Azure Managed Service Column <Azure運用コラム>

Azure AD(Azure Active Directory)とは?オンプレADとの違いや機能、エディションをわかりやすく解説

Category: 入門編

2022.03.07

はじめに

ログインする ID、パスワードが増えると管理が煩雑になることは、オンプレミスでも SaaS サービスでも変わりません。SaaSなどのクラウドサービスでシングルサインオンや ID の一括管理を実現するのが、Azure Active Directory です

それでは具体的に、Azure Active Directory とはどのようなものなのか、機能やできること・できないことなどについて見ていきましょう。 ( Active Directory については「Active Directoryとは?メリットやデメリット、使用上の注意点などを解説」をご確認ください)

1. Azure Active Directory とは

Azure Active Directory は Microsoft が提供しているサービスの一つです。以前は、システムはすべて社内サーバーの中にあり、オンプレミスの Active Directory で一括管理ができていました。

しかし、今では便利なクラウドサービスが増え、業務に使用する SaaS サービスも増えています。それぞれのサービスに都度ログインしていると、ID やパスワードを忘れたり、同じパスワードを設定してセキュリティレベルを下げてしまったりといった問題が発生しかねません。
そのようなクラウドサービス利用時の認証の問題を解消するために、一括で認証情報を管理する便利なサービスが Azure Active Directory です。

他にもセキュリティレポートをとることで、不正アクセスを検知したり、グループごとの条件付きアクセスを一括で権限管理したりと、使える機能は豊富にあります。エディションによって使える機能が異なるので、エディション選択時には注意しましょう。

また、オンプレミスの Active Directory とは別物ですが、Azure Active Directory にユーザー情報を同期させれば両方を管理する必要はなくなります。同期の方法や、変更の反映など細かい所の調整が必要なので、実際に連係させる際は注意して行ってください。

2. Azure Active Directory 導入のメリットとは?

それでは、Azure Active Directory を導入することでどのような課題を解決できるのでしょうか。導入メリットについて解説します。

2.1 導入・運用におけるコスト面のメリット

Azure Active Directory は SaaS 型のクラウドサービスとして利用できるため、オンプレミスの Active Directory のようにハードウェアを調達、構築する必要が無く、初期導入費用が不要です。

また基本的に Azure Active Directory の機能は、Microsoft がメインとして提供するクラウドサービス( Microsoft 365 等)に含まれているため、サブスクリプションで利用料金を払い続けている限り使い続けることができます。

ハードウェアのメンテナンスや、ユーザー数の増減による拡張、縮小を考慮せず利用でき、オンプレミス環境と比較すると柔軟性に優れています。また Azure Active Directory には一部有料ライセンスのプランが用意されており、管理するユーザー数に応じ料金が発生します。詳しくは後述するライセンス一覧、また Microsoft 公式サイトをご参照ください。

2.2 認証基盤としての連携機能による効率面のメリット

Azure Active Directory は一度の認証でアクセスできるシングルサインオン( SSO )機能を利用し、様々なクラウドサービスと連携する事ができます。これは Microsoft のサービスのみならず、Microsoft 以外のクラウドサービスとも連携する事ができます。

またパスワード以外の情報を認証要素とする多要素認証( MFA )なども利用できることから、認証基盤として高度な機能を効率的に利用できます。

2.3 管理者の業務負荷削減のメリット

Azure Active Directory は、既存のオンプレミス Active Directory と統合する事が可能です。クラウドとオンプレミスを統合・連携させることで一度のアカウント登録、一度の端末登録で済み、状態を一元的に管理できるので管理者の業務負荷削減の一助となるでしょう。

2.4 セキュリティ向上のメリット

昨今、テレワークやリモートオフィスの活用など場所を問わない働き方が普及したことにより、様々な場所、様々な端末から業務データへアクセスする機会が増えました。比例して不正アクセスも増加し、全体的にセキュリティ事故は増加傾向にあります。

Azure Active Directory は細かい条件付きアクセス機能や、端末の管理機能を活用することで、外部からのアクセスに対する安全性を強化する事ができます。またアクセスログ、認証ログも一元的に管理できることから不正アクセスの検知・検出をいち早く行う事ができ、セキュリティレベルを向上させることが可能です。

また近年注目されているゼロトラストセキュリティも、Azure Active Directory が提供する認証機能が要となっており、今後のセキュリティ運用においても導入効果を期待できるサービスと言えるでしょう。

3. Active Directory と Azure Active Directoryの違いとは?

Active Directory と Azure Active Directory とでは、アカウントを一括管理しようとする基本的な思想は同じですが、基本的に別物です。使い方と認証方法が異なります。

3.1 使い方の違い

Active Directory は社内にサーバーを置き、オンプレミスで運用することを想定しています。管理するアカウントも社内リソースを使うための認証情報です。

一方 Azure Active Directory は、インターネット接続したうえでクラウドサービスのアカウント認証を一括で行うものであり、これだけでは社内リソースを管理することはできません。社内サービスも一括で管理するためにはオンプレの Active Directory と連携する必要があります。

3.2 認証方法の違い

Active Directory の場合、ディレクトリへのアクセスには LDAP を使い、認証プロトコルは Kerberos です。 それに対して Azure Active Directory は、ディレクトリへのアクセスには RESTful API を使い、クラウドサービスの認証には SAML や WS-Federation、OpenID Connect、OAuth などのプロトコルに対応しています。クラウドサービスでよく使われるプロトコルに対応しているので、サービスに応じて使用しましょう。

4. Azure Active Directory の機能

クラウドで使われる Azure Active Directory は、オンプレミスで使う Active Directory と似たような機能が多くありますが、サービスにログインするデバイスの管理など、どこからでもアクセスできる SaaS の特徴に合わせた次のような機能が強化されています。

4.1 ID 管理

ユーザーが属している組織など基本情報が登録されており、メンテナンス可能なのが ID 管理です。入退社や人事異動など、部署の改編などにともなう権限付与も個別ではなく一括で行うことができ、ミスを減らせます。

4.2 シングルサインオン

SaaS アプリケーションを使う際にはログインする必要がありますが、サービスが変わる度に認証を要求されていると操作が煩雑になります。そこで SaaS アプリケーションのアカウント情報と Azure Active Directory 認証情報を紐づけることで、1度認証するだけで、他のアプリケーションでのログインを省略できます。
すべての SaaS サービスに対応しているわけではありませんが、Google や Facebook など、よく使われる SaaS サービスにはある程度対応しています。

4.3 デバイス管理

Microsoft Intune というサービスと併用することで、モバイルデバイスとモバイルアプリの管理が行えます。クラウドサービスはインターネットにつながっていれば、どこからでもアクセス可能です。アクセスの利便性はメリットである反面、セキュリティ的には不安要素にもなりえます。

Microsoft Intune は、Windows Update などの更新プログラムが最新であるかを管理する機能、アプリケーションの利用を制限し、危険の高いアプリケーションを使わせない機能、デバイスに対し暗号化設定を適用する機能などがあります。これらの様々なデバイス管理機能を活用することでセキュリティを向上することができます。

尚、Microsoft Intune は月額ライセンスで個別に購入するか、Microsoft 365 の一部のプランに含まれています。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

4.4 アクセス制限

グループやユーザー単位で使用できるアプリケーションを指定でき、権限がないアプリケーションは表示されません。特定のアプリケーションを使いたい場合は個別に申請してもらうことになるので、誰が何を使用しているかを明確に管理することができます。

このような標準的なアクセス制御に対し、さらに細かい条件を指定できるのが、条件付きアクセス機能です。

Azure Active Directory はクラウド型サービスなので、インターネット上のすべての認証リクエストを受け取ってしまいます。つまり従来のオンプレミス環境よりも、常に脅威に晒されていることになります。このような脅威に対処するため、誰が、いつ、どのデバイスからアクセスし、どのようなアプリケーションを利用したのかを厳密に管理する必要があります。条件付きアクセスはユーザーがアクセスした際に、条件に合致するかの判断を行い、合致するものに対し認証権限を付与する機能です。

例えば、Microsoft Intune で指定した基準に準拠しているデバイスを条件にする、指定した IP アドレス以外からのアクセスには多要素認証を求める、ログインの試行回数が多いアカウントからの認証を拒否する等、詳細の条件を指定することができます。
このような条件付きアクセス機能は Azure Active Directory Premium P1 以上の有料ライセンスで利用できます。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

4.5 オンプレ AD との連係機能

オンプレミスの Active Directory と Azure Active Directory は別物ですので、オンプレのシステムとクラウドサービスを両方利用しようとすると ID の二元管理となり煩雑です。
オンプレミスの Active Directory の情報を Azure Active Directory と同期することで、同じアカウントをクラウドとオンプレミスとで利用することができ、ユーザーはシステムがどこにあるかを意識せずに利用できるようになります。

ユーザー情報の同期方法は既存の環境によって様々ですが、オンプレミス Active Directory と Azure Active Directory との連携は Azure AD Connect というツールを利用して同期を行います。Azure AD Connect は同期方向が Azure AD からの一方向となるため、ユーザー情報の上書きが発生してしまう場合があり、運用上注意が必要です。

またオンプレとの環境統合にあたっては、オンプレ AD の主要機能をクラウド上で利用できる、Azure AD DS という PaaS(サービスとしてのプラットフォーム)サービスへリプレイスすることを推奨します。

Azure AD DS は、オンプレ AD との互換性や運用における Azure AD との親和性、またハードウェアのメンテナンスに囚われないクラウド環境のメリットを享受する事ができます。是非、専門家のご支援と共にご検討ください。

5. Azure Active Directory の4つのエディション

エディションによって使える機能が異なるので、どこまで使いたいかを検討したうえで契約しましょう。

企業で Azure Active Directory を使用する場合は、基本的に Premium P1 か Premium P2 が推奨されています。また、有償版を利用する場合ライセンスはユーザー単位となります。ユーザー分のライセンス購入が必要となるので、ユーザー数をもとにあらかじめ金額を試算しておくと安心です。

以下がそれぞれのエディションの特徴になります。それぞれの違いをまとめていますので、合わせてご覧ください。

主な機能 Free Office365 Premium P1 Premium P2
シングルサインオン
オンプレミスの AD 同期
レポート

詳細

詳細
セルフパスワードリセット
※1
※1
多要素認証( MFA )
不正アクセスのアラート
アプリケーションプロキシ
SLA の適用
※2
※2
条件付きアクセス
信頼できる IP アドレス制御
リスクベース条件付きアクセス
ID の保護機能
アクセスレビュー
Privileged Identity Management (PIM)

※1 Microsoft 365 Business Standard 以上のサブスクリプションで利用可能
※2 Azure AD としての SLA について記載(付随する商用サービスの SLA は以下のリンク参照)

Free

Free エディションは、Azure、Dynamics 365、Intune、Power Platform などの商用サービスのサブスクリプションに含まれており、Azure AD 機能単体では無償のプランです。

Azure AD に対する SLA や、セルフサービスによるパスワードリセット( SSPR )はありません。近年ではシングルサインオンの制限が撤廃されるなど、Free でも包括的に利用できるようになりました。

Office 365

Office 365 エディションは Free エディションに加え、Office 365 E1、E3、E5、F1、F3 が持つ Azure AD 機能を基盤とした、アイデンティティ・アクセス管理、情報の保護、脅威対策を利用する事が可能です。詳しくは Office 365 の機能をご参照ください。

※Basic エディションは 2019 年 6 月末に販売終了となりました。

Premium P1

Free や Office 365 エディションと比較すると使える機能が大幅に増え、企業で Azure Active Directory を利用する際の必要な機能がそろったエディションです。不正アクセスアラート、アプリケーションプロキシ、SLA 適用、条件付きアクセスなど、セキュリティ面もが充実したエディションです。

Premium P2

Azure Active Directory が提供するすべてのサービスを利用できるエディションです。

Premium P1 と比較すると、リスクベースの高度な条件指定、ID 保護機能、アクセスレビュー、企業内の重要リソースへのアクセス管理( PIM )など、エンタープライズ向けの高度なセキュリティ対策が可能です。Premium P2 にしかない機能が本当に必要かどうか、予算と機能面を合わせた検討をおすすめします。

6.まとめ

クラウドサービスを中心に利用していきたい企業にとって、Azure Active Directory は大変便利なサービスです。普段からどの程度活用するかに違いはあっても、今後導入する企業は増えていくと想定されます。

Azure Active Directory にはシングルサインオンやデバイス管理、多要素認証などさまざまなメリットがあります。エディションごとに機能が違うため、どのような使い方をするのか熟慮したうえで最適な活用方法を見つけてください

また、今後 DX 化が進む中でゼロトラストセキュリティモデルの導入や、オンプレミス環境との統合が進むことが予測されます。それに伴い、業務の効率化、生産性の向上などが期待できます。現状どうしてよいかわからないなど課題の分析や、今後の導入についてなど是非お気軽にお問い合わせください。

Azure設計・構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Azure導入個別相談会(無料)

Tag: Azure Active Directory ID

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php