cis 2014: azure active directory (sean deuby)

Azure Active Directory: The Future of Microsoft

Identity4 billion authentications per day can’t be wrong

Sean DeubyTechnical Director, Windows IT Pro@shorinsean

Official Phishing Boat Of CIS 2014

Agenda•Microsoft’s Relevance Today• Azure Active Directory•Getting to Azure AD•Observations

Is Microsoft Still Relevant?• Long history of• Corporate arrogance• Slow to react to trends• Misguided products

• Microsoft has reset its market share from 90% (PCs only) to 14% (all devices)• None of these are enterprise infrastructure services

Dismiss Microsoft at your Peril

• Microsoft operating systems dominate the enterprise data center• 75% of servers worldwide run

Windows Server • Active Directory dominates on-

premises identity• 90% of businesses with a directory

run AD• 95% of Fortune 1000 • > 750M AD users worldwide

• 1+ billion Office users• Office 365 fastest growing product in

Microsoft history

• Cloud & Enterprise FY13 revenue: $20 billion

Azure Is Microsoft’s Future• > $19B invested• 16 data centers• > 1M physical servers• 17% of WW purchased

server hardware in 2013• “…data center build-outs at

a scale no one has ever seen before”• Planned 2x capacity in 2015• … and 2x again in 2016

Azure Dublin Data Center (note outside-air cooling)

…and Azure Active Directory is its Identity Foundation

World’s largest cloud directory

• 4/2013: 2.9M org tenants• Supports all Microsoft

Online Services• 6/9/2014

• 3.35M org tenants• 326 million users

• 4B AuthNs / day• Resides in 27 data centers• 99.997% availability (5.5

sigma) for last 23 months

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Tenant

Microsoft AzureActive Directory

You Are Here

Azure AD Premium

Microsoft ‘s identity management as a service solution (IDaaS) offering• Integrates with Windows

Server AD• Internet SSO to 2200

apps• “Table stakes” features

IdentityBridge

Azure AD

Windows ServerActive Directory

OtherIdentity

Databases

On Premises

Web Services

Azure AD Premium• Superset of free Azure AD• GA in April 2014• Multi-factor authenticatio

n via PhoneFactor• Anomalous activity report

ing (machine learning-based)• Self service password res

et (cloud & on premises)

• 6/10: Cloud Application Proxy• FIM Server (& CALs)

usage rights• 99.9% SLA• $4/user, Enterprise

Agreement (EA) customers only• 90-day free trial

Getting to Azure ADMicrosoft’s Identity Bridge Strategy

The Sundial bridge, Redding CA (Aaron Patterson)

Microsoft Hybrid Identity Architecture

PCs and devices

Microsoft apps

Non-MS cloud-based apps

Custom LOB apps

ISV/CSVapps

Active Directory

Windows ServerActive Directory AD FS

DirSyncAADSync

AD Connector

Other Directories

Federation: AD FS • Authentication head for

Windows Server AD• Development focus• Workplace Join• Web Application Proxy• Multi Factor Authentication

• Not simple, not lightweight• Microsoft will make AD FS

easier

Windows ServerActive Directory

OtherIdentity

Databases

Azure AD

Federation Service

Provisioning Service

Identity Bridge

Identity Provisioning:DirSync

• Current production tool• 1 forest• Identities & fixed

attribute set• Optional password hash

sync• Optional attribute

writeback to Windows Server AD• Supporting self-service

password reset (SSPR)

Windows ServerActive Directory Azure AD

Federation Service

Provisioning Service:DirSync

Identity Bridge

Identity Provisioning:Azure AD Sync

• Next gen DirSync• Supports >1 forest• Supports LDAP v3, SQL

(ODBC)• Configurable sync scope• Configurable sync rules• 7/15: SSPR• B2 last week (3Q14

release)

Forest 1

LDAP V3,SQL Server

(ODBC)

Azure AD

Federation

Service

Provisioning

Service:AADSync

Identity Bridge

Forest 2

Forest N

…

Identity Provisioning:Azure AD Connect Tool

• Identity bridge configuration tool to Azure AD• AD FS • DirSync / AADSync

• Wizard driven• Federation failback with

password sync• June preview?

ObservationsFor all• Cloud is Microsoft’s

future…Azure AD is at the center of Microsoft’s cloud strategy

• Strongly resourced• New Azure AD features

every few weeks• Weak points are being

reinforced

ObservationsFor ISVs• Azure AD is a player to be

reckoned with• “(Microsoft has) the

potential to significantly impact the IDaaS market." *

• Don’t assume “lowest common denominator” functionality

• Must differentiate products from Azure AD Premium

* Gregg Kreizman, Gartner Magic Quadrant for Identity and Access Management As A Service, June 2014

ObservationsFor end users• Azure AD Premium is still

rough around the edges• Improving fast• Initially targeted at large

enterprises• Designed to be easy for

MOS (e.g. Office 365) users• But doesn’t require MOS• Proceed from

requirements

Resources• Windows IT Pro Enterprise Identity• http://windowsitpro.com/go/enterpriseidentity

• Active Directory Team Blog (Azure AD announcements)• http://blogs.technet.com/b/ad/

• Azure AD home• http://azure.microsoft.com/en-us/services/active-directory