Azure AD & Windows Security等メモ

はじめに

　Azure AD Webinar ( https://aka.ms/AzureAdWebiner ) Seazon4-1（8項目）+コンプラを軸にde:code2020のセキュリティセッションでクローズアップされたキーワード等を独自にマッピングしてみました。

[2021/09/06更新] Azure AD Webinar Seasonに関するメモ

• 過去分は資料（PPT等）はGitHubから取得できます。
• Season 1～5は全て、原則録画がYouTubeで視聴でできます。
• 以下、タイトル、カッコは私見のキーワード、重複するセッションの除外等のメモです。

Season 1 (2018年 5月 - 7月実施)

• #1 適切な Azure AD 認証方式の選択の決め手 (パスワードハッシュ同期一択)
• #5 Azure AD セルフサービス機能を用いてコスト削減
• #2～#4は、一部動画再生がNGだが、Season 2の#3～#5と順番は違えど同テーマなのでそちらを参照

Season 2 (2018年 8月 - 10月実施)

• #1 Azure Active Directory 利用開始への第一歩
• #2 IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
• #3 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
• #4 Azure AD の SaaS アプリケーション認証への活用
• #5 Azure AD で実現するスムーズな外部パートナー協業

Season 3 (2019年 3月 - 6月実施)

• #1 モダンアクセスコントロール実現に向けた戦略策定方法
• #2 詳説！Azure AD 条件付きアクセス - 動作の仕組みを理解する編
• #3 詳説！Azure AD 条件付きアクセス - 設計のやり方編
• #4 Azure AD の新しいデバイス管理パターンを理解しよう
• #5 Intuneによるモバイルデバイスとアプリのセキュアな管理とは
• #6 Hybrid Azure AD Join 動作の仕組みを徹底解説

Season 4 (2020年 7月 - 9月実施)

• #1 Azure AD アーキテクチャ概要 - Azure AD を設計するためのガイドライン (8カテゴリー項目で総括)
• #2 パスワードレス（前編) - パスワードレスの価値と仕組みを語れるようになるセッション
• #3 パスワードレス（後編) - パスワードレス導入方法論
• #4 オンプレミス アプリケーションのモダン化 (Secure Hybrid Access)
• #5 COVID-19 でリモート対応に成功した企業と失敗した企業の違いとは？(小杉さん @ShinichiroKosugi 登場回)
• #6 マイクロソフトサポート部門が送る 「よくある Azure AD のお問い合わせとその未然防止策」

(Season)4-1（8項目）+コンプラとは

代表的なキーワードを抜き出したの全体の概要図がこちらです。

テナント構成

• オンプレミス AD のユーザーと Azure AD のユーザーを必ず同期する
• Azure AD Connect
• Cloud Provisioning
• パスワードハッシュ同期

1. 1-1 適切な Azure AD 認証方式の選択の決め手
2. Azure AD Connect 同期でパスワード ハッシュ同期を実装する | Microsoft Docs

デバイス構成

• Intune（モダン・マネージメント, MDM,MAM/アプリ保護ポリシー）
• 信頼されたデバイスのみ利用許可 (社給 PC の判定)
• パスワード レス認証
  • Windows Hello for Business
  • FIDO2
• 社給PC → Azure AD Join / Hybrid Azure AD Join
• 社給モバイル, BYOD → Azure AD Register
• Azure AD Joinはゼロトラストでも重要なポイント
• Microsoft Threat Protection (スィート名)
• Office 365 ATP

1. Azure AD でデバイスを管理するメリット
2. 3-4 Azure AD の新しいデバイス管理パターンを理解しよう
3. 3-5 Intune によるモバイルデバイスとアプリのセキュアな管理とは
4. 3-6 Hybrid Azure AD Join 動作の仕組みを徹底解説
5. Intune を使って USB デバイスおよびその他のリムーバブルメディアを制御する方法 (Windows 10) - Windows security | Microsoft Docs
6. Microsoft 365 E5 | Microsoft 365 Enterprise
7. セキュリティ & コンプライアンスのための Microsoft 365 ライセンスガイダンス | Microsoft Docs
8. エンドポイント マネージャー
9. Security operations dashboard - Microsoft Defender ATP
10. Azure AD 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ | Microsoft Docs
11. [TS18] PR18 | VPN・証明書はもう不要? Azure ADによるデバイス認証 - YouTube
12. Azure AD デバイス ID のドキュメント | Microsoft Docs

Windows 10関連

• WDATP/MDATP
• WDAG（Windows Defender Application Guard）
• WIP (Windows Infomation Protection)

1. Microsoft Intune での Windows 10 デバイス向けの保護設定 - Azure | Microsoft Docs
2. Microsoft Defender Application Guard (Windows 10) - Windows security | Microsoft Docs
3. Application Guard ポリシーの管理 - Configuration Manager | Microsoft Docs
4. Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能（その2） (1/2)：企業ユーザーに贈るWindows 10への乗り換え案内（15） - ＠IT
5. Microsoft Defender Application Guard のグループポリシー設定を構成する (Windows 10) - Windows security | Microsoft Docs
6. 新登場！ Windows Defender Application Guard 解説 ～ Microsoft Edge がセキュア ブラウザーに！？～
7. Windows Information Protection を正しく知る　～設定編～：Microsoft 365で実現するクラウド時代のセキュリティ（5） - ＠IT
8. IT エンジニアのための 流し読み Windows 10 - Windows 10 Enterprise LTSC 注意事項まとめ
9. Microsoft Intune - Azure でエンドポイント保護設定を構成する | Microsoft Docs
10. IT エンジニアのための 流し読み Microsoft 365 - 入門！Microsoft Defender ATP

ACL / アクセスコントロール

• アクセス コントロール (ユーザーがアプリケーションにアクセスをできる条件) を定義・実装
• デバイスベースのアクセス制御 (ゼロトラスト)
• セキュリティ モデルを 「社内は安全」 から 「すべてがインターネット上にある」 に移行
• 条件付きアクセス（Conditional Access）を設計
• 徐々に「社内」への依存を無くす
• アクセスコントロールには3つのレイヤー
  1. テナントへのアクセス（ユーザー認証） →　ガバナンスの項目
  2. リソース（アプリケーション）へのアクセス → アプリ管理の項目
  3. 条件付きアクセス
• ID・デバイス・アプリケーションをAzure ADに集約

1. 2-1 IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
2. 2-2 詳説！Azure AD 条件付きアクセス - 動作の仕組みを理解する編
3. 2-3 詳説！Azure AD 条件付きアクセス - 設計のやり方編
4. S07 | Protect your identity! 資格情報への攻撃手法と守り方 | de:code (decode) 2020
5. S08 | ゼロトラスト Deep Dive 間違いだらけのリモートワーク セキュリティ | de:code (decode) 2020

アプリ管理 / アプリケーション管理

• エンタープライズ・アプリケーション
• アプリケーションのガバナンス
• セキュリティ↑ ・ ユーザービリティ↑ ・ コスト ↓
• シングルサインオン
• プロセス化、オーナーの明確化
  1. [IT] Azure AD へのアプリの登録
  2. [アプリ] シングルサインオンの有効化
  3. [アプリ] ユーザー プロビジョニングの有効化
  4. [IT] 条件付きアクセスにアプリケーションのコントロールを追加
  5. [IT/アプリ] 同意の付与
  6. [アプリ] メンテナンス [証明書の更新 ・ アップグレード]
  7. [アプリ] アクセス レビュー
  8. [？] アクセスの監査
  9. [IT/アプリ] アプリケーションの削除
• SAML/OIDC認証
• Secure Hybrid Access

1. S09 | Apps on Azure AD - アプリケーション連携 WHY と HOW | de:code (decode) 2020
2. 2-4 Azure AD の SaaS アプリケーション認証への活用
3. 4-4 オンプレミス アプリケーションのモダン化 (Secure Hybrid Access)
4. S05 | GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ | de:code (decode) 2020
5. S09 | Apps on Azure AD - アプリケーション連携 WHY と HOW | de:code (decode) 2020

外部ユーザー協業

• 外部ユーザーの条件付きアクセス → ACLの項目
• 必要なくなったらはく奪 → ガバナンスの項目
• Azure AD B2B

1. 2-5 Azure AD で実現するスムーズな外部パートナー協業
2. 外部コラボレーションの設定について
3. Microsoft Teams でゲスト アクセスをきちんと設定する場合の設定項目を調べてみた | idea.toString();

セキュリティ強化

• Security Posture
  • IDベースのゼロトラスト
    • デジタルガバナンス
    • サイバーハイジーン
  • Modern SOC
    • 脅威インテリジェンス
    • 対応の自動化
• DevSecOps / Secure DevOps
• Microsoft Security Score
  • Microsoft 365 Security Score
  • Azure Security Center Security Score
• パスワードの脅威
• パスワードレス
  1. Windows Hello for Business
  2. Microsoft Authenticator
  3. FIDO2

• ID保護

  1. MFA
  2. PIM (Privileged Identity Management)
  3. Identity Protection (漏洩した資格情報のレポート
  4. リスク ベース アクセス コントロール
  5. パスワード保護
  6. セルフ サービス パスワード　リセット

• 管理者を優先的に保護

1. K14 | [K01 基調講演の抜粋版] Cyber Security | de:code (decode) 2020
2. 3-2 パスワードレス（第 1 回) パスワードがインフラ最大の脆弱性となる時代
3. 3-3 パスワードレス（第 2 回) Azure AD が提供するトップレベルのセキュリティ機能
4. S03 | もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え！！~​ | de:code (decode) 2020
5. ホーム - Microsoft 365 セキュリティ センター

ガバナンス

• 権限の付与・はく奪の効率化（自動化）
• Information Protection & Governance

1. 動的グループの詳細と設定方法 動的グループを作成または編集し、状態を取得する - Azure AD | Microsoft Docs
2. グループに対してライセンスを付与する方法 グループベースのライセンスとは - Azure Active Directory | Microsoft Docs
3. グループに対してアプリケーションを割り当てる方法 Azure AD でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる | Microsoft Docs
4. Entitlement Management の詳細と設定方法 エンタイトルメント管理とは - Azure AD | Microsoft Docs
5. Access Review の詳細と設定方法 アクセス レビューとは - Azure Active Directory | Microsoft Docs

コンプライアンス

• テレワーク
• コロナ禍 COVID-19
• Communication Compliance
• パワハラやセクハラ、モラハラ等の行動規定違反
• Insider Risk Management
• AIP (Azure Informatin Protection) 情報のラベリング
• MCAS
• Endpoint DLP

1. S01 | Microsoft 365 E5 を活用したセキュア リモート ワーク環境の構築 | de:code (decode) 2020
2. S02 | パワハラやセクハラをはじめとした行動規定違反を Communication Compliance で対策！ ~自社向けカスタマイズ辞書の組み方~​ | de:code (decode) 2020
3. S06 | クラウド時代のデータ保護とリスク管理を支援する Microsoft 365 コンプライアンス ソリューションのご紹介 | de:code (decode) 2020
4. Microsoft 365 セキュア リモート ワーク相談窓口 - Microsoft for business
5. ホーム - Microsoft 365 コンプライアンス センター
6. ダッシュボード - Cloud App Security - Microsoft Cloud App Security
7. 今日のリモートワーク環境におけるデータ損失防止とリスクの軽減 - News Center Japan
8. Get started with communication compliance - Microsoft 365 Compliance | Microsoft Docs

監査

• 監査ログ
• eDesicovery and Audit
• SIEM
• Azure Sentinel

1. 監査ログについて Azure Active Directory ポータルの監査アクティビティ レポート | Microsoft Docs
2. サインイン ログについて Azure Active Directory ポータルのサインイン アクティビティ レポート | Microsoft Docs
3. 「リスク」 関連のログについて Azure Active Directory Identity Protection とは | Microsoft Docs
4. Azure AD Connect Health (Sync) について 同期での Azure AD Connect Health の使用 | Microsoft Docs
5. PIM のアラート機能について PIM の Azure AD ロールに対するセキュリティ アラート - Azure AD | Microsoft Docs
6. Identity Management のアラート機能について Azure Active Directory Identity Protection の通知 | Microsoft Docs
7. 各種ログの保有期間について Azure AD にレポート データが保存される期間 | Microsoft Docs
8. Log Anaytics との連携 Azure Active Directory のログを Azure Monitor ログにストリーミングする | Microsoft Docs
9. SIEM との連携 Azure Sentinel に Azure Active Directory のデータを接続する | Microsoft Docs
10. S04 | Azure Sentinel - クラウドネイティブ SIEM＆SOAR の活用 | de:code (decode) 2020

有用なサイト等

1. Azure ADやEMSの最新ブログ Azure Active Directory Identity Blog - Microsoft Tech Community

おわりに

各観点を分けながら考えることで、考え方がだいぶ整理してわかるようにようなってきました。de:code2020のセキュリティセッションのYouTube動画、特にオススメです。