Az AD Connect - Hybrid Identity
基本情報
オンプレミスActive Directory (AD) と Azure AD の間の統合は、Azure AD Connect によって容易に行われ、シングルサインオン (SSO) をサポートするさまざまな方法が提供されています。各方法は有用ですが、クラウドまたはオンプレミス環境を危険にさらす可能性のあるセキュリティ脆弱性が存在します。
Pass-Through Authentication (PTA):
オンプレミスAD上のエージェントが妥協され、Azure接続のためのユーザーパスワードの検証が可能になる可能性があります(オンプレミスからクラウドへ)。
新しい場所で認証を検証するための新しいエージェントを登録する可能性があります(クラウドからオンプレミスへ)。
Password Hash Sync (PHS):
特権ユーザーのクリアテキストパスワードがADから抽出される可能性があり、高特権の自動生成されたAzureADユーザーの資格情報も含まれます。
Federation:
SAML署名に使用されるプライベートキーの盗難により、オンプレミスおよびクラウドのアイデンティティをなりすますことが可能になります。
Seamless SSO:
Kerberosシルバーチケットに署名するために使用される
AZUREADSSOACCユーザーのパスワードが盗まれ、任意のクラウドユーザーになりすますことが可能になります。
Cloud Kerberos Trust:
AzureADユーザーのユーザー名とSIDを操作し、AzureADからTGTを要求することで、グローバル管理者からオンプレミスドメイン管理者に昇格する可能性があります。
デフォルトアプリケーション:
アプリケーション管理者アカウントまたはオンプレミス同期アカウントを妥協すると、ディレクトリ設定、グループメンバーシップ、ユーザーアカウント、SharePointサイト、OneDriveファイルを変更できます。
各統合方法では、ユーザー同期が実行され、オンプレミスADにMSOL_<installationidentifier>アカウントが作成されます。特に、PHS と PTA 方法は Seamless SSO を可能にし、オンプレミスドメインに参加したAzure ADコンピューターに自動サインインを許可します。
Azure AD Connect のインストールを確認するために、次のPowerShellコマンドを使用できます。これは、AzureADConnectHealthSync モジュール(Azure AD Connectとデフォルトでインストールされている)を利用しています。
Last updated
