Azure Managed Service Column <Azure運用コラム>

Azure AD(Azure Active Directory)とは?オンプレADとの違いや機能、エディションをわかりやすく解説

Category: 入門編

2022.03.07

はじめに

ログインするID、パスワードが増えると管理が煩雑になることは、オンプレミスでもSaaSサービスでも変わりません。SaaSなどのクラウドサービスでシングルサインオンやIDの一括管理を実現するのが、Azure Active Directoryです

それでは具体的に、Azure Active Directoryとはどのようなものなのか、機能やできること・できないことなどについて見ていきましょう。 (Active Directory については「Active Directoryとは?メリットやデメリット、使用上の注意点などを解説」をご確認ください)

1. Azure Active Directory とは

Azure Active DirectoryはMicrosoftが提供しているサービスの一つです。以前は、システムはすべて社内サーバーの中にあり、オンプレミスのActive Directoryで一括管理ができていました。

しかし、今では便利なクラウドサービスが増え、業務に使用するSaaSサービスも増えています。それぞれのサービスに都度ログインしていると、IDやパスワードを忘れたり、同じパスワードを設定してセキュリティレベルを下げてしまったりといった問題が発生しかねません。
そのようなクラウドサービス利用時の認証の問題を解消するために、一括で認証情報を管理する便利なサービスがAzure Active Directoryです。

他にもセキュリティレポートをとることで、不正アクセスを検知したり、グループごとの条件付きアクセスを一括で権限管理したりと、使える機能は豊富にあります。エディションによって使える機能が異なるので、エディション選択時には注意しましょう。

また、オンプレミスのActive Directoryとは別物ですが、Azure Active Directoryにユーザー情報を同期させれば両方を管理する必要はなくなります。同期の方法や、変更の反映など細かい所の調整が必要なので、実際に連係させる際は注意して行ってください。

2. Azure Active Directory 導入のメリットとは?

それでは、Azure Active Directoryを導入することでどのような課題を解決できるのでしょうか。導入メリットについて解説します。

2.1 導入・運用におけるコスト面のメリット

Azure Active DirectoryはSaaS型のクラウドサービスとして利用できるため、オンプレミスのActive Directoryのようにハードウェアを調達、構築する必要が無く、初期導入費用が不要です。

また基本的にAzure Active Directory の機能は、Microsoftがメインとして提供するクラウドサービス(Microsoft365等)に含まれているため、サブスクリプションで利用料金を払い続けている限り使い続けることができます。

ハードウェアのメンテナンスや、ユーザー数の増減による拡張、縮小を考慮せず利用でき、オンプレミス環境と比較すると柔軟性に優れています。またAzure Active Directoryには一部有料ライセンスのプランが用意されており、管理するユーザー数に応じ料金が発生します。詳しくは後述するライセンス一覧、またMicrosoft公式サイトをご参照ください。

※参考:Azure Active Directory の価格

2.2 認証基盤としての連携機能による効率面のメリット

Azure Active Directoryは一度の認証でアクセスできるシングルサインオン(SSO)機能を利用し、様々なクラウドサービスと連携する事ができます。これはMicrosoftのサービスのみならず、Microsoft以外のクラウドサービスとも連携する事ができます。

またパスワード以外の情報を認証要素とする多要素認証(MFA)なども利用できることから、認証基盤として高度な機能を効率的に利用できます。

※参考:SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル

2.3 管理者の業務負荷削減のメリット

Azure Active Directoryは、既存のオンプレミスActive Directoryと統合する事が可能です。クラウドとオンプレミスを統合・連携させることで一度のアカウント登録、一度の端末登録で済み、状態を一元的に管理できるので管理者の業務負荷削減の一助となるでしょう。

2.4 セキュリティ向上のメリット

昨今、テレワークやリモートオフィスの活用など場所を問わない働き方が普及したことにより、様々な場所、様々な端末から業務データへアクセスする機会が増えました。比例して不正アクセスも増加し、全体的にセキュリティ事故は増加傾向にあります。

Azure Active Directoryは細かい条件付きアクセス機能や、端末の管理機能を活用することで、外部からのアクセスに対する安全性を強化する事ができます。またアクセスログ、認証ログも一元的に管理できることから不正アクセスの検知・検出をいち早く行う事ができ、セキュリティレベルを向上させることが可能です。

また近年注目されているゼロトラストセキュリティも、Azure Active Directoryが提供する認証機能が要となっており、今後のセキュリティ運用においても導入効果を期待できるサービスと言えるでしょう。

※参考:先回り型のセキュリティをゼロ トラストで取り入れる

3. Active Directory と Azure Active Directoryの違いとは?

Active Directory と Azure Active Directory とでは、アカウントを一括管理しようとする基本的な思想は同じですが、基本的に別物です。使い方と認証方法が異なります。

3.1 使い方の違い

Active Directoryは社内にサーバーを置き、オンプレミスで運用することを想定しています。管理するアカウントも社内リソースを使うための認証情報です。

一方Azure Active Directoryは、インターネット接続したうえでクラウドサービスのアカウント認証を一括で行うものであり、これだけでは社内リソースを管理することはできません。社内サービスも一括で管理するためにはオンプレのActive Directoryと連携する必要があります。

3.2 認証方法の違い

Active Directoryの場合、ディレクトリへのアクセスにはLDAPを使い、認証プロトコルはKerberosです。 それに対してAzure Active Directoryは、ディレクトリへのアクセスにはRESTful APIを使い、クラウドサービスの認証にはSAMLや WS-Federation、OpenID Connect、OAuth などのプロトコルに対応しています。クラウドサービスでよく使われるプロトコルに対応しているので、サービスに応じて使用しましょう。

4. Azure Active Directory の機能

クラウドで使われるAzure Active Directoryは、オンプレミスで使うActive Directoryと似たような機能が多くありますが、サービスにログインするデバイスの管理など、どこからでもアクセスできるSaaSの特徴に合わせた次のような機能が強化されています。

4.1 ID管理

ユーザーが属している組織など基本情報が登録されており、メンテナンス可能なのがID管理です。入退社や人事異動など、部署の改編などにともなう権限付与も個別ではなく一括で行うことができ、ミスを減らせます。

4.2 シングルサインオン

SaaSアプリケーションを使う際にはログインする必要がありますが、サービスが変わる度に認証を要求されていると操作が煩雑になります。そこでSaaSアプリケーションのアカウント情報とAzure Active Directory認証情報を紐づけることで、1度認証するだけで、他のアプリケーションでのログインを省略できます。
すべてのSaaSサービスに対応しているわけではありませんが、GoogleやFacebookなど、よく使われるSaaSサービスにはある程度対応しています。

4.3 デバイス管理

Microsoft Intune というサービスと併用することで、モバイルデバイスとモバイルアプリの管理が行えます。クラウドサービスはインターネットにつながっていれば、どこからでもアクセス可能です。アクセスの利便性はメリットである反面、セキュリティ的には不安要素にもなりえます。

Microsoft Intuneは、Windows Updateなどの更新プログラムが最新であるかを管理する機能、アプリケーションの利用を制限し、危険の高いアプリケーションを使わせない機能、デバイスに対し暗号化設定を適用する機能などがあります。これらの様々なデバイス管理機能を活用することでセキュリティを向上することができます。

尚、Microsoft Intuneは月額ライセンスで個別に購入するか、Microsoft365の一部のプランに含まれています。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

※参考:Microsoft Intuneライセンス・料金

4.4 アクセス制限

グループやユーザー単位で使用できるアプリケーションを指定でき、権限がないアプリケーションは表示されません。特定のアプリケーションを使いたい場合は個別に申請してもらうことになるので、誰が何を使用しているかを明確に管理することができます。

このような標準的なアクセス制御に対し、さらに細かい条件を指定できるのが、条件付きアクセス機能です。

Azure Active Directory はクラウド型サービスなので、インターネット上のすべての認証リクエストを受け取ってしまいます。つまり従来のオンプレミス環境よりも、常に脅威に晒されていることになります。このような脅威に対処するため、誰が、いつ、どのデバイスからアクセスし、どのようなアプリケーションを利用したのかを厳密に管理する必要があります。条件付きアクセスはユーザーがアクセスした際に、条件に合致するかの判断を行い、合致するものに対し認証権限を付与する機能です。

例えば、Microsoft Intuneで指定した基準に準拠しているデバイスを条件にする、指定したIPアドレス以外からのアクセスには多要素認証を求める、ログインの試行回数が多いアカウントからの認証を拒否する等、詳細の条件を指定することができます。
このような条件付きアクセス機能はAzure Active Directory Premium P1以上の有料ライセンスで利用できます。ライセンスや利用料金に関する詳細は公式サイトをご確認ください。

※参考:Azure Active Directory ライセンス・料金

4.5 オンプレADとの連係機能

オンプレミスのActive DirectoryとAzure Active Directoryは別物ですので、オンプレのシステムとクラウドサービスを両方利用しようとするとIDの二元管理となり煩雑です。
オンプレミスのActive Directoryの情報をAzure Active Directory同期することで、同じアカウントをクラウドとオンプレミスとで利用することができ、ユーザーはシステムがどこにあるかを意識せずに利用できるようになります。

ユーザー情報の同期方法は既存の環境によって様々ですが、オンプレミスActive DirectoryとAzure Active Directoryとの連携はAzure AD Connectというツールを利用して同期を行います。Azure AD Connectは同期方向がAzure ADからの一方向となるため、ユーザー情報の上書きが発生してしまう場合があり、運用上注意が必要です。

またオンプレとの環境統合にあたっては、オンプレADの主要機能をクラウド上で利用できる、Azure AD DSというPaaS(サービスとしてのプラットフォーム)サービスへリプレイスすることを推奨します。

Azure AD DSは、オンプレADとの互換性や運用におけるAzure ADとの親和性、またハードウェアのメンテナンスに囚われないクラウド環境のメリットを享受する事ができます。是非、専門家のご支援と共にご検討ください。

5. Azure Active Directory の4つのエディション

エディションによって使える機能が異なるので、どこまで使いたいかを検討したうえで契約しましょう。

企業でAzure Active Directoryを使用する場合は、基本的にPremium P1かPremium P2が推奨されています。また、有償版を利用する場合ライセンスはユーザー単位となります。ユーザー分のライセンス購入が必要となるので、ユーザー数をもとにあらかじめ金額を試算しておくと安心です。

以下がそれぞれのエディションの特徴になります。それぞれの違いをまとめていますので、合わせてご覧ください。

主な機能 Free Office365 Premium P1 Premium P2
シングルサインオン
オンプレミスの AD 同期
レポート

詳細

詳細
セルフパスワードリセット
※1
※1
多要素認証(MFA)
不正アクセスのアラート
アプリケーションプロキシ
SLAの適用
※2
※2
条件付きアクセス
信頼できるIPアドレス制御
リスクベース条件付きアクセス
IDの保護機能
アクセスレビュー
Privileged Identity Management (PIM)

※1 Microsoft 365 Business Standard 以上のサブスクリプションで利用可能
※2 Azure ADとしてのSLAについて記載(付随する商用サービスのSLAはリンク参照)

※参考:Azureサービス レベル アグリーメント

Free

Free エディションは、Azure、Dynamics 365、Intune、Power Platformなどの商用サービスのサブスクリプションに含まれており、Azure AD機能単体では無償のプランです。

Azure ADに対するSLAや、セルフサービスによるパスワードリセット(SSPR)はありません。近年ではシングルサインオンの制限が撤廃されるなど、Freeでも包括的に利用できるようになりました。

Office365

Office 365エディションは Free エディションに加え、Office 365 E1、E3、E5、F1、F3 が持つAzure AD機能を基盤とした、アイデンティティ・アクセス管理、情報の保護、脅威対策を利用する事が可能です。詳しくはOffice365の機能をご参照ください。
※Basicエディションは2019年6月末に販売終了となりました。

Premium P1

FreeやOffice365エディションと比較すると使える機能が大幅に増え、企業でAzure Active Directoryを利用する際の必要な機能がそろったエディションです。不正アクセスアラート、アプリケーションプロキシ、SLA適用、条件付きアクセスなど、セキュリティ面もが充実したエディションです。

Premium P2

Azure Active Directoryが提供するすべてのサービスを利用できるエディションです。

Premium P1と比較すると、リスクベースの高度な条件指定、ID保護機能、アクセスレビュー、企業内の重要リソースへのアクセス管理(PIM)など、エンタープライズ向けの高度なセキュリティ対策が可能です。Premium P2にしかない機能が本当に必要かどうか、予算と機能面を合わせた検討をおすすめします。

※参考:Azure Active Directory の価格

6.まとめ

クラウドサービスを中心に利用していきたい企業にとって、Azure Active Directoryは大変便利なサービスです。普段からどの程度活用するかに違いはあっても、今後導入する企業は増えていくと想定されます。

Azure Active Directoryにはシングルサインオンやデバイス管理、多要素認証などさまざまなメリットがあります。エディションごとに機能が違うため、どのような使い方をするのか熟慮したうえで最適な活用方法を見つけてください

また、今後DX化が進む中でゼロトラストセキュリティモデルの導入や、オンプレミス環境との統合が進むことが予測されます。それに伴い、業務の効率化、生産性の向上などが期待できます。現状どうしてよいかわからないなど課題の分析や、今後の導入についてなど是非お気軽にお問い合わせください。

Azure設計・構築を任せたい

Azure構築サービス

Azure構築サービス

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    サービスの詳細をご覧いただけます。

Azure導入個別相談会(無料)

Tag: Azure Active Directory

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php