Microsoft 365 Azure AD のセキュリティに対する見解が示されていました

最近はクラウド導入の契機として、セキュリティ対策として実施されることが増えており、今までのオンプレデータセンターのありようが考え直されている節があるのですが、 Microsoft 365 とオンプレ連携についての見解が挙げられていました。

https://techcommunity.microsoft.com/t5/azure-active-directory-identity/protecting-microsoft-365-from-on-premises-attacks/ba-p/1751754?WT.mc_id=M365-MVP-5002496

f:id:mohessu:20201226112423p:plain

興味深いのが、 ADFS の観点です。認証をオンプレ AD で行い、そのフェデレーションで Microsoft 365 へ接続するという方式は Office365 がリリースして以来、一般的な構成として利用されてきたと思います。
これが、ここにきて非推奨の構成であるというアナウンスとなっているのです。

ここで述べられているのはフェデレーションシステムの Token 証明書が漏れた場合に乗っ取りが行われる可能性がある。ということでした。
言われれば確かに Token 証明書があれば偽装が成り立つ形ですよね。

いままで日本ではトラストネットワークの考え方が強くあり、社内の AD 、 ADFS といったオンプレ環境は安全である。というところから、あまり気にされていなかったのではないのかと思います。

最近はクライアント経由で社内が汚染されているケースも多く出てきているためこういったところも案内しておく必要があるのかもしれません。

ただ、 Windows Hello for Business ではオンプレ展開時に ADFS が必要なのですよね。組織内 AD との分離はまだ難しい時期だと思うので、この構成を許容できるようになるにはもう一世代くらい先に進む必要があるかもしれません。( ADFS がなくてもよくなるか、 Windows10 側で認証を二重持ちになるのが先か、、、、)
いずれにしてもセキュリティの形が一つづず進化しているというお話でした。

音楽:ハイランド クロック