Azure AD 参加の場合

Azure AD 参加の場合[ad_1]

ITの移動方向がパブリッククラウドに向かっているという論争はありません。しかし、オンプレミスには、さまざまな理由で維持されるインフラストラクチャであり、すぐに移行する立場にないインフラストラクチャが、あえて「レガシー」と言う必要があります。

たとえば、ネットワーク ドライブにマップされたファイル サーバーや、デバイスとアプリケーションを制御する Windows サーバーで実行されているグループ ポリシーが最も一般的な例です。 約 20 年間、Active Directory ドメイン サービスは、このインフラストラクチャのバックボーンとなっています。

簡単な歴史

その後、2010年頃にAzureが登場し、物事を混乱させ始めました。 この新しいものが呼び出されました 紺碧 アクティブ ディレクトリ ちょっと 私たちの古いオンプレミスの友人のように、それと同期さえ。 しかし、それは同じプロトコルを話さなかった(OAuthでKerberosに出て行った)、同じ階層的な性質を持っていなかったし、デバイスポリシーを制御する方法を提供しなかった。

多くの場合、Azure は当初 Office 365 へのゲートウェイとして存在しました。 時間が経つにつれて、IT プロフェッショナルは、シングル サインオン (SSO) からサービスとしてのソフトウェア (SaaS) アプリケーションまで、より多くのサービスを提供していることに気付き始めました。多要素認証 (MFA) とゲスト ユーザーの簡単な展開、さらにはセルフサービスのパスワードリセット。 採用が活況を呈した。

しかし、ID 管理に Azure AD が受け入れられ続けているにもかかわらず、ID を管理および保護するプラットフォームとしての主な利点の 1 つは Azure AD 参加 (AADJ) であり、多くの IT プロフェッショナルの間で多くの IT プロフェッショナルの間で多くの不満を引き起こすという点で、まだ少し議論の余地があります。

この記事では、Azure AD 参加に切り替える理由を詳しく説明し、その周囲の神話を分解し、既定の位置を Azure AD 参加にする理由を説明します。

続きを読む: Azure アクティブ ディレクトリ プレミアム – 開始場所

Azure AD の参加とは何か、なぜ気になるのですか?

Windows デバイスが Azure AD に参加すると、そのコンピューター オブジェクトはオンプレミスの Active Directory ドメイン サービス環境に格納されなくなります。 代わりに、Azure AD 内にあります。

これは、IT チームが過去 20 年間のコンピューターへの対処方法の根本的な変化を表しており、オンプレミスのドメイン参加ではなく、Azure AD 参加に関する嫌悪感を部分的に説明しています。確立されたプロセスに対する変更は、完全に理解され、正当化されなければなりません。

主な違いの 1 つは、ドメイン コントローラーに対して Windows サインインを認証し、そのドメイン コントローラーに対して一線を表示する必要がある代わりに、Azure AD に参加したデバイスがクラウドの Azure AD に対して認証される点です。 デバイスは、Office 365 などの Azure AD リソースに対する SSO を有効にするプライマリ更新トークン (PRT) を使用して発行されます。これは、パンデミックとリモートワークの世界的な採用のために拡大し、瞬時の利点をもたらします。

これにより、VPN への依存関係とオンプレミス サーバーへの接続 (およびそれに関連する管理オーバーヘッド) はあまり問題にならなくなります。 両方の参加シナリオで、資格情報がオフライン サインイン用にキャッシュされているのは確かに、Azure AD join が持つ大きな利点は、Autopilot のような新しいデバイスをプロビジョニングして、直接ユーザーへのドロップ配布を行う場合に、ログオン前の VPN を考慮する必要はありません。

安全

Azure AD への参加にも強力なセキュリティケースがあります。 Active Directory ドメイン サービスのセキュリティ保護は簡単な作業ではありません。 オンプレミス ドメインでの横移動は、攻撃者が特権を昇格させ、インフラストラクチャで優位を確立するために使用する最も一般的な方法の 1 つです。

長期的なロードマップの観点から、オンプレミスの Active Directory を段階的に実行すると、Kerberos と新しいテクノロジ LAN マネージャー (NTLM) を削除し、それに関連するパス ハッシュ エクスプロイトを削除することで、攻撃の可能性を大幅に低減できます。

Azure AD 参加に関する神話

組織がクラウドのみの技術移行を行った場合や、クラウドで生まれながらの移行を行っている場合、Azure AD への参加は明らかに意味があります。 残念ながら、多くの組織はまだこのジャンプを行う立場になっていませんが、次のような項目にアクセスするには Windows デバイスが必要です。

  • ファイルサーバー/マップされたネットワークドライブ
  • ネットワークプリンタ
  • 内部アプリケーション
  • 内部証明機関

基本的には、Kerberos または NTLM 認証に Active Directory ユーザー アカウントを使用する重要な事項が多く含まれています。

現実

これは物事が面白くなるところですが、誤解もあります。 Azure AD が 「Kerberos を話す」または「NTLM を話す」というのは公正な声明ですが、Azure AD はデバイスに参加しました を使用して、必要な SSO リソースを許可し、いくつかの前提条件が満たされていると仮定します。

まず、you は、リソースとオンプレミス ドメインの両方に対する見通しが必要になります。 Azure AD に参加しているデバイスには、魔法のような機能は備えていませんが、これらのプロトコルと基本的なネットワークの動作に関するルールに依然として制約があります。

次に、ユーザー アカウントを Azure AD 接続を使用して Azure AD に同期する必要があります。 これは、認証に必要なリソースが必要なオンプレミスの AD アカウントを使用して、認証済みの Azure AD ユーザー アカウントを"結婚" するものです。 Azure AD Connect がユーザーをクラウドに同期する場合、ソース ドメインとアカウントを識別する情報が含まれます。

Azure AD に参加しているデバイスに対して有効となるのは、Kerberos と NTLM チケットの収集に従事する機能です。 実際には、これは、SSO が、統合 Windows 認証を使用するマップされたネットワーク ドライブやアプリなど、認証と承認のためにそのユーザー アカウントを使用するサービスに対して引き続き機能することを意味します。

グループ ポリシー

グループ ポリシーは Active Directory の不可欠な部分であり、Azure AD に参加しているデバイスには存在しないことは事実ですが、モバイル デバイス管理 (MDM) ポリシーは、その機能をほとんどレプリケートできます。 Intune には既存のグループ ポリシーを分析するツールや、MDM 内での複製方法もありますが、通常は最初から始めて、必要な情報を導入するだけであり、"リフトアンドシフト" ではなく、実際に必要な情報だけを導入することをお勧めします。

Intune を使用した MDM はクラウドベースのインターネット リソースから利用されるため、ユーザーが VPN に接続するか、Configuration Manager クラウド管理ゲートウェイなどのインフラストラクチャを管理することに依存しない、変更やアプリをクライアントに迅速に展開できます。

Microsoft Defender ウイルス対策を使用する場合、デバイス管理に MDM のみ追加のボーナスは、デバイスのセキュリティ スイートを偶発的または悪意のある変更から保護するセキュリティ上の利点である「タンパープロテクション」を有効にすることです。 この機能はグループ ポリシーと互換性がなく、互換性の位置がますます見られる可能性があります。

Azure AD の参加が適切でない場合

このトピックには、技術的な理由と非技術的な理由の 2 つの異なるレンズがあります。

技術的な観点から見ると、Azure AD に参加しているデバイスはコンピューター オブジェクトをオンプレミス AD に格納しないため、ユーザーではなくコンピューターの存在に依存するサービスは、オブジェクトに問題が発生する可能性があります。 これには、信頼関係、リモート認証ダイヤルイン ユーザー サービス (RADIUS) サービス、およびその他のネットワーク認証および承認プロセスが含まれる場合があります。

ローカル管理者パスワード ソリューション (LAPS) のような Active Directory 環境では、セキュリティの主力に相当する第一者は存在しません。 コミュニティ主導の選択肢とサードパーティーのオプションはありますが、多くの内部ガバナンスプロセスでは、それらを許可しませんし、IT担当者は一般的に、信頼できるベンダーがサポートするサービスのみを使用するフォールバックを持つことを好みます。

Azure AD 参加を使用する前に、現在 LAPS を使用している場合は、Azure AD 参加の長所と LAPS を持たないという短所のみを比較してください。 LAPS を使用するシナリオと、Azure AD の特権 ID 管理などの Azure AD グループやサービスの使用など、代わりに何ができるかを考えます。

技術的な観点からは、Azure AD 参加の主なブロッカーはリソースベースの傾向があります。 たとえば、新しい Azure AD サービスと Intune サービスに熟練したスタッフを見つける。既存のチームメンバーをスキルアップ。グループ ポリシーを評価する時間と、それをレプリケートするために Intune で構成する必要があるものを割り当てるだけでなく、オンプレミスの依存関係を評価して、何も壊れにくいのを確認します。

これらはすべて有効な懸念事項ですが、ポイントは 資源-ベース、時間、トレーニング、適切な管理で克服することができます。

ハイブリッド Azure AD 参加についてはどうでしょうか。

3 つ目のオプションは存在します: ハイブリッド Azure AD 参加。 このシナリオでは、デバイスは Active Directory ドメイン サービスのコンピューター オブジェクトとして引き続きホーム状態ですが、Azure AD Connect によってコンピューター オブジェクトとして Azure AD に接続する場合も同期されます。 Azure AD に参加しているデバイスと同様に、SSO の PRT トークンを取得し、Intune からインターネット経由でポリシーを取得し、オンプレミス AD でコンピューター オブジェクトを必要とするサービスとの下位互換性を確保できます。

これは素晴らしい音ではないし、それは両方の世界の最高を持っているので、なぜこのアプローチを使用して、そもそも使用しませんか?

そのため、すぐに再プロビジョニングされる予定がない既存のデバイスについては、ハイブリッド Azure AD 参加は、時間やリスクをあまりかけずに展開できる優れたソリューションであり、I のようなサービスを使用できます。クラウド管理のための ntune。

ただし、すべての新しいユーザー アカウントにハイブリッド Azure AD 参加を使用し続ける場合は、一歩下がって、問題が解決されない問題を考慮する必要があります。ユーザーは、オンプレミスのドメイン コントローラーに対して認証を行う必要があります。コンピュータは横運動攻撃において、まだその連鎖の一部である。プロビジョニングの時点では、自動操縦のアプローチは、VPN を確立し、デバイスでクラウドに同期を取るのを待つ必要があり、かなり長く、困難になります。

結論と行動への呼びかけ

参加している Azure AD に参加しているオンプレミスからデバイスをジャンプする簡単な移行ツールはありません。 デバイスは、ドメインから離れてクラウドに再び参加するか、完全に再プロビジョニングする必要があります。 したがって、一般的な (推奨される) 方法は、Azure AD が新しいデバイスに参加すること、またはアップグレードやトラブルシューティングなどの間にリセットされるデバイスのみを使用することです。

Azure AD が結合され、オンプレミスで参加したデバイスは、移行を行う組織では完全に正常です。ハードウェアリフレッシュサイクルを使用してユーザーの混乱を防ぎ、噛み切る以上に噛み付かないようにするのも意味があります。

すばらしいニュースは、私の言葉を聞く必要はありません- Azure AD の参加は IT コミュニティ全体で牽引力と勢いを増しています。 このような記事を通して、神話と非互換性は絶えず払拭されています。 これは、オンプレミスの依存関係を排除するためにボールを転がしながら、デバイスの展開の複雑さを軽減するための優れた方法です。

また、Azure AD への参加のテストを簡単に開始することもできます。 Windows 10 (または 11) の仮想マシンまたは物理デバイスをスピン アップし、そのままのエクスペリエンスの間にオンプレミス ドメインではなく Azure AD に参加します。

これを有効にするために Azure AD と Intune で必要な構成はほとんどありません。ユーザーのアクセス許可で許可されていることを確認し、Intune を使用している場合は、そのユーザーにも適切に有効になっていることを確認します。

そこから、アプリのインストールとリソースへのアクセスを開始します。 ネットワーク パスをパンチし、エクスプローラがネットワーク ロケーションをロードすることを確認します。エッジを開き、内部のWebアプリにSSOを試してみてください。ネットワーク プリンタに接続するなどの方法で接続します。

それは見かけほど気が重いものではありませんが、何か問題に遭遇した場合は、あなたが最初ではないことを知ってください!ご質問がある場合は、以下のコメントをお願いします。

[ad_2]

未分類

Posted by admin