Azure Managed Service Column ＜Azure運用コラム＞Azure Active Directory（Azure AD）でできるユーザー管理機能の基本について解説します！

Azure ADが必要とされる背景と、ユーザー管理、グループ管理について

近年、クラウドサービスが普及し、働き方改革、コロナ禍によるテレワークの広まり、 DX の推進を背景として自宅も含め様々なロケーションから企業内のセキュリティエリアへアクセスするケースが増えています。既存のシステムも SaaS へのシフトが進んでいることから、クラウド環境へのアクセス管理、ユーザー管理はセキュリティ面の観点から重要な運用課題となっています。

その中で注目されているのが ID の一元管理ができる Microsoft の Azure AD です。 Azure AD は、クラウドベースのユーザー管理サービスです。ユーザー管理に加え、強固な認証機能や、オンプレミスの Active Directory とも連携し、シングルサインオンや多要素認証など、近年の業務に欠かせない重要な機能を提供します。

本記事では、 Azure AD のユーザー管理に注目し基本機能の概要やサービスについて解説します。

1.Azure ADとは？

Azure AD は ID 情報に含まれるアカウント情報やパスワード情報などを一元的に管理するクラウドサービスです。効率的な一元管理のみならず、セキュリティの向上にも効果的なシステムです。

Azure ADの主な機能

アカウント（ID）管理

各種 SaaS アプリケーションの ID を一元的に管理することができます。 Microsoft 365 のみならず、 Salesforce や Box 、 DocuSign など有名な SaaS アプリケーションをはじめ、多くのアプリケーションとの連携をサポートしています。

認証機能

Azure AD ではシングルサインオンが利用でき、1回の認証で複数の SaaS アプリケーションが利用できます。通常では異なる SaaS アプリケーションを利用している場合、それぞれ別々の認証情報でログインが必要でしたが、シングルサインオンは、一度 Azure AD の ID でログインすることで認証情報を共有し、連携する SaaS アプリケーションを利用できます。

また Azure AD では多要素認証を利用できます。メールアドレスや SMS のみならず、スマートフォンといった他のデバイスを認証に追加することで、より強固に不正ログインを防ぐことができます。

条件付きアクセス管理機能

Azure AD では認証に対して、様々な条件を付加することができます。どこの場所（ IP アドレス）からのアクセスか、デバイスの状態や、どのアプリケーションへのアクセスなのかなどの条件により、アクセス条件を柔軟にカスタマイズすることができます。

オンプレミスのActive Directoryとの違い

オンプレミスの Active Directory では、ユーザー認証に Kerberos 、ディレクトリへのアクセスに LDAP というプロトコルを使用しています。

それに対しクラウドの Azure AD ではユーザー認証に SAML をはじめとする複数のプロトコルが利用できます。またディレクトリへのアクセスには RESTful API という仕組みを使用していることから、よりフレキシブルに利用することができます。

このように認証やディレクトリへのアクセスの仕組みが異なることから Active Directory と Azure AD の情報連携においては、 Azure AD Connect などのツールが必要になります。

Azure ADが注目を集める背景

Azure AD のようなアクセス管理ソリューションは2022年5月に発表された「 Microsoft Entra 」に統合されました。その中でも Azure AD は重要な機能の一部として位置付けられています。

図版出典：Microsoft 公式サイト

Azure AD はクラウド時代におけるゼロトラストセキュリティなど新たなセキュリティ概念を実現するための重要な機能を提供してくれます。近年、不正アクセスによる被害が増えているため、 Azure AD をはじめとするアクセス管理ソリューションへの関心が高まっています。

2.Azure ADユーザーとは？

ここまで Azure AD の基本機能や注目される背景について解説しました。ここからは Azure AD のユーザー管理機能に注目して解説します。

ユーザーの種類について

Azure AD に所属しているユーザーの種類として、「 Member 」と「 Guest 」が存在します。個人アカウントや別テナントの職場または学校アカウント（組織アカウント）を追加した場合、ユーザーの種類は「 Guest 」として追加されます。 Azure のサブスクリプションのサインアップしたユーザーは「 Member 」として登録されます。

ユーザーの作成について

ユーザーを新規に作成するために、新しいユーザーには一つ以上のロールが割り当てられている必要があります。ロールのカテゴリは、クラウドソリューションプロバイダー （ CSP ）ロール、 Azure AD テナントロール、 Azure AD 以外の企業ロールです。

ユーザープロファイルについて

ユーザーにはアカウントやパスワード以外にも様々な情報が含まれます。ユーザーに含まれる情報をプロファイルと呼んでいます。 Azure AD テナントの組織ユーザーであった場合、その組織情報もユーザープロファイルとして付加されます。

ユーザーロールについて

Azure AD のアクセス管理は、ユーザーに対しロールと呼ばれるアクセス権を付与するロールベースの管理形式です。ロールは、アクセス許可の雛形であり様々なタイプがデフォルトで用意されています。作成した Azure AD ユーザーにアクセス権を付与するために、 Azure AD ロールを割り当てます。

このロールはユーザーのみならず、グループや組織に対し紐づけることも可能です。またロール自体をカスタマイズすることもできます。

オンプレミス環境とのユーザー同期について

ここまで解説した、 Azure AD におけるユーザー管理（作成、プロファイル、ロール）の考え方は、オンプレミスの Active Directory と共通です。

ユーザーに対する組み込みロールや、認証機能などには違いはありますが、ディレクトリサービスとしての構成は共通しているため、 Azure AD Connect というツール経由で、オンプレミス環境とパスワードを含めたユーザー情報を同期することができます。

ユーザー情報を同期することで、ユーザーは Azure AD が提供する機能をオンプレミスのアカウント情報で利用することが可能となります。同期プロセスの詳細は Microsoft 公式サイトをご参照ください。

図版出典：Microsoft 公式サイト

3.Azure ADグループについて

Azure AD では管理対象のユーザーをグループとして効率的に管理することができます。

セキュリティ管理の効率化

Azure AD グループを使うことで、個々のユーザーではなく、ユーザーのグループに対してロールを付与できます。

そのことでセキュリティポリシーによってグループを作成し、グループの全メンバーに同じセキュリティレベルを適用できます。これにより、個別管理では煩雑化しがちなセキュリティ管理も、セキュリティレベルによるグループポリシー運用を実現します。

アプリケーション共有による効率化

Microsoft 365 など様々なアプリケーションごとにアクセスポリシーをグループ単位で付与することで、共同作業を効率化することができます。

またグループ機能は組織外のユーザーに対しグループへのアクセス権を付与することができるため、ユーザー単位の場合、組織ドメインに縛られがちなアクセス権も、グループ単位で設定することでより柔軟なアクセスが可能となります。

Azure ADの注意事項

一部のグループは、 Azure AD ポータルで管理できません。

オンプレミスの Active Directory から同期されたグループ、配布リストやメールが有効なセキュリティグループは、 Exchange 管理センターまたは Microsoft 365 管理センターでのみ管理されます。グループ管理機能の詳細については Microsoft 公式サイトをご参照ください。

4.まとめ

本記事では Azure AD の主たる機能について、ユーザー、グループ管理について解説しました。 Azure AD によってユーザー管理が効率化することで生産性の向上も期待でき、合わせてセキュリティの向上にも効果的です。 Azure AD の強みを活かしながら、効率的でセキュアなアカウント管理を実現できます。自社で設定・運用が難しい場合、詳細の導入に当たっては専門家への相談を推奨します。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Azure Active Directory Azure AD

• 

  Azure ADテナントとは？課金の仕組みや運用方法を解説

• 

  Azure Monitorとは？クラウド環境の最適化を実現する監視ソリューションを徹底解説