AD+AzureAD連携(AADC構築)
最近Microsoftはパスワードレスを推し進めてます。
参考記事
パスワード入力で認証を通すのがなにがダメかというと
・毎日入力するものだから覚えやすいものに→セキュリティが低下
・銀行、オンラインサービス複数あってID多いのでパスワード使い回し→セキュリティが低下
等々・・・wannacry、7pay事件、セキュリティ不備による事故は後を絶えません。
利便性を確保しつつ、ちゃんとパスワードは複雑にして使い回しもやめるために
どうするか、その一例がFaceIDに代表される生体認証です。
もっと具体的にいうとパスワードそのものは一度入力したら暗号化して、
その後はFaceID等で複合化して使うことで利便性とセキュリティを両立させています。
この技術の一つがActiveDirectoryとAzureAD連携。
ActiveDirectoryで認証を済ませばO365サービス(WordとかExcelとか。ホカもっといっぱいあるけど割愛)をパスワード入力せず利用できるようにするというものです。
※AcitiveDirectory認証でパスワード入力あるじゃん!ってのはひとまずおきます。
でもこれもPIN認証、PCにカメラがあればWindows Helloによる顔認証で
パスワードレスが完成できます。今回はそこまでは触れません。
前置きが長くなりましたが構築をはじめていきます。
前提としてドメインが出来ているものとします。→ドメイン構築記事は以下
・AzureADテナント取得
・ドメイン設定
・ADユーザにUPN設定
・AADC構築
・しばらくするとADユーザがAADに連携できたことを確認。
・パスワードレスでO365ログインできること達成。
といった感じです。パスワード入れなくてもO365が使える、
というのがポイントですかね。
次は条件付きアクセスかな・・・