Microsoft Tech Summit 2016に行ってきたメモ
行ってきました。
Microsoft Tech Summit|Microsoft
月並みな表現だけどエキサイティングでした。地に足の着いた技術と未来の技術がセットになってて面白かったです。
Day1
キーノート
- Security! Management! !Inovation
- セキュリティ担保したモバイル利用、devops、クラウド基盤を利用したリアルタイムモニタリングとかすごいよ
- 旧来型っぽい大企業でも採用して上手くいってるよ
- なので「うちの会社は無理そう…」とかないし
- AIはヤバイ
- botもくる
- エンタープライズで導入始まってる
- どっちもMSで基盤持ってる
- HoloLens日本で売るよ
- 詳しくは動画参照:【Tech Summit】KEY001 いま、企業の IT が求めるセキュリティと管理、そして IT ヒーローによるイノベーション – YouTube
- 詳しくはまとめ記事参照:Microsoft Tech Summit基調講演:マイクロソフトは「セキュリティ」「管理」「イノベーション」で企業のデジタルトランスフォーメーションを強力に支援 (1/2) – @IT
11:30-12:20 Office 365 で実現する一歩先の情報漏えい対策(SEC002)
- 最近のクラウド時代の流行り→CASB:Cloud Access Security Broker
- クラウドに侵入されたら検知したいけど、ふつーの環境だと平均200日くらい経ってから気づくのでやられたい放題
- そこでOffice 365 Advabced Security Management
- 怪しいOffice365ユーザーを見つけて、管理者に通報する機能
- ありえない移動とか、大量のファイルのダウンロードなどを検知
- 管理者がやることはたった3つ
- 高度なセキュリティの管理を有効にする
- アラートメールが来たらポータルで確認する
- 脅威と認められたらユーザーを制御
- Cloud App Security
- ライセンス
- Advanced Security Management:E5付属。単品で300円/人
- Cloud App Security:EM+S E5付属。単品で売ってる?
- 組織にE3とE5のユーザーが混在してたりする場合はどうするんだろう?
- SRに略(★Todo2)
- アクティビティログ:180日保持 アラート:永久保存
- アクティビティログはエクスポート可能
- 使用できるOffice365ライセンスはE5
12:45-13:35 Azure ネットワーク設計と運用のツボ(DEP005)
- 多分このセッションはスライド資料の方が理解が深まる
- パブリックIPなくても中から外に繋がる。
- サブネットに対してNSGをつけられる。(仮装マシン個々につけてもいいがサブネットにつける方が自然
- NSGないとつるつる
- 絶対にNSGを削除しないでね
- ユーザー定義ルート
- サブネットの内側に定義できるルーティング設定
- 複数NICマジ無駄。オンプレと違って倍速とかならない
- リージョン間の距離
- VNETピアリング
- 複数のVNETを簡単に接続できる
- 旧VNETと新VNETも繋げちゃう
- なので旧でVNET組んだから移行できない…とかはない
- 1GB一円
- AXN
- 超早い。40~50Gbps
- そのうち全部のIaaSマシンに乗りそう
- azure内の通信はMS内で閉じるが、CDN宛のものはインターネット出る
- azureのipは毎週水曜日にリリースされている
- VPNゲートウェイでBGPサポートしたから自由度増えた
- ただしStandard以上
- プラン説明とか→About VPN Gateway| Microsoft Azure
- インフラエンジニアもJSONでテンプレ作って展開しよう
- そんでバージョン管理してInfrastructure as Code (IaC)
- canary vm
- ネットワークのサポートは絶対入ってね〜!!!
14:00-14:45 アイデンティティのMVPが語るAzureADとアプリ連携の勘所(SEC020)
- ID管理を導入するにあたって注意すべき事
-
現実的な対応
- 識別子
- アプリケーションの認証プロトコル
- OIDC/SAMLじゃないっす対応
- 対応すまで待とう、は無理なので…
- パスワードSSO
- ブラウザにアドオンを入力し、ID/Passwordを代理入力
- Chormeで自動でID/Pass覚えるのとあんま変わらん
- ログインURLが静的じゃないとだめなど製薬あり
- ブラウザにアドオンを入力し、ID/Passwordを代理入力
- Azure AD WAP
- Kerberosじゃないとだめ、などの制約
- AzureADWAP + PingAccess連携(ヘッダー認証)
- WAM連携
- パスワードSSO
- などに逃げる
- WAN連携とヘッダー認証がよくわかってなかったので勉強する(★Todo3)
- ネットワークの問題
- 拠点ネットワークを絞り込み、無理な場合は例外ユーザーとか作る。
- マイナー拠点対応、偉い人対応、みたいな
- 拠点ネットワークを絞り込み、無理な場合は例外ユーザーとか作る。
- デバイス
- 聞きそびれた
-
表1
| AAD側 | – | アプリ側 | – |
|---|---|---|---|
| UPN | 123@foo.jp | LoginID | emp1234 |
| displayname | 山田太郎 | displayname | 山田太郎 |
| ExtensionAttribute1 | emp1234 |
- 表2
| 属性 | SAMLトークン属性 |
|---|---|
| UPN | nameid-fornat:unspecified |
| nameid-fornat:unspecified | |
| Onpremisessamaccountname | nameid-fornat:WindowsDomainQualifiedName |
| ExtentionAttribute1-15 | nameid-fornat:emailaddress |
| extractmailperfix() | nameid-fornat:emailaddress |
15:15-16:05 他と同じOffice365で満足ですか?Office365のAPIでオリジナルサービスに進化させる(APP009)
- AzureADにアプリケーション登録
- 組織で開発中のアプリケーション
- クライアントID と クライアントキー取得
- アプリケーションのアクセス許可、デリゲートされたアクセス許可
- HTTP Request投げる → authコード取得
- でAPI叩けるよ
- 必要な権限だけ付与しないと、怪しいfb連携アプリみたいになっちゃうよ
- バッチ処理の権限
- 最近企業にウケるもの。Bot,AI,IoT。
- Cognitive service,WebJob使って楽に面白く
- APIでオリジナルサービスに進化させる
- Exceed1の事例
- 英単語勉強アプリ
- Bossから来る英文メールの頻出単語をリストアップし、勉強できる
- API利用のコツ
- Q1. outlook.とgraph.のAPIが混在している
- Q2. SfBのドキュメントなくない?
- LUIS超楽
- 関連:CogBot_CognitiveBotOverview_20161020 – Docs.com
16:30-17:20 AzureADでクラウドの認証基盤を統合したいけど、IDの安全性はどうする?(SEC008)
- あんまりメモってない
- 後でスライド期待
17:45-18:35 Cloud First、Mobile FirstにおけるID管理とは?-人(Identity)から始まるアクセス制御-(SEC004)
- IDを分散させるとセキュリティが低下する
- AzureADP使えばIP制限可能。アプリ毎にアクセス制御も可能
- Intuneは進化中でiOSのIMEI登録して許可したデバイスからしかアクセスできないように出来る
- すんませんあんまメモってない
- ID系のセッションは後でまとめよう
Day2
9:00-9:30 PowerShellの新しい相棒 Visual Studio Code(APP017)
- 'code .’でvscode起動
- 拡張紹介
- vscode-pandoc
- markdownをpdfとかHTMLにする
- PlantUML
- UMP図を書く
- vscode-pandoc
- デバッグにはlanuch.jsonというのが必要だが、自動で作成されるので意識しなくてもよい
- PSISE開発チームメンバーとVScodeの開発チームメンバーが同じ
- 日次でアップデートしてるよ
- 日本からのフィードバック待ってるよ
- SJIS開けないのどうにかしてほしい
9:55-10:25 お客様とパートナー様のOffice365導入・定着化を支援するFirstTrack Center(PRD013)
- EOPとかATPにも対応している。Notesからの移行についても対応している(IMAPとは別で)
- その他は知ってる事でした
10:50-11:40 Office365におけるID統合とアクセス制御のベストプラクティス(PRD004)
- オンプレ組織とO365ディレクトリ同期のデザインパターンについて
- 知ってる事だったけど、空ですらすら話せない(考えないと話せない)のでもうちょい浸透させよう
- 利用リージョンが分かれるとき、最も近いデータセンターに接続される
- 例えばO365日本テナントを米国で利用する場合、米国のCDNを引いて米国のO365フロントエンドにアクセスしバックエンドのMSネットワーク経由でデータを取り出す
- よってインターネット帯域の消費はしない
- ただし、O365ポータルとExOLのみ。SfB,SPOは近くのサイトに接続。
- Onedriveはどうなんだろう…?
- SRに(★Todo4)
- Office365への他テナントへのアクセス制御もうすぐ来るぽい
12:00-12:45 [ランチ付き] Azure IaaS 応用編~実務で使えるVMとPaaSの組み合わせ~(SNR001)
- ごめーん知ってる事ばっかりだった
13:10-14:00 プロトコルマニアックス~ OAuth 2.0/OpenID Connect/FIDO 2.0/SAML 2.0 違いと用途(SEC010)
- SAML 2.0
- RP Initiated
- IdP Initiated
- RP Initiatedがよく使われる。最初にAppにログイン試行する方法。
- OAhth 2.0
- SAMLとOAuthの違い
- 情報を出すのがIdPか本人か
- OAuthは認可をするプロトコルなので、アプリケーションは不安
- OIDC
- 2014年に登場
- OAuthにユーザーの認証機能を組み込んだもの
- OAuth2.0 + ID Token
- 企業の話
- 企業だからといって勝手にSAML2.0で個人情報出していいのか?OIDCで個人に確認を取って出すべきではないのか。
- FIDO 2.0
- 生体認証とかでサービスを使いたい
- 「パスワード以外の選択肢」スライドが素晴らしい。
- “パスワードはすぐ盗まれる"と言葉で言っても、こういうスライド1枚の破壊力
- パスワードとPINの違い
- まとめ
14:25-15:15 クラウドで守る! Exchange Online の最新セキュリティ対策(PRD005)
- EOP/ATPの話
- だいたい知ってた
- EOP新機能:Anti-spoofing protection
- EOPを通ると自然に有効になる。去年くらいから実装。
- 怪しげなメールにはプレビュー画面でNoticeする。
- 詳しくはこちら→How antispoofing protection works in Office 365 – Terry Zink: Security Talk
- EOP新機能:Zero-hour Auto Purge: ZAP
- EOPがスパムと認定した後でも、過去にユーザーが受信したメールをさかのぼって迷惑メールフォルダに移動する or 削除する
- ただし未読のメールのみ
- ATP
- URL Trace機能
- 現時点ではリストベースの判断。
- マジかよ知らんかった
- 今後は、実際に開いてページの中身を確認する(Sandbox)。動的であるので安全だが、ちょっと遅いかも?Linked Content Detonationというらしい
- 現時点ではリストベースの判断。
- Dynamic Delivery
- 今までだとATP通るのに5分~10分かかってしまう。これからは本文だけは送って添付ファイルは後から送る機能
- これ欲しかった
- 今までだとATP通るのに5分~10分かかってしまう。これからは本文だけは送って添付ファイルは後から送る機能
- URL Trace機能
- ATPの拡張
- ExOL以外にも広がってくよ~
- 値段変わらないのかな?
- ExOL以外にも広がってくよ~
- DKIM署名対応
- Q1. ATPって送信元によってATPする、しないを選べないの?
- A1. 送信者が組織内のメールだとATPされない。それ以外だと問答無用でされる。
15:40-16:30 詳説 – Rights Management Services / Azure Information Protection(SEC016)
- RMSの話
- それ以外は知ってる事でした
15:40-16:30 Xamarin と Azure で、超効率的にクラウドと繋がるモバイルアプリを作ろう!(APP005)
16:55-17:45 OMS Log Analytics によるビッグデータログの分析方法の解説と実演(DEP002)
- 最近インフラやってないけどSCCMとOMSでこういう事出来たなら速攻導入したかった
- Sandbox環境もあるので是非
- URL忘れた
18:10-19:00 条件付きアクセスを徹底理解 – Azure Active Directory で実現する場所とデバイスの“条件付きアクセス制御”-(SEC007)
- 他のID系のセッション出たので知ってる事ばかりだった
18:10-19:00 エバンジェリストが注目のこの人と語る IT キャリアの多様性と未来(SPL005)
- コント…?
- 面白かったです
参加したセッションまとめ
- ID系
- アクセス制御
- Day1:16:30-17:20 AzureADでクラウドの認証基盤を統合したいけど、IDの安全性はどうする?(SEC008)
- Day1:17:45-18:35 Cloud First、Mobile FirstにおけるID管理とは?-人(Identity)から始まるアクセス制御-(SEC004)
- Day2:10:50-11:40 Office365におけるID統合とアクセス制御のベストプラクティス(PRD004)
- Day2:18:10-19:00 条件付きアクセスを徹底理解 – Azure Active Directory で実現する場所とデバイスの“条件付きアクセス制御”-(SEC007)
- デリバリ
- Day1:14:00-14:45 アイデンティティのMVPが語るAzureADとアプリ連携の勘所(SEC020)
- 仕様
- アクセス制御
- O365系
- App
- Day1:11:30-12:20 Office 365 で実現する一歩先の情報漏えい対策(SEC002)
- Day2:14:25-15:15 クラウドで守る! Exchange Online の最新セキュリティ対策(PRD005)
- Day2:15:40-16:30 詳説 – Rights Management Services / Azure Information Protection(SEC016)
- Dev
- Day1:15:15-16:05 他と同じOffice365で満足ですか?Office365のAPIでオリジナルサービスに進化させる(APP009)
- Day2:9:00-9:30 PowerShellの新しい相棒 Visual Studio Code(APP017)
- Ope
- Day2:9:55-10:25 お客様とパートナー様のOffice365導入・定着化を支援するFirstTrack Center(PRD013)
- App
- Azure系
- Day1:12:45-13:35 Azure ネットワーク設計と運用のツボ(DEP005)
- Day2:12:00-12:45 [ランチ付き] Azure IaaS 応用編~実務で使えるVMとPaaSの組み合わせ~(SNR001)
- その他
まとめ
- はらへった
- 近くにコンビニほしかった
- 2日で6万円の元取るためにレッドブルとモンスター飲みまくった
- 5本飲んだので1000円分
- OneNoteっていうかSurfaceのペンをもっと使おうと思った
- ID系出過ぎた
- 全然関係ないセッションにもっと出ればよかった
- 内容濃かったから腹落ちさせて整理展開しないとな~