(大体のスキルは持っていますが、私自身も提案する機会が多いので講師視点で出席)
■日時: 2011年2月10日(木) 09:30 – 12:00
■タイトル名:Active Directory による IT インフラの整備
■会場:マイクロソフト品川本社 31 階セミナールーム A (通信環境:持込 WiMAX は弱〜中レベルでした)
■講師:日本マイクロソフト(株) 篠原可奈子さん
■アジェンダ:
- Active Directory のおさらい
- リモートサイトからの安全な接続
- 社内 Identity 基盤の整備
- クラウド サービスとの SSO の実現
- 最先端のクラウド ベースの PC 管理
■受講所感
-
エバンジェリストによるセミナではなくプロダクトマネージャ自らが提案スタイル。
-
「ID & アクセス管理」は CoreIO (Infrastructure Optimization) の基盤
-
Exchange サーバ自身は Directory サービスを持たないので AD を使う。
-
AD DS, AD CS, AD FS, AD LDS, AD RMS の関係性理解は大事。
-
AD FSは従来 1.0 、現行 2.0 で IIS 7.0 に対応。
-
AD LDSは従来AD AM (Application Mode)
-
AD RMSはAD FSと連携し組織を超えたコンテンツ保護を新たに実現。
- MSKK社内は techplus というイントラサイトでナレッジベースを展開しており、社内へのリモート接続を安全にしている。従来 Office Communications Server だったものが、Lync Server になった。CTI 連動が容易でメールに関係者が現在離席中、電話中も含めて状態表示を Exchange クライアント (Outlook) を通じて知ることができる。
- DirectAccess サーバで社内リソースにアクセスするには、社内がIPv6環境でなければならない。DirectAccessクライアントは IPsecでDirectAccessサーバとIPv4 で通信し、DirectAccessサーバと社内リソースはIPv6通信。IPv4サーバとの通信はISATAPを有効にするか、NAT-PTが必要。IPsecで外部から利用するサーバを限定することも可能なので、社内はIPv6化必須(最近のOSは標準対応しているが、そのまま有効にしただけでは管理出来ないのでやっぱ、、、AD CSを使った社内CAも立てて、ADを使えってか)
- Forefront Unified Access Gateway (UAG) による DirectAccess の拡張対応可能である。本来 UAG はSSL-VPNの提供、正常性の検疫などのため冗長構成を取るものであるが、v4/v6 ソフトウェアルータとして使うことも出来る。
- DirectAccess サーバは Windows Server 2008 R2 Standard以上(Server Core不可、NIC2枚以上必要)で構成され、DirectAccess + UAG でも基本同じ。ただし、UAG で外部公開できるアプリ (SSL-VPN) は多く、DirectAccess では限定されていることもあり企業によっては通信設計が要である。また、対応しているというサーバアプリケーションはウィザードでプロトコル設定(ポート番号記述)をするけなので、任意プロトコルを設定すれば基本的には通信が行えるはずである。
- BitLocker / BitLockerToGo は Vista から提供されている機能。TPM (Trusted Platform Module) 利用時は暗号化キーは TPM 内の SRK (Storage Root Key) が対象で、SRK が、VMK (Volume Master Key) を暗号化し、AMK が FVEK (Full Volume Encryption Key) を暗号化し、実データの暗号化に私用する。そして、FVEK と VMK はシステムドライブに暗号化された状態で格納される。すなわち多段セキュリティ・チェック機構を持っている。
- OS ドライブ暗号化の対象はOS自体、ページファイル、一時ファイル、データ、ハイバネーションファイル。
- リソコラ (理想のコラボレーション)環境の構築資料というのがデモの合間にチラっと見えたがこういったものも中身は BitLockerで出力しているのだろうか?とふと思った。件名には協業先企業名が見えていたので、そこはちょっと萎え。
- AD RMS による機密情報の保護デモ。これは昔からよく見るデモ。私も11年前に、機密情報の保護を電子メールゲートウェイで実施・監査するプラットフォームメーカにいたので、現状のお金がさほどかからないシステム現状として受講。
- 電子メールで転送禁止、コピー移動禁止、閲覧禁止、印刷禁止、社外への転送禁止など。
- 社内 Identity 基盤の整備 (Forefront Identity Manager 2010)
- ユーザ管理、認証管理、グループ管理、ワークフローポリシーを共通プラットフォームで一本化しましょうというお話。
- アカウント情報の動機+ポータル&ワークフロー
- 従来 ILM (Identity Lifecycle Manager / ID運用管理) から 現行 FIM (Forefront Identity Manager / IDセキュリティ管理) へ。
- 従来 ILM は ILM2007 で、その前は MIIS 2003 であった。メーリングリスト(MSFT では配布リスト DM) を社内で自由に作ることができる。このため、Exchange などのパブリックフォルダをシステム管理者へ申し伝えて作成管理してもらう必要は少なくなるかも?
以上