Help us understand the problem. What is going on with this article?

Azure AD & Windows Security等メモ

はじめに

 Azure AD Webinar ( https://aka.ms/AzureAdWebiner ) Seazon4-1(8項目)+コンプラを軸にde:code2020のセキュリティセッションでクローズアップされたキーワード等を独自にマッピングしてみました。

[9/4追記] Azure AD Webinar Seasonに関するメモ

  • 過去分は資料(PPT等)はGitHubから取得できます。
  • Season 4から録画は後日、YouTubeで閲覧できます(限定公開)。当日はTeamsのライブイベントです。
  • Season 1~3の録画はフォームから申請するとメールでアクセス先が送られてきて、ON24のオンデマンド・ウェビナー形式で(一部セッションを除き)視聴できます。
  • 以下、タイトル、カッコは私見のキーワード、重複するセッションの除外等のメモです。

Season 1 (2018年 5月 - 7月実施)

  • #1 適切な Azure AD 認証方式の選択の決め手 (パスワードハッシュ同期一択)
  • #5 Azure AD セルフサービス機能を用いてコスト削減
  • #2~#4は、一部動画再生がNGだが、Season 2の#3~#5と順番は違えど同テーマなのでそちらを参照

Season 2 (2018年 8月 - 10月実施)

  • #1 Azure Active Directory 利用開始への第一歩
  • #2 IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
  • #3 Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
  • #4 Azure AD の SaaS アプリケーション認証への活用
  • #5 Azure AD で実現するスムーズな外部パートナー協業

Season 3 (2019年 3月 - 6月実施)

  • #1 モダンアクセスコントロール実現に向けた戦略策定方法
  • #2 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
  • #3 詳説!Azure AD 条件付きアクセス - 設計のやり方編
  • #4 Azure AD の新しいデバイス管理パターンを理解しよう
  • #5 Intuneによるモバイルデバイスとアプリのセキュアな管理とは
  • #6 Hybrid Azure AD Join 動作の仕組みを徹底解説

Season 4 (2020年 7月 - 9月実施)

  • #1 Azure AD アーキテクチャ概要 - Azure AD を設計するためのガイドライン (8カテゴリー項目で総括)
  • #2 パスワードレス(前編) - パスワードレスの価値と仕組みを語れるようになるセッション
  • #3 パスワードレス(後編) - パスワードレス導入方法論
  • #4 オンプレミス アプリケーションのモダン化 (Secure Hybrid Access)
  • #5 COVID-19 でリモート対応に成功した企業と失敗した企業の違いとは?(小杉さん @ShinichiroKosugi 登場回)
  • #6 マイクロソフトサポート部門が送る 「よくある Azure AD のお問い合わせとその未然防止策」

(Season)4-1(8項目)+コンプラとは

image.png

代表的なキーワードを抜き出したの全体の概要図がこちらです。
image.png

テナント構成

  • オンプレミス AD のユーザーと Azure AD のユーザーを必ず同期する
  • Azure AD Connect
  • Cloud Provisioning
  • パスワードハッシュ同期
  1. 1-1 適切な Azure AD 認証方式の選択の決め手
  2. Azure AD Connect 同期でパスワード ハッシュ同期を実装する | Microsoft Docs

デバイス構成

  • Intune(モダン・マネージメント, MDM,MAM/アプリ保護ポリシー)
  • 信頼されたデバイスのみ利用許可 (社給 PC の判定)
  • パスワード レス認証
    • Windows Hello for Business
    • FIDO2
  • 社給PC → Azure AD Join / Hybrid Azure AD Join
  • 社給モバイル, BYOD → Azure AD Register
  • Azure AD Joinはゼロトラストでも重要なポイント
  • Microsoft Threat Protection (スィート名)
  • Office 365 ATP
  1. Azure AD でデバイスを管理するメリット
  2. 3-4 Azure AD の新しいデバイス管理パターンを理解しよう
  3. 3-5 Intune によるモバイルデバイスとアプリのセキュアな管理とは
  4. 3-6 Hybrid Azure AD Join 動作の仕組みを徹底解説
  5. Intune を使って USB デバイスおよびその他のリムーバブルメディアを制御する方法 (Windows 10) - Windows security | Microsoft Docs
  6. Microsoft 365 E5 | Microsoft 365 Enterprise
  7. セキュリティ & コンプライアンスのための Microsoft 365 ライセンスガイダンス | Microsoft Docs
  8. エンドポイント マネージャー
  9. Security operations dashboard - Microsoft Defender ATP
  10. Azure AD 参加済みデバイス上でオンプレミス リソースへの SSO が機能するしくみ | Microsoft Docs
  11. [TS18] PR18 | VPN・証明書はもう不要? Azure ADによるデバイス認証 - YouTube
  12. Azure AD デバイス ID のドキュメント | Microsoft Docs

Windows 10関連

  • WDATP/MDATP
  • WDAG(Windows Defender Application Guard)
  • WIP (Windows Infomation Protection)
  1. Microsoft Intune での Windows 10 デバイス向けの保護設定 - Azure | Microsoft Docs
  2. Microsoft Defender Application Guard (Windows 10) - Windows security | Microsoft Docs
  3. Application Guard ポリシーの管理 - Configuration Manager | Microsoft Docs
  4. Windows Defender Application Guardで実現するセキュアなブラウジング環境――Windows 10の新しいセキュリティ機能(その2) (1/2):企業ユーザーに贈るWindows 10への乗り換え案内(15) - @IT
  5. Microsoft Defender Application Guard のグループポリシー設定を構成する (Windows 10) - Windows security | Microsoft Docs
  6. 新登場! Windows Defender Application Guard 解説 ~ Microsoft Edge がセキュア ブラウザーに!?~
  7. Windows Information Protection を正しく知る ~設定編~:Microsoft 365で実現するクラウド時代のセキュリティ(5) - @IT
  8. IT エンジニアのための 流し読み Windows 10 - Windows 10 Enterprise LTSC 注意事項まとめ
  9. Microsoft Intune - Azure でエンドポイント保護設定を構成する | Microsoft Docs
  10. IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP

ACL / アクセスコントロール

  • アクセス コントロール (ユーザーがアプリケーションにアクセスをできる条件) を定義・実装
  • デバイスベースのアクセス制御 (ゼロトラスト)
  • セキュリティ モデルを 「社内は安全」 から 「すべてがインターネット上にある」 に移行
  • 条件付きアクセス(Conditional Access)を設計
  • 徐々に「社内」への依存を無くす
  • アクセスコントロールには3つのレイヤー
    1. テナントへのアクセス(ユーザー認証) → ガバナンスの項目
    2. リソース(アプリケーション)へのアクセス → アプリ管理の項目
    3. 条件付きアクセス
  • ID・デバイス・アプリケーションをAzure ADに集約
  1. 2-1 IP ベースのアクセス制御から脱却してよりセキュアな環境を構築しよう
  2. 2-2 詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
  3. 2-3 詳説!Azure AD 条件付きアクセス - 設計のやり方編
  4. S07 | Protect your identity! 資格情報への攻撃手法と守り方 | de:code (decode) 2020
  5. S08 | ゼロトラスト Deep Dive 間違いだらけのリモートワーク セキュリティ | de:code (decode) 2020

アプリ管理 / アプリケーション管理

  • エンタープライズ・アプリケーション
  • アプリケーションのガバナンス
  • セキュリティ↑ ・ ユーザービリティ↑ ・ コスト ↓
  • シングルサインオン
  • プロセス化、オーナーの明確化
    1. [IT] Azure AD へのアプリの登録
    2. [アプリ] シングルサインオンの有効化
    3. [アプリ] ユーザー プロビジョニングの有効化
    4. [IT] 条件付きアクセスにアプリケーションのコントロールを追加
    5. [IT/アプリ] 同意の付与
    6. [アプリ] メンテナンス [証明書の更新 ・ アップグレード]
    7. [アプリ] アクセス レビュー
    8. [?] アクセスの監査
    9. [IT/アプリ] アプリケーションの削除
  • SAML/OIDC認証
  • Secure Hybrid Access
  1. S09 | Apps on Azure AD - アプリケーション連携 WHY と HOW | de:code (decode) 2020
  2. 2-4 Azure AD の SaaS アプリケーション認証への活用
  3. 4-4 オンプレミス アプリケーションのモダン化 (Secure Hybrid Access)
  4. S05 | GitHub と Azure Security Center による、アプリケーションのための Azure セキュリティ | de:code (decode) 2020
  5. S09 | Apps on Azure AD - アプリケーション連携 WHY と HOW | de:code (decode) 2020

外部ユーザー協業

  • 外部ユーザーの条件付きアクセス → ACLの項目
  • 必要なくなったらはく奪 → ガバナンスの項目
  • Azure AD B2B
  1. 2-5 Azure AD で実現するスムーズな外部パートナー協業
  2. 外部コラボレーションの設定について
  3. Microsoft Teams でゲスト アクセスをきちんと設定する場合の設定項目を調べてみた | idea.toString();

セキュリティ強化

  • Security Posture
    • IDベースのゼロトラスト
      • デジタルガバナンス
      • サイバーハイジーン
    • Modern SOC
      • 脅威インテリジェンス
      • 対応の自動化
  • DevSecOps / Secure DevOps
  • Microsoft Security Score
    • Microsoft 365 Security Score
    • Azure Security Center Security Score
  • パスワードの脅威
  • パスワードレス
    1. Windows Hello for Business
    2. Microsoft Authenticator
    3. FIDO2
  • ID保護

    1. MFA
    2. PIM (Privileged Identity Management)
    3. Identity Protection (漏洩した資格情報のレポート
    4. リスク ベース アクセス コントロール
    5. パスワード保護
    6. セルフ サービス パスワード リセット
  • 管理者を優先的に保護

  1. K14 | [K01 基調講演の抜粋版] Cyber Security | de:code (decode) 2020
  2. 3-2 パスワードレス(第 1 回) パスワードがインフラ最大の脆弱性となる時代
  3. 3-3 パスワードレス(第 2 回) Azure AD が提供するトップレベルのセキュリティ機能
  4. S03 | もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​ | de:code (decode) 2020
  5. ホーム - Microsoft 365 セキュリティ センター

ガバナンス

  • 権限の付与・はく奪の効率化(自動化)
  • Information Protection & Governance
  1. 動的グループの詳細と設定方法 動的グループを作成または編集し、状態を取得する - Azure AD | Microsoft Docs
  2. グループに対してライセンスを付与する方法 グループベースのライセンスとは - Azure Active Directory | Microsoft Docs
  3. グループに対してアプリケーションを割り当てる方法 Azure AD でエンタープライズ アプリケーションにユーザーまたはグループを割り当てる | Microsoft Docs
  4. Entitlement Management の詳細と設定方法 エンタイトルメント管理とは - Azure AD | Microsoft Docs
  5. Access Review の詳細と設定方法 アクセス レビューとは - Azure Active Directory | Microsoft Docs

コンプライアンス

  • テレワーク
  • コロナ禍 COVID-19
  • Communication Compliance
  • パワハラやセクハラ、モラハラ等の行動規定違反
  • Insider Risk Management
  • AIP (Azure Informatin Protection) 情報のラベリング
  • MCAS
  • Endpoint DLP
  1. S01 | Microsoft 365 E5 を活用したセキュア リモート ワーク環境の構築 | de:code (decode) 2020
  2. S02 | パワハラやセクハラをはじめとした行動規定違反を Communication Compliance で対策! ~自社向けカスタマイズ辞書の組み方~​ | de:code (decode) 2020
  3. S06 | クラウド時代のデータ保護とリスク管理を支援する Microsoft 365 コンプライアンス ソリューションのご紹介 | de:code (decode) 2020
  4. Microsoft 365 セキュア リモート ワーク相談窓口 - Microsoft for business
  5. ホーム - Microsoft 365 コンプライアンス センター
  6. ダッシュボード - Cloud App Security - Microsoft Cloud App Security
  7. 今日のリモートワーク環境におけるデータ損失防止とリスクの軽減 - News Center Japan
  8. Get started with communication compliance - Microsoft 365 Compliance | Microsoft Docs

監査

  • 監査ログ
  • eDesicovery and Audit
  • SIEM
  • Azure Sentinel
  1. 監査ログについて Azure Active Directory ポータルの監査アクティビティ レポート | Microsoft Docs
  2. サインイン ログについて Azure Active Directory ポータルのサインイン アクティビティ レポート | Microsoft Docs
  3. 「リスク」 関連のログについて Azure Active Directory Identity Protection とは | Microsoft Docs
  4. Azure AD Connect Health (Sync) について 同期での Azure AD Connect Health の使用 | Microsoft Docs
  5. PIM のアラート機能について PIM の Azure AD ロールに対するセキュリティ アラート - Azure AD | Microsoft Docs
  6. Identity Management のアラート機能について Azure Active Directory Identity Protection の通知 | Microsoft Docs
  7. 各種ログの保有期間について Azure AD にレポート データが保存される期間 | Microsoft Docs
  8. Log Anaytics との連携 Azure Active Directory のログを Azure Monitor ログにストリーミングする | Microsoft Docs
  9. SIEM との連携 Azure Sentinel に Azure Active Directory のデータを接続する | Microsoft Docs
  10. S04 | Azure Sentinel - クラウドネイティブ SIEM&SOAR の活用 | de:code (decode) 2020

有用なサイト等

  1. Azure ADやEMSの最新ブログ Azure Active Directory Identity Blog - Microsoft Tech Community

おわりに

各観点を分けながら考えることで、考え方がだいぶ整理してわかるようにようなってきました。de:code2020のセキュリティセッションのYouTube動画、特にオススメです。

ishiayaya
可視化関連が好きです。
https://note.mu/ishiayaya
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away