Azure Managed Service Column ＜Azure運用コラム＞Azure AD（Azure Active Directory）とは？オンプレADとの違いや機能、エディションをわかりやすく解説

はじめに

ログインする ID、パスワードが増えると管理が煩雑になることは、オンプレミスでも SaaS サービスでも変わりません。SaaSなどのクラウドサービスでシングルサインオンや ID の一括管理を実現するのが、Azure Active Directory です。

それでは具体的に、Azure Active Directory とはどのようなものなのか、機能やできること・できないことなどについて見ていきましょう。 （ Active Directory については「Active Directoryとは？メリットやデメリット、使用上の注意点などを解説」をご確認ください）

1. Azure Active Directory とは

Azure Active Directory は Microsoft が提供しているサービスの一つです。以前は、システムはすべて社内サーバーの中にあり、オンプレミスの Active Directory で一括管理ができていました。

しかし、今では便利なクラウドサービスが増え、業務に使用する SaaS サービスも増えています。それぞれのサービスに都度ログインしていると、ID やパスワードを忘れたり、同じパスワードを設定してセキュリティレベルを下げてしまったりといった問題が発生しかねません。
そのようなクラウドサービス利用時の認証の問題を解消するために、一括で認証情報を管理する便利なサービスが Azure Active Directory です。

他にもセキュリティレポートをとることで、不正アクセスを検知したり、グループごとの条件付きアクセスを一括で権限管理したりと、使える機能は豊富にあります。エディションによって使える機能が異なるので、エディション選択時には注意しましょう。

また、オンプレミスの Active Directory とは別物ですが、Azure Active Directory にユーザー情報を同期させれば両方を管理する必要はなくなります。同期の方法や、変更の反映など細かい所の調整が必要なので、実際に連係させる際は注意して行ってください。

2. Active Directory と Azure Active Directoryの違いとは？

Active Directory とは Windows Server に備わっているユーザーを管理するためのシステムです。ユーザーを管理するという点においては、 Azure Active Directory と同じですが、基本的には別ものです。この仕組みを理解するために、「ディレクトリ」、「ドメインコントローラー」といったコンポーネントと、「認証方式の仕組み」について解説します。

ディレクトリ

「ディレクトリ」とは「何がどこにあるのかを示す総覧」です。パソコンの中でよく見る「階層型フォルダ構造」もディレクトリの一種です。ディレクトリはあくまで一覧表であり、「人」や「組織」にアクセスするための番号と住所が記載されたものです。場合によっては、家族や親戚といった人間同士の関係性や企業の部署や支社といった組織同士の関係についても記載されています。

ドメイン

Active Directory では「ドメイン」と呼ばれる領域が作成されます。このドメインの中で、ユーザー、パソコン、共有データ、部署やプロジェクトチームといったリソースに関する情報を扱うことができます。 ドメインは管理単位として用いられ、ドメインに対する管理を「ドメインコントローラー（ DC ）」と呼びます。

ドメインツリーとフォレスト

ドメイン内では、管理者のポリシー次第でリソースに自由にアクセスすることができます。管理対象のドメインは大きな会社になると子会社や支社を持ち、場合によっては別ドメインを作成することがあります。それぞれのドメイン間で信頼関係を構築し、ポリシーを設定することができます。これをドメインツリーと呼びます。

さらにまったく別のドメインツリーと信頼関係を結ぶこと、１つ以上のドメインツリーで構成された最大の管理単位を「フォレスト」と呼びます。

ディレクトリサービスと認証方式

Active Directory は、 Microsoft が開発した独自のディレクトリサービスです。ディレクトリサービスの標準として用いられるプロトコルは Lightweight Directory Access Protocol （ LDAP ）です。

認証方式は Kerberos 認証という認証方式が採用されています。 Kerberos 認証により、ユーザーは一度認証を受けると、どのコンピューターに対してもパスワードを要求されることなくアクセスすることが可能となります。

2.1 使い方の違い

Active Directory はこのように、ディレクトリ、ドメイン、ドメインツリー、フォレストと管理規模に応じた形態を備えており、社内にサーバーを置き、オンプレミスで運用することを想定しています。管理するアカウントも主にドメイン内で社内リソースを使うための認証情報です。

一方 Azure Active Directory は、インターネット接続したうえでクラウドサービスのアカウント認証を一括で行うものであり、これだけでは社内リソースを管理することはできません。社内サービスも一括で管理するためにはオンプレの Active Directory と連携する必要があります。

2.2 認証方法の違い

Active Directory の場合、ディレクトリへのアクセスには Microsoft 独自のプロトコルと LDAP を使い、認証プロトコルは Kerberos です。

それに対して Azure Active Directory は、ディレクトリへのアクセスには RESTful API を使い、クラウドサービスの認証には SAML や WS-Federation 、 OpenID Connect 、 OAuth などのプロトコルに対応しています。クラウドサービスでよく使われるプロトコルに対応しているので、サービスに応じて使用しましょう。

Azure ADが注目される背景

テレワーク（リモートワーク）の浸透

働き方改革の推進、コロナ禍の影響からテレワークが急速に広まりました。また現在ではリモートワークとオフィスワークをハイブリッドに行う働き方も浸透しています。

クラウドサービスを活用し社外で仕事することがあたり前となり、オンプレミスでのユーザー管理、認証システムの仕組みだけでは対応が難しくなっています。

セキュリティリスクの高まり

テレワークの拡大や DX によるクラウドサービスへの移行は、利便性を高めながらも同時にサイバー攻撃や情報セキュリティの管理においてリスクを高めることにもなります。

近年の事例としては、 VPN やリモートデスクトップの脆弱性を突いた攻撃や、従業員へのフィッシング詐欺、認証情報の使いまわしによる情報漏えいなどが挙げられます。そのためオンプレミス環境、クラウド環境を統合したユーザー管理の一元的な仕組み、ユーザーの利用状況の可視化の構築が求められています。

情シス担当の業務負荷の増加

IT 部門の業務負荷も増加傾向にあります。オンプレミスを中心にシステムを運用している場合は、機器の設置や設定、増設など環境構築や保守のために、追加の工数やコストが必要です。

それに加えテレワーク環境における従業員のケアも必要となり、パスワード忘れ、アプリケーションやシステムへアクセスできないといった問い合わせ対応も増加するでしょう。あらゆる利用場面におけるサポートが求められるため、何もしなければ情シス担当の負荷は今後も増加することが見込まれます。

これらの背景から Azure AD をうまく活用することで、これらの課題の解消につなげることが可能です。 Azure AD は場所を問わないユーザー管理、認証機能を提供し、様々な Azure サービスと連携し管理システムを構築することができます。

3. Azure Active Directory 導入のメリットとは？

それでは、Azure Active Directory を導入することでどのような課題を解決できるのでしょうか。導入メリットについて解説します。

3.1 導入・運用におけるコスト面のメリット

Office 系アプリケーションのサブスクリプション化が急激に浸透し、現在では Microsoft 365 の利用者が急激に増加していることから、従来の買い切り型である永続版ライセンスは今後減少していくことが見込まれています。現在サポート中の買い切り型ライセンスの Office は以下の通りです。（ 2022/10/31 現在）

• Office 2013 （メインストリームサポート終了済、延長サポート 2023/4/11 ）
• Office 2016 （メインストリームサポート終了済、延長サポート 2025/10/14 ）
• Office 2019 （メインストリームサポート 2023/10/10 、延長サポート2025/10/14 ）
• Office 2021 （メインストリームサポート 2026/10/13 、延長サポートなし））

最新のサポート情報は、以下 Microsoft 公式ページを確認ください。

Azure AD は Microsoft 365 のサブスクリプション契約に含まれるサービスであり、買い切り版からサブスクリプションに切り替えることにより、自動的に Azure AD が利用できるようになります。よって運用における負荷を軽減できる可能性があります。

3.2 認証基盤としての連携機能による効率面のメリット

Azure Active Directory は一度の認証でアクセスできるシングルサインオン（ SSO ）機能を利用し、様々なクラウドサービスと連携する事ができます。これは Microsoft のサービスのみならず、Microsoft 以外のクラウドサービスとも連携する事ができます。

またパスワード以外の情報を認証要素とする多要素認証（ MFA ）なども利用できることから、認証基盤として高度な機能を効率的に利用できます。

3.3 管理者の業務負荷削減のメリット

Azure Active Directory は、既存のオンプレミス Active Directory と統合する事が可能です。クラウドとオンプレミスを統合・連携させることで一度のアカウント登録、一度の端末登録で済み、状態を一元的に管理できるので管理者の業務負荷削減の一助となるでしょう。

3.4 セキュリティ向上のメリット

2022 年 7 月に Azure AD では多要素認証機能の設定が「セキュリティの規定値群（セキュリティデフォルト）」の推奨（デフォルトで有効）となりました。セキュリティの規定値群（セキュリティデフォルト）とは 2019 年 10 月にリリースされた Microsoft 社の認証基盤、 Azure AD のセキュリティ機能です。

現在では多要素認証機能を設定していないユーザーに対して Microsoft Authenticator アプリを利用した多要素認証が必須化されています。またレガシーな認証はブロックされるなど、セキュリティの規定値がより厳格になりました。

4. Azure Active Directory の機能

クラウドで使われる Azure Active Directory は、オンプレミスで使う Active Directory と似たような機能が多くありますが、サービスにログインするデバイスの管理など、どこからでもアクセスできる SaaS の特徴に合わせた次のような機能が強化されています。

4.1 ID 管理

ユーザーが属している組織など基本情報が登録されており、メンテナンス可能なのが ID 管理です。入退社や人事異動など、部署の改編などにともなう権限付与も個別ではなく一括で行うことができ、ミスを減らせます。

4.2 シングルサインオン

SaaS アプリケーションを使う際にはログインする必要がありますが、サービスが変わる度に認証を要求されていると操作が煩雑になります。そこで SaaS アプリケーションのアカウント情報と Azure Active Directory 認証情報を紐づけることで、１度認証するだけで、他のアプリケーションでのログインを省略できます。
すべての SaaS サービスに対応しているわけではありませんが、Google や Facebook など、よく使われる SaaS サービスにはある程度対応しています。

4.3 デバイス管理

Microsoft Intune というサービスと併用することで、モバイルデバイスとモバイルアプリの管理が行えます。クラウドサービスはインターネットにつながっていれば、どこからでもアクセス可能です。アクセスの利便性はメリットである反面、セキュリティ的には不安要素にもなりえます。

Microsoft Intune は、Windows Update などの更新プログラムが最新であるかを管理する機能、アプリケーションの利用を制限し、危険の高いアプリケーションを使わせない機能、デバイスに対し暗号化設定を適用する機能などがあります。これらの様々なデバイス管理機能を活用することでセキュリティを向上することができます。

尚、Microsoft Intune は月額ライセンスで個別に購入するか、Microsoft 365 の一部のプランに含まれています。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

4.4 アクセス制限

グループやユーザー単位で使用できるアプリケーションを指定でき、権限がないアプリケーションは表示されません。特定のアプリケーションを使いたい場合は個別に申請してもらうことになるので、誰が何を使用しているかを明確に管理することができます。

このような標準的なアクセス制御に対し、さらに細かい条件を指定できるのが、条件付きアクセス機能です。

Azure Active Directory はクラウド型サービスなので、インターネット上のすべての認証リクエストを受け取ってしまいます。つまり従来のオンプレミス環境よりも、常に脅威に晒されていることになります。このような脅威に対処するため、誰が、いつ、どのデバイスからアクセスし、どのようなアプリケーションを利用したのかを厳密に管理する必要があります。条件付きアクセスはユーザーがアクセスした際に、条件に合致するかの判断を行い、合致するものに対し認証権限を付与する機能です。

例えば、Microsoft Intune で指定した基準に準拠しているデバイスを条件にする、指定した IP アドレス以外からのアクセスには多要素認証を求める、ログインの試行回数が多いアカウントからの認証を拒否する等、詳細の条件を指定することができます。
このような条件付きアクセス機能は Azure Active Directory Premium P1 以上の有料ライセンスで利用できます。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

4.5 オンプレ AD との連係機能

オンプレミスの Active Directory と Azure Active Directory は別物ですので、オンプレのシステムとクラウドサービスを両方利用しようとすると ID の二元管理となり煩雑です。
オンプレミスの Active Directory の情報を Azure Active Directory と同期することで、同じアカウントをクラウドとオンプレミスとで利用することができ、ユーザーはシステムがどこにあるかを意識せずに利用できるようになります。

ユーザー情報の同期方法は既存の環境によって様々ですが、オンプレミス Active Directory と Azure Active Directory との連携は Azure AD Connect というツールを利用して同期を行います。Azure AD Connect は同期方向が Azure AD からの一方向となるため、ユーザー情報の上書きが発生してしまう場合があり、運用上注意が必要です。

またオンプレとの環境統合にあたっては、オンプレ AD の主要機能をクラウド上で利用できる、Azure AD DS という PaaS（サービスとしてのプラットフォーム）サービスへリプレイスすることを推奨します。

Azure AD DS は、オンプレ AD との互換性や運用における Azure AD との親和性、またハードウェアのメンテナンスに囚われないクラウド環境のメリットを享受する事ができます。是非、専門家のご支援と共にご検討ください。

4.6 Azure Active Directoryの活用事例

Azure AD で認証を統合しSaaSアプリケーションへのシングルサインオン連携を実現

Azure AD はアプリギャラリーに記載された多くのアプリケーションとの連携が可能です。認証環境を Azure AD に統合することで、連携したアプリやシステムに対しシングルサインオンが可能となるため、ユーザーが管理する ID とパスワードは原則一つとなり管理の負担を大きく削減することができます。

Azure AD では、登録されているユーザーに対して、どのアプリケーションの認証を連携させるか細かく設定することもできます。

オンプレミスActive DirectoryとAzure ADのアカウント連携

オンプレミス環境の Active Directory 同士の連携ではサイト間 VPN など、通信経路を確保する必要がありましたが、 Azure AD は VPN など従来のソリューションに依存することなく利用できます。 Azure AD アプリケーションプロキシ機能を利用することで、外部から社内オンプレミスのアプリケーションへ認証情報を転送することが可能です。

これはプロキシコネクタを社内のサーバーにインストールし、 Azure AD との間でセッションを確立することで連携を実現します。この機能は TCP 443 ポートの通信となるため、既存のファイアウォールやアプリケーションに殆ど改修や変更が生じません。

図版出典：Microsoft 公式サイト

オンプレミスActive DirectorとAzure ADのアカウント連携

オンプレミス Active Directory で管理しているアカウントを Azure AD に同期することが可能です。同期するためには Azure AD Connect サーバーを別途オンプレミス環境に構築する必要があります。

5. Azure Active Directory の4つのエディション

エディションによって使える機能が異なるので、どこまで使いたいかを検討したうえで契約しましょう。

企業で Azure Active Directory を使用する場合は、基本的に Premium P1 か Premium P2 が推奨されています。また、有償版を利用する場合ライセンスはユーザー単位となります。ユーザー分のライセンス購入が必要となるので、ユーザー数をもとにあらかじめ金額を試算しておくと安心です。

以下がそれぞれのエディションの特徴になります。それぞれの違いをまとめていますので、合わせてご覧ください。

※1 Microsoft 365 Business Standard 以上のサブスクリプションで利用可能
※2 Azure AD としての SLA について記載（付随する商用サービスの SLA は以下のリンク参照）

Free

Free エディションは、Azure、Dynamics 365、Intune、Power Platform などの商用サービスのサブスクリプションに含まれており、Azure AD 機能単体では無償のプランです。

Azure AD に対する SLA や、セルフサービスによるパスワードリセット（ SSPR ）はありません。近年ではシングルサインオンの制限が撤廃されるなど、Free でも包括的に利用できるようになりました。

Office 365

Office 365 エディションは Free エディションに加え、Office 365 E1、E3、E5、F1、F3 が持つ Azure AD 機能を基盤とした、アイデンティティ・アクセス管理、情報の保護、脅威対策を利用する事が可能です。詳しくは Office 365 の機能をご参照ください。

※Basic エディションは 2019 年 6 月末に販売終了となりました。

Premium P1

Free や Office 365 エディションと比較すると使える機能が大幅に増え、企業で Azure Active Directory を利用する際の必要な機能がそろったエディションです。不正アクセスアラート、アプリケーションプロキシ、SLA 適用、条件付きアクセスなど、セキュリティ面もが充実したエディションです。

Premium P2

Azure Active Directory が提供するすべてのサービスを利用できるエディションです。

Premium P1 と比較すると、リスクベースの高度な条件指定、ID 保護機能、アクセスレビュー、企業内の重要リソースへのアクセス管理（ PIM ）など、エンタープライズ向けの高度なセキュリティ対策が可能です。Premium P2 にしかない機能が本当に必要かどうか、予算と機能面を合わせた検討をおすすめします。

6.まとめ

クラウドサービスを中心に利用していきたい企業にとって、Azure Active Directory は大変便利なサービスです。普段からどの程度活用するかに違いはあっても、今後導入する企業は増えていくと想定されます。

Azure Active Directory にはシングルサインオンやデバイス管理、多要素認証などさまざまなメリットがあります。エディションごとに機能が違うため、どのような使い方をするのか熟慮したうえで最適な活用方法を見つけてください。

また、今後 DX 化が進む中でゼロトラストセキュリティモデルの導入や、オンプレミス環境との統合が進むことが予測されます。それに伴い、業務の効率化、生産性の向上などが期待できます。現状どうしてよいかわからないなど課題の分析や、今後の導入についてなど是非お気軽にお問い合わせください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Azure Active Directory ID

• 

  Azure Monitorとは？クラウド環境の最適化を実現する監視ソリューションを徹底解説

• 

  VDIとシンクライアントの違いとは？VDIを導入するメリットも合わせて解説