Azure Managed Service Column ＜Azure運用コラム＞Azure AD Connectのセキュリティ対策とは？重要なID情報を保護する方法を解説

アカウント管理におけるセキュリティレベルを高める方法とは？

近年、働き方改革や新型コロナウイルスの感染拡大を背景に、場所や端末に依存せず利用できるクラウドサービスの利用を進める企業が増えています。オンプレミスの AD と Azure AD の認証を統合すると、クラウドサービスのサインイン時に、オンプレミスの AD と同じ ID を利用できるようになり、利便性が向上します。

ただし、認証を統合するためには、 Azure AD Connect サーバが必要となり、なかには重要なアカウント情報や個人情報が多く含まれるため、セキュリティの担保が不可欠となります。

Azure AD Connect を利用して、 ID 情報を保護するセキュリティ対策に注目して紹介していきます。

1.Azure AD Connectとは

Azure Active Directory Connect （以下、 Azure AD Connect ）は、オンプレミスの AD と Azure AD 間で、ユーザーのアカウント情報を連携し、 ID やパスワードなどを管理するツールです。

オンプレミス AD の ID やパスワードをそのままクラウドサービスのサインイン時に利用できるため、ユーザーや管理部門の ID 管理の手間を低減できます。

さらに複数のアカウントを管理する必要がなくなるため、パスワード漏えいのリスク低減にもつながります。

オンプレミスADとAzure ADの関係

自社の保有する Windows Server で構築する「オンプレミス AD 」とクラウド事業者のリソースを利用する「 Azure AD 」は、双方とも AD ではありますが、全くの別物です。

オンプレミス AD は、社内のファイアーウォールで守られている社内ネットワーク環境で使用される認証基盤です。

一方で、 Azure AD は SaaS 型のクラウドサービスであり、ハードウェアを自社で調達、構築する必要が無く、 Azure AD の提供する強固な認証基盤を活用できます。

Azure AD Connect は、オンプレミス AD のサーバーにインストールし、アカウント情報を同期すると、オンプレミス AD の ID を使って、クラウドサービスへすぐにアクセスできるようになります。基本的に、オンプレミス AD から Azure AD への同期を行うツールのため、 Azure AD のアカウント情報をオンプレミス AD に同期することはありません。

Azure AD Connect によって同期されたユーザーやグループ、デバイスなどの変更や削除を行う場合は、オンプレミス AD で行う必要があるので、注意しましょう。

＜Azure AD Connect の仕組み＞

図版出典：Microsoft 公式サイト

Azure AD Connectの役割

オンプレミス AD のユーザやデバイスなどの情報を Azure AD へ同期する際に役立てられます。主な役割は、アカウントの同期や認証、ユーザーのグループ単位での管理、アプリケーションの割り当てなどが挙げられます。

3つの同期・認証方法

Azure AD Connect の認証方法は 3 つ用意されています。

パスワード ハッシュ同期

オンプレミス AD から Azure AD へユーザーのパスワードをハッシュ同期する方法です。Azure AD Connect をインストールすると自動で適用され、容易に実装が可能です。

パススルー認証

Azure AD を経由して、オンプレミス AD にてパスワード認証を行う方法です。オンプレミスのアカウント情報をクラウド上に保存したくない場合などに用いられます。

フェデレーション

オンプレミス AD と Azure AD で認証情報を連携する方法です。Active Directory フェデレーション サービス（以下、 AD FS ）をインストールしたサーバーを仲介役として設置し、認証を実施します。

Azure AD Connect の詳細は以下をご覧ください。

2.Azure AD Connectサーバに含まれるデータ情報

オンプレミス AD から同期されるデータ情報は、 User Principal Name （ログイン ID ）をはじめ、部署や事業所・グループ名、連絡先（メールアドレス）および資格情報などが含まれます。

Azure AD Connect サーバーに格納されているデータは機密性の高い企業データや個人情報が複数含まれるため、確実に保護する必要があります。

3.Azure AD Connectのセキュリティ

重要なユーザーのアカウント情報を保護するためには、パスワード ハッシュ同期、パススルー認証、フェデレーションの3つの認証方式があり、それぞれの特徴を理解しておく必要があります。

本章では「データの保存場所」「同期のタイミング」「外部からの攻撃」について、セキュリティの観点で解説していきます。

データの保存場所

パスワード ハッシュ同期は、 Azure AD 上にパスワードハッシュ情報が同期されるため、パスワード情報はクラウド上にも保存されます。一方でパススルー認証・フェデレーションのパスワードの保存先は、オンプレミスの AD のみです。

クラウド上に保存される = リスクが高いということではないですが、コンプライアンスの観点で懸念する企業も多いことでしょう。パスワード ハッシュ同期は、最も簡単に実装できる方法ではありますが、クラウド上にパスワードを保管したくない場合かつ大規模な AD FS サーバを構築するのが難しい場合は、パススルー認証を選択することを推奨します。

同期タイミング

パスワード ハッシュ同期の場合、デフォルトでは 30 分毎の同期のため、頻繁にアカウント追加や変更を行う場合はアカウントロック・無効化にタイムラグが発生する場合があります。パススルー認証・フェデレーションの場合は、オンプレミス AD により ID が一元管理されているため即時反映となります。スケジューラーを変更することで、自社に適した同期タイミングに設定できるので、構成を確認しておくと良いでしょう。

外部からの攻撃

パスワード ハッシュ同期・パススルー認証ともに、外部からの入り口は Azure AD になるため、攻撃対策は Microsoft 側に任せられます。一方、フェデレーションは、外部からの入り口が Web Application Proxy （ WAP ）サーバを置く DMZ 区域となるため、自社でファイアウォールの設置や監視・維持する必要があります。

4.ユーザー側でセキュリティに対して留意すべきポイント

Azure AD Connect を利用する際、セキュリティ対策としてユーザー側で実施すべきポイントについて解説します。

パスワードライトバック機能の有効化

社外で仕事をしているときに不正なアクセスなどを検知した際、ユーザーのパスワードをリセットできるようにする機能です。管理者は Azure ポータルにサインインできる環境であれば、どこにいてもユーザーのパスワードを強制的にリセットできるため、セキュリティリスクの軽減につながります。

セキュリティの既定値群の有効化

管理者や一度も多要素認証をしていないユーザーなどに対して多要素認証の実行の要求や、レガシ認証プロトコルのブロックなど、セキュリティ機能を一括で設定できる機能です。2022 年 6 月以降はデフォルトで有効となるよう修正が加えられため、基本的にユーザー側では対処する必要はありませんが、有効化になっていない場合は指示に従い設定を行うことで、セキュリティ機能の設定漏れを回避できます。

Privileged Identity Management（PIM）

定常運用時のアクセス権管理を解決する方法として、Privileged Identity Management （ PIM ）があります。必要なときに必要な人に最小の権限を与える機能であり、自動でアクセス権付与・ダブルチェック・アクセス権の削除ができるため、セキュリティリスクを最小化できます。システム管理者の負担を軽減する方法として、導入を検討されることを推奨します。

5. まとめ

本記事では、オンプレ AD のアカウント情報を Azure AD と連携する Azure AD Connect のセキュリティ強化の方法について紹介してきました。重要な ID 情報を保護するセキュリティ対策を、何から始めたらいいか分からない際は、 Azure の提供するセキュリティ機能を活用し、状況に応じてできる事から始めてみることを推奨します。

Azure AD Connect では、重要なアカウント情報を保護するため、自社に適したアカウント管理を実現するサービスが充実しているので、是非検討してみてはいかかでしょうか。専門家にご相談の上、効果的なセキュリティ対策をご検討ください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

• 

  Azure AD Connect Healthとは？社外からIDインフラ監視を実現する方法を紹介

• 

  Azure AD（Azure Active Directory）を活用してシングルサインオンを実現するアプリケーション管理