基本情報

オンプレミスActive Directory（AD）とAzure ADの間の統合は、Azure AD Connectによって容易に行われ、**シングルサインオン（SSO）**をサポートするさまざまな方法が提供されています。各方法は有用ですが、クラウドまたはオンプレミス環境を危険にさらす可能性のあるセキュリティ脆弱性が存在します。

• Pass-Through Authentication (PTA):

  • オンプレミスAD上のエージェントが妥協され、Azure接続（オンプレミスからクラウドへ）のユーザーパスワードを検証することが可能になります。

  • 新しい場所で認証を検証するための新しいエージェントを登録する可能性があります（クラウドからオンプレミスへ）。

• Password Hash Sync (PHS):

  • ADから特権ユーザーのクリアテキストパスワード、高特権の自動生成されたAzureADユーザーの資格情報を抽出する可能性があります。

• Federation:

  • SAML署名に使用されるプライベートキーの盗難により、オンプレミスおよびクラウドのアイデンティティをなりすますことができます。

• Seamless SSO:

  • Kerberosシルバーチケットに署名するために使用されるAZUREADSSOACCユーザーのパスワードが盗まれると、任意のクラウドユーザーをなりすますことができます。

• Cloud Kerberos Trust:

  • AzureADユーザーのユーザー名とSIDを操作し、AzureADからTGTを要求することで、グローバル管理者からオンプレミスドメイン管理者に昇格する可能性があります。

• デフォルトアプリケーション:

  • アプリケーション管理者アカウントまたはオンプレミス同期アカウントを妥協すると、ディレクトリ設定、グループメンバーシップ、ユーザーアカウント、SharePointサイト、OneDriveファイルを変更できます。

各統合方法では、ユーザー同期が実行され、オンプレミスADにMSOL_<installationidentifier>アカウントが作成されます。特に、PHSおよびPTA方法はSeamless SSOを可能にし、オンプレミスドメインに参加したAzure ADコンピューターに自動サインインを許可します。

Azure AD Connectのインストールを確認するために、次のPowerShellコマンドを使用できます。これは、Azure AD ConnectとデフォルトでインストールされるAzureADConnectHealthSyncモジュールを利用しています。

Get-ADSyncConnector