
Start
安全性
企業
No control
Partial control
Full control
利用者
No access
Partial access
Full access
デバイス レジストレーション サービス(DRS)
(Workplace Join)
• 個人デバイスを Active Directory ドメインに登録する機能(ドメイン参加ではない)
• デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイスクレー
ムを使用して制御できるようになる
• 以下のコマンドで有効化する
• Enable-AdfsDeviceRegistration –PrepareActiveDirectory
AD DS
Start
②ユーザー
認証
④デバイス登録
個人デバイス
Start
①「職場のネットワークに参加」
Domain UserID/Password
HTTPS
AD FS
クレーム処理
エンジン
デバイス登録
サービス(DRS)
⑤ 証明書インストール
③デバイスクレーム
登録された個人デバイス
デバイス登録時に使用したユーザーIDと、
Web Proxy の初回ログオン時に入力した
ユーザーID。 SSO に使用されるユーザー
IDは RegisteredUsers 。
ここまでのまとめ
• Workplace Join を使用すると、個人デバイスを AD DS に登録できる
• デバイスを登録すると「デバイス認証」の対象となる
• Web Application Proxy は AD FS を使用して事前認証が可能
• デバイス認証
• ユーザー認証
• その他の認証
Workplace Join した個人デバイスだけに
社内 Web Application へのアクセス権を与えることができる
ファイルサーバーをどう公開するか
Work Folder
ファイルサーバーを HTTPS で公開
ローカルデバイスに「自分のデータのみ」を同期
MDM システムとの連携で企業データのみをリモートワイプ
•
•
•
AD FS
Web
Application
Proxy
事前認証
Work Folder
https://workfolder.contoso.com/
Start
同期
AD DS
File Server
重要データの流出対策
•
•
•
ファイル サーバー リソース マネージャ(FSRM)
• 自動分類、スクリーニング
Rights Management Service(RMS)
• 暗号化、アクセス権限設定
ダイナミック アクセス 制御(DAC)
機密
Data
重要
Data
スクリーニング
FSRM
RMS
参照
期限
暗号化
暗号化
重要
Data
重要
Data
読み
取り
コピペ
禁止
印刷
禁止
保存
禁止
個人
情報
File Server
分類
重要データ保管庫
ダイナミックアクセス制御(DAC)
• ユーザー、デバイス、リソースの属性をベースにアクセスポリシーを作成
• 重要データのアクセスポリシーをグループポリシーで統制する
• ファイルサーバー単位に適用
File
server
AD DS
ユーザークレーム
デバイスクレーム
リソース属性
User.Department = Finance
User.Clearance = High
Device.Department = Finance
Device.Managed = True
Resource.Department = Finance
Resource.Impact = High
アクセスポリシー
DAC のアーキテクチャ
• GPO によりファイルサーバー全体に「アクセルルール」を適用
ユーザークレーム
デバイスクレーム
社内デバイス
AD DS
<IF>
• ユーザー = 経理部
• デバイス = 社内
• リソース = 重要
<Then>
• フルコントロール
Access
Rule
①ルールを登録
②ルールを配信
リソース属性
Access
Rule
ファイルサーバー
BYOD さらなる課題
Accessibility
Security
企業内セキュリティポリシーの個人デバイスへの適用
• スクリーンロック
• パスワードポリシー
• デバイス暗号化
• 構成管理(VPN、Wifi)
• マルウェア対策
• 業務アプリケーション配布(サイドローディング)
• 企業データのワイプ
• デバイスの初期化
Manageability
Mobile Device Management
モバイルデバイスの管理
Windows 8.1/RT
Windows 8/RT,
Windows Phone 8
iOS
Android
Windows Azure
Active Directory
Federation
Web
Application
Proxy
企業内デバイスの管理
Windows Intune Connector
Windows PCs
(x86/64, Intel SoC),
Windows to Go
Windows Embedded
Mac OS X
AD DS & AD FS
統合管理
コンソール
Linux/unix
29
事前準備
構築する環境の全体像
Windows Server 2012
R2
 ドメインコントローラー
 証明書サービス
 フェデレーションサービス
 IIS
 内部DNS サービス
 内部DHCP サービス
Windows Server 2012
R2
 Work Folder
Windows Server 2012
R2
 Web Application
Proxy
 外部 DNS サービス
 外部 DHCP サービス
Windows 8 Preview
環境構築手順 概要
1. ハードウェアとソフトウェアの準備環境の構築
用意するもの
1. ハードウェア
• PC 1台
• Hyper-V をサポートしていること
• メモリ 8 GB (ゲストOSで 4GB 程度を使用)
• HDD (外付けHDD または SSD 推奨)
• 空き容量 100GB 程度
2. ソフトウェア
• Windows Server 2012 R2 Preview 版
•
•
http://technet.microsoft.com/ja-jp/evalcenter/dn205286.aspx
Windows 8 Enterprise Preview 版
2. Hyper-V ホストの準備
スイッチ名
種類
用途
External
外部
社内
プライベート
• 演習内で「企業内ネットワーク」として使用する
インターネット
プライベート
• 演習内で「外部ネットワーク」として使用する
3. ゲスト OS の準備
ゲストOSの
ホスト名
起動
メモリ
動的
メモリ
仮想スイッチ
IPアドレス
DNS
OS
ドメイ
ン参加
DEMO-DC
512MB
使用する
社内
192.168.0.1/2
4
192.168.0.
1
Windows Server 2012 R2 Preview
DC
DEMO-WF
512MB
使用する
社内
192.168.0.2/2
4
192.168.0.
1
Windows Server 2012 R2 Preview
○
DEMO-PROXY
512MB
使用する
社内
インターネット
192.168.0.3/2
4
172.0.0.1/24
192.168.0.
1
172.0.0.1
Windows Server 2012 R2 Preview
○
DEMO-Client
512MB
使用する
インターネット
DHCP
Windows 8.1 Preview
○
(注意)Preview版でのお願い
最終的なシステム構成
Active Directory Domain - contoso.com
DEMO-PROXY
Web App Proxy
外部 DHCP
外部 DNS
DEMO-DC
AD DS/CS/FS
IIS
内部DNS
内部DHCP
DEMO-WF
Work Folders
ベース環境の構築
ベース環境の構築手順
作業項目
対象サーバー
1
Active Directory ドメインのインストールと構成
DEMO-DC
2
ドメインに参加
DEMO-PROXY, DEMO-WF
3
証明書サービスのインストールと構成
DEMO-DC
4
AD FS のインストールと構成
DEMO-DC
5
サンプルWEBアプリケーションの構築
DEMO-DC
6
ドメインに参加
DEMO-PROXY, DEMO-WF
7
DEMO-PROXY に DNS/DHCP サービスをインストールして構成する
DEMO-PROXY
8
DEMO-DC に DHCP サービスをインストールして構成する
DEMO-DC
9
DEMO-CLIENT の準備
DEMO-CLIENT
10
オンラインレスポンダーの構成
DEMO-DC,DEMO-PROXY
1. Active Directory ドメインの構築
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
2. ドメインに参加
3. 証明書サービスのインストールと構成
(注意)
adfs1.contoso.com,
enterpriseregistration.contoso.com は全て小
文字で入力してください
enterpriseregistration
webserv
webserv.contoso.com は小文字で入力し
てください
4. AD FS のインストールと構成
Enable-AdfsDeviceRegistration -PrepareActiveDirector
③ ServiceAccuntName の入力を求められたら contoso\fsgmsa$ を指定
Enable-AdfsDeviceRegistration
webserv
5. IIS のインストールと構成
(参考)
世代2 の仮想マシンを作成した場合、既定ではDVDドライブが作成されていません。一旦仮想OSをシャッ
トダウン後、「ハードウェアの追加」で「SCSIコントローラー」を「追加」して「DVDドライブ」を作成
してください。
6. サンプルWEBアプリの準備
① 以下のページから Windows Identity Framework SDK 3.5 をダウンロードする
http://www.microsoft.com/ja-jp/download/details.aspx?id=4451
サンプルアプリの準備
① C:\Inetpub フォルダ配下に、ClaimApp フォルダを作成する
② C:\program files (x86)\Windows Identity Foundation SDK\v3.5\Samples\
Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp フォルダ配下のファイルを全て、
C:\Inetpub\ClaimApp 配下にコピーする
④ 「ExpectedClaims」を検索し、2回目にヒットした IF 文をコメントアウトする
//if ( ExpectedClaims.Contains( claim.ClaimType ) )
//{
WriteClaim( claim, table );
//}
IIS の設定
① サーバーマネージャーの「ツール」メニューから「インターネットインフォメーションサービス(IIS)マ
ネージャーを起動
② 「DEMO-DC」-「アプリケーション プール」を選択
③ アプリケーションプール一覧で「DefaultAppPool」の「詳細設定」を開く
④ 「ユーザープロファイルの読み込み」を「True」に設定
⑤ 「OK」
⑥ 「DefaultAppPool」の「基本設定」を開く
⑦ .NET CLRバージョンを v2.0.50727 に変更して「OK」
WEBサイトの設定
① 「サイト」-「Default Web Site」を右クリックして「バインドの編集」を選択
② 「追加」をクリック
③ 「種類」で「HTTPS」を選択、「ポート番号」を「443」、「SSL証明書」で「 webserv.contoso.com 」を選択
して「OK」
④ 「閉じる」
⑤ 「Default Web Site」を右クリックして「アプリケーションの追加」を選択
⑥ 「エイリアス」に「claimapp 」を指定
⑦ 「物理パス」に「 C:\inetpub\ClaimApp 」を設定
⑧ 「OK」
WEB アプリをクレーム対応に変更
①
②
③
④
⑤
⑥
C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\FedUtil.exe を起動
「アプリケーション構成の場所」に「C:\inetpub\ClaimApp\web.config 」を指定
「アプリケーション URI」に「 https://webserv.contoso.com/claimapp/ 」を指定
「次へ」
「既存の STS を使う」を選択
「STS WS-Federation メタデータのドキュメントの場所」に以下のパスを指定する
https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml
⑦
⑧
⑨
⑩
⑪
⑫
「次へ」
「証明書チェーンの検証を無効にする」を選択して「次へ」
「暗号化しない」を選択して「次へ」
「次へ」
「完了」
「アプリケーションが正常に構成されました」が表示されたら「OK」
AD FS の証明書利用者信頼(RP)に WEB アプリを登録する
①
②
③
④
⑤
サーバーマネージャーのツールメニューから「AD FS の管理」を起動
「AD FS」-「信頼関係」-「証明書利用者信頼」を右クリックして「証明書利用者信頼の追加」を選択
「証明書利用者信頼の追加ウィザード」が起動するので「開始」
「データソースの選択」画面で「オンラインまたはローカル ネットワークで公開...」を選択
フェデーレーションメタデータのアドレスに,ClaimApp のメタデータを指定する
https://webserv.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml
⑥ 「次へ」
⑦ 「表示名」に「 webserv.contoso.com 」を指定して「次へ」
⑧ 「現時点ではこの証明書利用者信頼に多要素認証を
構成しない」を選択して「次へ」
⑨ 「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択して「次へ」
⑩ 「次へ」
⑪ 「ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く」をチェックし
て「閉じる」
⑫ 「webserv.contoso.com の要求規則の編集」画面が表示されたら「発行変換規則」を選択し、「規則の
追加」をクリック
⑬ 要求規則テンプレートで「カスタム規則を使用して要求を送信」を選択して「次へ」
⑭ 「クレーム名」として「All Claims」を指定
⑮ 「カスタム規則」欄に以下を入力
c:[ ]
=> issue(claim = c);
⑯ 「完了」
7. DEMO-PROXY に DNS/DHCP/OCSP サービスをインストールして構成
する
8. DEMO-DC に DHCP サービスをインストールして構成する
9. DEMO-CLIENT の準備
10.オンラインレスポンダーの構成
機関情報アクセス拡張機能の構成
機関情報アクセス (AIA)」を選択
DEMO-PROXY に RootCA 証明書をインストールする
demo-proxy.contoso.com は小文字で入力してください
Web Application Proxy 1
Web Application Proxy の構築と構成
作業項目
対象サーバー
1
外部 DNS に社内アプリケーションを登録
DEMO-PROXY
2
Web Application Proxy をインストール
DEMO-PROXY
3
adfs1.contoso.com の秘密キー付証明書の発行
DEMO-DC
4
Web Application Proxy を構成する
DEMO-PROXY
5
WebServ 用 サーバー証明書をインストール
DEMO-PROXY
6
WebServ の ClaimApp を Web Application Proxy で公開
DEMO-PROXY
7
クライアントからの接続テスト
DEMO-CLIENT
1. 外部 DNS に社内アプリケーションを登録
2. Web Application Proxy をインストール
3. adfs1.contoso.com の秘密キー付証明書の発行とインストール
4. Web Application Proxy を構成する
5. WebServ 用 サーバー証明書をインストール
webserv
webserv
6. WebServ の ClaimApp を Web Application Proxy で公開
WebServ の ClaimApp を Web Application Proxy で公開
7. クライアントからの接続テスト
Workplace Join
1. クライアントにインストールした証明書にOCSP を設定する
2.
(HINT)
うまく登録できない場合には以下をチェックしてください。
• AD FS が起動しているか
• すべての仮想マシンの時刻が「太平洋標準時(UTC-8)」に設定されているかどうか
• 正しい場合には、仮想マシンをすべて再起動してみてください
• DEMO-PROXY に設定したオンラインレスポンダーが正しく動作しているか
• クライアントにインストールしたRooCA 証明書の OCSP 設定が正しいか
3. 登録されたデバイスを確認する
4. 動作確認
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.