#待望の AzureAD Staged rollout Public Previewです!!
参考: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Staged-rollout-to-cloud-authentication-now-in-public-preview/ba-p/82783
皆さんこんにちは、アイネットテクノロジーの上口です。
つい先日ですが、AzureAD Stagede rollout が PrivetePreview から PublicPreviewになりました。
では早速ご紹介しますね。
まず、この環境に不可欠なのでADFS環境があること、ADFSからAzureADに認証を変更する目的であること。
そのためにテストを行う必要があるかと思いますが、ドメイン単位で変更しなくてはいけないという
大きなリスクがありました。今回のStagedrolloutはドメイン単位ではなく、グループ単位で変更が可能
となるため、非常に便利で認証方式の移行ハードルを下げてくれます。
#0.AD FSの世界
#1.Good bye AD FS
####メリットはセキュリティの向上で、以下のことが挙げられるでしょうね。
・オンプレミスに認証の口を持たせなくてよい。(WAP、ADFS)
・SmartLockoutでブルートフォースやパスワードスプレー攻撃を自動的にブロック
・IPLockoutで危険だと判断されているIPからのアクセスをシャットダウン
####そして、何よりADFSがなくなれば、下記の点で良いでしょう。
・社内サーバーの可用性を気にする必要が無くなる。
・条件付きアクセスが使用可能のなる。
・危険なユーザーのサインインやリスク検知、自動対応が可能になる。
・サインインログなども一元管理されコンプライアンス的にも非常により。
#2.Staged rolloutを試します。
まず、AD・AADC・AD FS・WAP 環境を構築しました。
では早速。
今は、リダイレクトされます。
■ユーザーおよびグループの構成(AADCにて同期)
下記の通り、hoghogehoge.clubというドメインとユーザーを何名か作成。
今回、解りやすいようにADFSグループという名前のグループを作成し、ユーザーを投入します。
ではでは、下記の通り、[Azure AD Connect] → [クラウド認証の段階的なロールアウト]をクリックします。
今回パスワードハッシュ同期しているので、パスワードハッシュ同期を"オン"にし[グループをの管理]からグループを選択します。
###いざ認証画面へ!!
####リダイレクトされませんねー。
###できました!!
####※Stagedrolloutの条件
・先進認証有効化(EXO&S4Bは2017年8月にテナント自動ON)
・クライアントアプリはOffice2013以降が基本です。
(認証方式はパスワードハッシュ同期が推奨)
これで移行のハードルもグンっ!!とさがりましたね♪♪
ではでは。また見てくださいね。