とある技術者の技術勉強録と英語勉強録

ブログ名の通り、技術と英語勉強についてつらつら書いてます。

AD+AzureAD連携(AADC構築)


最近Microsoftはパスワードレスを推し進めてます。

参考記事

www.itmedia.co.jp

 

パスワード入力で認証を通すのがなにがダメかというと

・毎日入力するものだから覚えやすいものに→セキュリティが低下

・銀行、オンラインサービス複数あってID多いのでパスワード使い回し→セキュリティが低下

等々・・・wannacry、7pay事件、セキュリティ不備による事故は後を絶えません。

利便性を確保しつつ、ちゃんとパスワードは複雑にして使い回しもやめるために

どうするか、その一例がFaceIDに代表される生体認証です。

もっと具体的にいうとパスワードそのものは一度入力したら暗号化して、

その後はFaceID等で複合化して使うことで利便性とセキュリティを両立させています。

この技術の一つがActiveDirectoryとAzureAD連携。

ActiveDirectoryで認証を済ませばO365サービス(WordとかExcelとか。ホカもっといっぱいあるけど割愛)をパスワード入力せず利用できるようにするというものです。

※AcitiveDirectory認証でパスワード入力あるじゃん!ってのはひとまずおきます。

でもこれもPIN認証、PCにカメラがあればWindows Helloによる顔認証で

パスワードレスが完成できます。今回はそこまでは触れません。

 

前置きが長くなりましたが構築をはじめていきます。

前提としてドメインが出来ているものとします。→ドメイン構築記事は以下

AD作成 (1)

AD作成 (2)

 

・AzureADテナント取得

f:id:fireghostman:20191129070217p:plain

O365テナント申し込み

f:id:fireghostman:20191129070341j:plain

f:id:fireghostman:20191129070405p:plain

ここは特に進めずセットアップの終了をする

 

ドメイン設定

f:id:fireghostman:20191201231317j:plain

f:id:fireghostman:20191201231347j:plain

f:id:fireghostman:20191201231416j:plain

 

・ADユーザにUPN設定

f:id:fireghostman:20191202223238j:plain

 

・AADC構築

f:id:fireghostman:20191202223326p:plain

f:id:fireghostman:20191202223347p:plain

f:id:fireghostman:20191202223415p:plain

f:id:fireghostman:20191202223430j:plain

f:id:fireghostman:20191202223552j:plain

f:id:fireghostman:20191202223610p:plain

f:id:fireghostman:20191202223633p:plain

今回は簡単構成で完了

 

・しばらくするとADユーザがAADに連携できたことを確認。

f:id:fireghostman:20191202223923j:plain

 

・パスワードレスでO365ログインできること達成。

f:id:fireghostman:20191202224025j:plain

この設定しないとダメだった

f:id:fireghostman:20191202224129j:plain

ユーザ名だけいれれば、そのあとパスワード入れなくても大丈夫

f:id:fireghostman:20191202224224j:plain

はいれました

 

といった感じです。パスワード入れなくてもO365が使える、

というのがポイントですかね。

次は条件付きアクセスかな・・・