連載
» 2015年08月19日 05時00分 公開

クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる?vNextに備えよ! 次期Windows Serverのココに注目(23)(2/2 ページ)

[山市良,テクニカルライター]
前のページへ 1|2       

Windows Server 2016のAD FSの新機能

 Windows Server 2016のAD FSの基本的な機能は、Windows Server 2012 R2のAD FSと同等ですが、いくつかの機能改善と機能強化が行われる予定です。Windows Server Technical Preview 2に実装されている、目に見える変更点を中心に簡単に紹介しましょう。

●デバイス登録サービスの構成のGUI化

 「デバイス登録サービス」はWindows Server 2012 R2のAD FSで初めて搭載されましたが、このサービスを有効化するためには「Initialize-ADDeviceRegistration」および「Enable-AdfsDeviceRegistration」コマンドレットを実行する必要がありました(画面2)。

画面2 画面2 Windows Server 2012 R2のAD FSにおける「デバイス登録サービス」の有効化。Windows PowerShellで有効化する必要がある

 Windows Server 2016のAD FSでは、GUI(Graphical User Interface)の管理ツール「AD FS Management(AD FSの管理)」スナップインを使用して、デバイス登録サービスを簡単に有効化できるようになります(画面3)。

画面3 画面3 Windows Server Technical Preview 2のAD FSにおける「デバイス登録サービス」の有効化。Windows PowerShellでの有効化も可能

●プライマリ認証方法としてのデバイス認証とAzure MFA

 Windows Server 2012 R2のAD FSでは、デバイス認証は他のプライマリ認証と組み合わせて使用する“認証条件の一つ”でした。Windows Server 2016のAD FSでは、デバイス認証を“プライマリ認証の一つ”として使用できるようになります。

 また、プライマリ認証と多要素認証として、「Azure ADの多要素認証(Azure MFA)」のサポートが追加されます(画面4)。Azure MFAは、スマートフォン専用のモバイルアプリから確認コードを入力して、IDを認証する機能になります。この機能を利用するには、オンプレミスのActive DirectoryとAzure ADのディレクトリ同期をセットアップし、Azure AD側で社内ID(オンプレミスのActive DirectoryのID)に対する多要素認証を構成します(画面5)。

画面4 画面4 Windows Server Technical Preview 2のAD FSでは、プライマリ認証方法として「デバイス認証(Device Authentication)」と「Azure ADの多要素認証(Azure MFA)」がサポートされる
画面5 画面5 Azure MFAによる多要素認証。利用するには、Active DirectoryとAzure ADとのディレクトリ同期が必要

●アクセス制御ポリシーによる認証方法の構成

 Windows Server 2012 R2のAD FSでは、AD FSに登録したアプリケーションの「証明書利用者信頼(Relying Party Trusts)」ごとの認証ポリシー(Authentication Policy)で、認証方法の詳細(アクセス元の場所に基づいた多要素認証の要求など)を構成しました(画面6)。

画面6 画面6 Windows Server 2012 R2のAD FSにおけるアプリケーションごとの多要素認証の構成

 Windows Server 2016では、新しいポリシー設定「アクセス制御ポリシー(Access Control Policy)」でアプリケーションの認証方法の詳細を構成するように変更されます(画面7)。アクセス制御ポリシーは、標準で用意されているテンプレートから選択することで、簡単に構成できます。また、GUIによるクリック操作だけで、複雑な条件を含むカスタムポリシーテンプレートを簡単に作成することができます(画面8)。テンプレート側に変更を加えると、アプリケーションに反映されるため、アプリケーションごとの認証方法の構成が一元化されます。

画面7 画面7 Windows Server Technical Preview 2のAD FSでは、「アクセス制御ポリシー」を割り当てて、アプリケーションごとの認証方法を構成する
画面8 画面8 複雑な条件を含むアクセス制御ポリシーを、GUIによるクリック操作で簡単に作成できる

●OpenID Connectのサポート

 Windows Server 2012 R2のAD FSは、ID連携のプロトコルとしてWS-Federation標準およびSAML標準をサポートしています。Windows Server 2016のAD FSでは、さらにOAuth/OpenID Connectのサポートが追加されます(画面9)。

画面9 画面9 Windows Server Technical Preview 2のAD FSは、OAuth/OpenID Connectを新たにサポートする

●LDAPやSQLデータベースに格納されたIDによる認証

 Windows Server 2012 R2のAD FSは、Active Directoryを用いてIDを認証します。Windows Server 2016では、LDAP(Lightweight Directory Access Protocol)v3互換のディレクトリサービスやSQL Serverデータベースに格納されたIDとパスワードを使用したID認証がサポートされます。

 Windows Server Technical Preview 2では、Windows PowerShellを使用して、LDAPディレクトリに格納されたIDによる認証を構成できます(画面10画面11)。

画面10 画面10 Windows Server Technical Preview 2のAD FSで、LDAPディレクトリによるID認証をセットアップしているところ
画面11 画面11 AD FSの認証フォームでは、「Other organization」をクリックすることで、LDAPのIDによる認証が可能になる
「vNextに備えよ! 次期Windows Serverのココに注目」バックナンバー

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2015)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。