クラウドサービスが台頭するようになるまで、企業は長らく、閉じられたネットワークの中で社内システムを構築してきました。そこに欠かせなかった仕組みが「Active Directory(AD)」です。
Active Directoryはドメイン技術によって、社内のさまざまなサーバーへのアクセスを一元的に管理できます。これによりユーザーは一度のログイン(サインイン)でドメインに参加しているすべてのサーバーへのアクセスが可能になり、いわゆる「シングルサインオン(Single Signe On:SSO)」を実現しました。
近年になり企業のシステム環境は一変し、クラウドサービスをビジネスで頻繁に使用するようになってから、オンプレミスとクラウドが混同し、従来のActive Directoryだけではシステム環境全体におけるシングルサインオンの実装が難しくなりました。
そこで登場したのが、マイクロソフト社が提供するID の管理とセキュリティ保護のためのユニバーサル プラットフォーム「Azure Active Directory(以降、Azure AD)」です。
本記事では、Azure ADとは一体何なのか?どのような仕組みで、何ができるのか?といった概要やライセンスおよび価格をお伝えします。
Azureの概要やメリットについては、下記の記事で解説しています。ぜひ本記事と併せてご覧ください。
★詳しくはこちら:
Microsoft Azureとは|何ができる?入門内容からわかりやすく解説
AzureADとは?
冒頭での説明ですでに察している方も多いでしょう。そうです、Azure ADとは従来の社内システム環境において使われていたActive Directoryのクラウド版であり、クラウドベースでのID管理やシングルサインオンを実現するための技術・仕組み・サービスです。
なぜクラウドサービスでシングルサインオンを実装する必要があるのでしょうか?主な理由は以下の通りです。
シングルサインオンを実装すべき理由1. パスワード管理を簡単にするため
現在は、複数のクラウドサービスを使用するケースが多くなっています。Microsoft 365などの生産性向上ツール、業務アプリケーションであるMicrosoft Dynamics、Boxなどのクラウドストレージを使うのは当たり前で、ビジネスシーンに合わせてサービスを使い分けている企業がほとんどです。
その際に重要なのが、複雑なパスワードをサービスごとに設定することです。同一のパスワードを設定した場合、セキュリティレベルが低い事業者のサービスがなんらかの問題を発生した際に、ほかのサービスへも容易にアクセスできるようになってしまいます。
故にユーザーは常に複数のパスワードを管理する必要があります。また、サービスへログインする度に認証作業が必要になることから、対応しているパスワードを確認して入力するという作業は、想像以上に時間や手間がかかることも事実です。
シングルサインオンがあれば、そうした煩雑な認証作業が容易になります。1回の認証で複数のシステムの利用が可能になるため、ビジネスをスムーズに促せるでしょう。
シングルサインオンを実装すべき理由2. クラウドサービスのセキュリティ強化のため
複数のクラウドサービスを利用するとビジネスの効率性が向上することは確かですが、同時にセキュリティリスクが増大しています。サイバー犯罪者は常に不正アクセスのチャンスを狙っており、一度パスワードが漏えいすればあっという間に被害は拡大します。
そこで、セキュリティ強化のためにシングルサインオンを実装します。1つのパスワードでサービス全体にアクセスできれば、セキュリティを意識しながらのパスワード管理が可能です。各サービスにユニークかつ複雑なパスワードを設定しても覚えるべきパスワードは1つなので、セキュリティが大幅に強化されます。
以上のような理由から、クラウドサービスへのシングルサインオンが多くの企業で必要とされており、それを実現するためのサービスとしてAzure ADが注目されています。
AzureとAzure ADの関連性
Azureとは、Microsoftが管理しているデータセンターを通じてSaaS、PaaS、IaaSの各サービスを提供するクラウドのコンピューティングサービスです。
Azureはクラウド上でアプリケーションの実行やストレージの管理、機械学習、IoTなど200種類以上のさまざまなサービスを提供しています。
一方Azure ADは、冒頭でもお伝えした通りActive Directoryのクラウド版です。Azure ADを利用することで、Microsoft 365の各種アプリやAzure portalへのアクセス管理、アカウント管理が可能になります。
オンプレミスのActive Directoryとの違いとは
従来、企業がオンプレミスで利用していたActive DirectoryとAzure ADの違いはどこにあるのでしょうか。両者の違いを、5つの視点から解説していきます。
利用用途の違い
まずは、利用用途による違いです。
オンプレミスのActive Directoryは、社内リソースを管理する用途で利用します。自社サーバーを用意し、社内サーバーで運用しているシステムやアプリへの認証を行います。
一方Azure ADは、Microsoftが提供するクラウドサービスの認証とアクセス管理が主な機能です。
デバイス管理の違い
オンプレミスのActive Directoryは、企業内のネットワークに接続されたデバイスの管理に特化しています。主に社内従業員向けのデスクトップパソコンやノートパソコン、プリンターなどのデバイスを「ポリシー機能」にのっとって一元管理し、セキュリティを強化しています。
一方、Azure ADは、Microsoft Intuneというサービスと連携することで、デバイスとアプリの管理が可能です。インターネット環境があれば、自宅や外出先など場所を問わずアクセス可能です。また、Microsoft Intuneにはセキュリティを向上させる機能も含まれているため、リモート環境でのセキュリティリスクも軽減できるでしょう。
認証プロトコルの違い
オンプレミスのActive DirectoryとAzure ADは、認証プロトコルにも違いがあります。
Active Directoryでは、既定のKerberosを利用することが一般的です。
一方のAzure ADでは、以下のようなインターネットで広く利用されるプロトコルが使用されます。Kerberosには、対応していないため注意が必要です。
- SAML
- WS-Federation
- OpenID Connect
- OAuth
サーバー構成の違い
サーバーを独自に構成するかしないかも大きな違いの1つです。
オンプレミスのActive Directoryは、企業や組織が自らサーバーを設置・運用する必要があります。シングルサインオンを実装したい場合、Active Directoryのフェデレーションサービス用のサーバーアプリケーションのプロキシサーバーなど、用途に合ったサーバーの構築が必要です。
Azure ADでは、Microsoftが提供するサーバーを利用できるため、自らサーバーを設置・運用する必要がありません。
また、2段階認証やシングルサインオンの機能がすでに搭載されているため、Azureポータル上で機能を利用するだけで、要件を達成できます。
機能追加の容易性の違い
柔軟に機能を追加できるかについても、オンプレミスのActive DirectoryとAzure ADに違いがあります。
オンプレミスのActive Directoryは、機能の追加をする場合、専用サーバーを新たに追加しなくてはなりません。ハードウェアの購入や機能の実装はもちろん、運用コストも増大することになります。
しかしAzure ADは、Azureポータルで必要な機能を追加で設定するだけです。機能追加の容易性はAzure ADの方が優れています。
AzureADの機能
Azure ADでシングルサインオン機能を実装するためには、認可と認証、そして多くのクラウドサービスと連携可能とするためのサービスへのアクセスといった機能が求められます。そこで、Azure ADは具体的に次のような機能を提供しています。
SSO(シングルサインオン)
記事の最初でも解説しましたが、SSOは、一度のログインでドメインに参加しているすべてのサーバーへのアクセスが可能になる機能です。AzureADではSSO機能が利用できます。
SSOを利用することで、セキュリティリスクを抑えながら、複数のクラウドサービスと連携が可能です。業務効率向上のためにも、SSOを積極的に活用しましょう。
★詳しくはこちら:
シングルサインオン(SSO)とは? 仕組みやメリット・デメリットを解説
ユーザー/グループ管理
Azure ADで認証や認可を制御するためのベースであり、ユーザーやグループを管理するための機能です。
アプリケーション管理
Azure ADで認証されたユーザーに対し、特定のアプリケーションへのアクセスを制御するための機能です。
現時点で、Azure AD経由でシングルサインオンが可能なクラウドサービスおよびオンプレミスシステムは2,000種以上あります。さらに、Microsoft Azure上に作成したWebサイトやオンプレミスで外部公開用に運営しているWebサイトへのアクセスも、Azure AD経由で行えます。
デバイス管理
ユーザーが使用しているデバイスを登録し、認可したデバイスからのアクセスだけを許可してセキュリティを強化する機能です。管理者が意図していないデバイスからのアクセスを制御し、シャドーITにも有効となります。
多要素認証
パスワードリスト攻撃など正攻法での不正アクセスに対して、セキュリティを強化するための機能です。電話やSMS、ワンタイムパスワードなど複数の認証方式でのログインを強制することで、不正アクセスのリスクを下げることができます。
アクセスログ
ユーザーがAzure AD経由で行った認証やサービスへのアクセスログを記録する機能です。Webブラウザを通じてレポートが確認でき、不正アクセスに関するレポートも同時に確認できます。
オンプレミスの Active Directoryとの連携機能
Azure ADは、既存のオンプレミスのActive Directoryと連携することが可能です。連携させるには、Azure AD Connectの機能を利用します。
一部のシステムをオンプレミスのサーバーに残したままクラウド化するハイブリッドクラウドの構築を行う場合に、Azure AD Connectを利用します。
これにより、徐々にクラウドへの移行を進めることができます。また、ハイブリッド環境での運用もサポートしているため、柔軟な導入が可能です。
AzureADを導入するメリット
ここまでAzure ADの機能を紹介しましたが、実際に導入した時にどのようなメリットがあるのか見ていきましょう。
コストの削減
Azure ADを導入するメリット1つ目は、企業がオンプレミスのActive Directoryを運用するために必要とされているサーバーの購入や保守コストを削減できる点です。
さらに、Azure ADの利用料は利用した分だけ支払う従量課金制のため、無駄なコストはかかりません。これにより、中小企業から大企業まで、あらゆる規模の企業がコスト効率の高いアカウント管理を実現できます。
規模の拡張・縮小が簡単
Azure ADはクラウド上で提供されるため、企業の規模に合わせて柔軟にサービスを拡張・縮小することが可能です。
すでにこの記事でも解説しましたが、オンプレミスのActive Directoryで新たな機能を追加する際、専用のサーバーを構築する必要があります。サーバーを設置するための設計や運用のために、さらにコストがかかるでしょう。
Azure ADでは、Azureポータル上で設定を行うだけで、短時間で機能の拡張・縮小が可能です。日々進化するIT業界において迅速さと柔軟性が求められるため、この点はAzure ADの大きなメリットといえます。
作業効率の向上
Azure ADのシングルサインオンを利用し、ユーザーが1度のログインで複数のクラウドアプリケーションにアクセスできることもメリットの1つです。これによりパスワードの入力回数を削減し、作業効率の向上が見込めます。
サービスやアプリごとに、複数のIDやパスワードを覚える必要がなくなるとともに、毎回パスワードを入力する手間も省けます。
管理者の業務負担軽減
Azure ADを利用することで、作業者だけでなく管理者の業務負担を減らせることもメリットです。
オンプレミスのActive Directoryでは、サーバーの管理やセキュリティの設定、バックアップなどの業務が必要ですが、Azure ADではこれらの作業が自動化されています。管理者は簡単にアクセス管理やセキュリティ設定を行うことができ、より戦略的な業務に集中できるようになるでしょう。
またパスワードを忘れたとき、管理者に連絡してパスワードを変更するケースも減るため、管理者にも作業者にとってもメリットが大きいです。
ハイブリッドワークに対応
近年、リモートワークやフレキシブルな働き方が増えていますが、Azure ADはこれに対応した環境を提供してくれることもメリットです。
オンプレミスのActive Directoryは、社内ネットワークへの接続を強いられるため出社することが前提となっていました。Azure ADを利用することで、従業員がオフィス内だけでなく、リモートからも安全にアクセスできるように設計されています。
セキュリティの向上
Azure ADは、マイクロソフトの高度なセキュリティ対策と統合されていることも大きなメリットです。
多要素認証や条件付きアクセスなどの強力なセキュリティ機能により、不正アクセスやデータ漏えいなどのリスクを軽減します。また、セキュリティの向上を実現するための高度な監査ログやレポート機能も備えているため、セキュリティ対策を強化する上でもAzure ADの利用が有効です。
Azure ADを導入するデメリット
Azure ADの導入には多くのメリットがありますが、一方でいくつかのデメリットも考慮すべきです。
ユーザー環境の変化
Azure ADを導入すると、従来のオンプレミスのActive Directoryからクラウド環境へ移行や併用をすることなるため、作業者の作業手順が変わる可能性が高いです。
特に、既存のシステムやアプリケーションとの連携において、設定やアクセス権の調整が必要となる場合があります。
従業員への周知や教育、サポートが必要になるため、初期段階では一時的な業務負担が発生することが考えられます。
障害が発生した場合の影響
Azure ADを管理しているデータセンターなどで異常が発生した場合に、サービスへのアクセスができなくなることもデメリットです。
オンプレミスのActive Directoryで異常が発生した場合は自社で対応できますが、Azure ADの場合は、Microsoftの対応を待つしかありません。
しかしAzure ADは、データセンターで異常が起きても、複数のデータセンター間で素早く通信を切り替えることでサービスの継続性を保証しています。
手動での管理業務が増加する可能性がある
Azure AD導入により、管理業務の自動化ができると解説してきました。しかし、Azureに対応していないアプリやシステムのアクセス管理については、手動で行う必要があります。これにより、逆に手動での管理業務が増加するということがデメリットとして挙げられます。
また、Azure AD導入直後はクラウド環境で設定変更を行うため、管理者は新しい環境に慣れる必要があり、一定の学習コストがかかるかもしれません。導入直後は、管理者への使い方に関する問い合わせやアカウントに関する質問が増えることも把握しておく必要があります。
一定の専門知識が必要
Azure ADは高度なセキュリティ機能や認証プロトコルを提供していますが、これらの機能を最大限に活用するためには一定の専門知識が必要です。
特に、セキュリティ設定や条件付きアクセスの構成、アプリケーションとの統合などは、理解と専門的な知識が求められます。そのために、Azure ADの知識だけでなくAzureサービスに関する知識も必要となります。
社内の人材だけで対応が難しい場合は、社外と連携する必要があるため、さらにコストがかかるでしょう。
AzureADのプランと料金
Azure ADを使用するに当たって気になるのは、その料金ではないでしょうか。Azure ADは「Free」「Premium P1」「Premium P2」「Microsoft Entra ID」
の4つのエディションが用意されています。
※2023年07月11日に、Microsoft Entra IDはAzure Active Directory (Azure AD) の新しい名前となると発表がありました。2023年10月1日から名称が変更となります。
| Free | Premium P1 | Premium P2 | Microsoft Entra ID |
| 追加料金不要 | 750円/ユーザー/月 | 1,130円/ユーザー/月 | 880円/ユーザー/月 |
※ 2023年7月22日時点。詳細はMicrosoftのホームページをご確認ください。
Free
Microsoft Azure、Dynamics 365、Office 365、Intune、Power Platformなどのクラウドサービスサブスクリプションに含まれています。つまり、これらのサービスを契約している企業は、自動的にAzure ADを使用できます。
PremiumP1
Microsoft 担当者、Open Volume License プログラム、Cloud Solution Providers プログラムを通じて利用でき、セキュリティ機能が強化されています。
Azure Active Directory P1 (Microsoft Entra ID P1 ) は単体製品として購入できますが、大企業向けの Microsoft 365 E3 と中小規模企業向けの Microsoft 365 Business Premium にも含まれています。
PremiumP2
Premium P1のすべての機能と、脆弱性とリスクの高いアカウントの検出や、リスクに基づく条件付きアクセスポリシーなどさらに高度なセキュリティ機能が実装されています。
Azure Active Directory P2 (Microsoft Entra ID P2 になります) は単体製品として購入できますが、大企業向けの Microsoft 365 E5 にも含まれています。
Microsoft Entra ID Governance
「誰が、どのサービスに、どのような権限を持つのか」といったサービスへのアクセス権限を可視化する、IDガバナンス機能に特化したサービスです。
Entra ID ガバナンスは ID ガバナンスの高度な機能を集めたセットであり、Microsoft Entra ID P1 と P2 のお客様が購入できます。
オンプレミスADからAzure ADへ移行する際の注意点
多くの企業で、オンプレミスADからAzure ADへの移行をすでに行っていますが、今後移行を検討しているという企業も多いでしょう。そこで、実際に移行を行う際の注意点を5つ紹介します。
段階的に移行する
オンプレミスのActive DirectoryからAzure ADへの移行は、一度にすべてのリソースを移行するのではなく、段階的に進めることが重要です。
まずはテスト環境や一部のユーザーやデバイスから始めて、移行プロセスを確認・評価しましょう。段階的に移行していくことで、リスクを最小限に抑えながら安全な移行を実現できます。
セキュリティー対策と障害対策が必要
Azure AD移行時には、セキュリティ対策と障害対策を万全に準備することが重要です。
セキュリティ対策では、データの暗号化や多要素認証などの強化を行い、セキュリティレベルを向上させることが求められます。また障害対策では、移行中のデータのバックアップや復元計画を立てておくことで、予期せぬ問題にも迅速に対応できます。
導入後の運用について検討しておく
移行が完了した後に、どのように運用するかについて検討することが重要です。
特に、ユーザーや管理者の学習や教育などのサポート体制を整えることで、新しい環境への適応をスムーズに進められます。適切に継続して運用していくためには、教育だけでなくスキルのある人材を採用するという選択肢もあります。
移行を検討する段階で、運用方法についても検討しましょう。
オンプレミスADではできるがAzureADではできない機能もある
AzureADはクラウド環境で提供されるため、オンプレミスのActive Directoryとは機能面で一部の違いがあります。
Azure ADでは、オンプレミスのActive Directoryで利用されているKerberos認証やLDAP認証といったプロトコルに対応していないため、グループポリシーの設定など利用できない機能があります。
Azure AD移行前に、使える機能かどうかを確認し、検証することが重要です。
オンプレミスADからAzure ADへ移行するには
オンプレミスADからAzure ADへ移行する注意点を踏まえて、実際に移行する手順を解説します。
Azure AD Connectを利用する
オンプレミスのActive DirectoryからAzure ADへ移行する際は、Azure AD Connectを使用しましょう。Azure AD Connectの機能は無料で利用することができます。
Azure AD Connectは、オンプレミスで管理しているIDをAzure ADに接続し同期するためのサービスです。オンプレミスのサーバーに、Azure AD Conecctをインストールして同期を行います。また、ユーザーアカウントやグループ情報を自動的に同期させることで、管理の手間を軽減します。
移行のための5ステップ
移行を段階的に進めるために、以下の5つのステップを順序立てて実施しましょう。
①MicrosoftMicrosoft idFixツールでユーザー情報を事前チェック
Azure ADに移行する前に、Microsoft idFixツールを使用して、オンプレミスのActive Directory内のユーザー情報を事前チェックします。
重複した情報や不正確なデータを特定し、移行前に修正を行うことで、移行後のログインによるトラブルを最小限に防ぐことができます。
②ハイブリッド構成から始める
次のステップは、オンプレミスのActive Directoryのみの運用から、少しずつAzure ADに移行するハイブリッド構成を目指すことです。
現在、オンプレミスのサーバーのみを利用している企業は、まず社内サーバーで管理しているデータをMicrosoft 365を導入するなど、始められるところから移行を開始しましょう。
一度にすべてのリソースをクラウドに移行するのではなく、段階を踏んでハイブリッドな状態から始めることをおすすめします。
③オンプレADからAzure ADへワークロードを移行
次に、オンプレミスのActive Directory上で管理しているデバイス、アプリ、ユーザーをAzure ADに移行します。ハイブリッド環境が安定したら、重要なワークロードやアプリケーションをAzure ADへ移行しましょう。
移行するアカウント数が多い場合、年単位の時間がかかります。この移行段階では、オンプレミス側にアカウントを追加しないことを徹底しましょう。
また、ユーザーのアカウント情報やアクセス権を適切に移行し、サービスの中断やセキュリティの確保に注意しながら進めることが重要です。
④オンプレミスAD利用の最小化
Azure ADに移行したら、オンプレミスのActive Directoryを徐々に利用しなくなるように調整していきます。
重要な社内システムや移行できないツールに関しては、オンプレミスのサーバーに残したままで、ハイブリッド構成をしなければならないケースも存在します。その場合は完全移行できないため、このステップで終了です。
⑤クラウドへ完全移行
移行プロセスが安定し、必要なデータと機能がAzure ADに移行されたら、最終的なクラウドへの完全移行を行います。オンプレミスのActive Directoryに依存しない環境が確立されれば、クラウドの利点を最大限に活用できるようになります。
流れとしては、移行できるところから計画を立て、検証をした上で少しずつ移行していくことがおすすめです。ここまで説明した手順を参考に、移行計画を立てていきましょう。
AzureADの役立つ追加サービス紹介
Azure ADは、アカウントの認証・管理だけでなく、さまざまな追加サービスを提供しています。サービスにより、さらなるセキュリティと利便性が実現できます。
Azure AD B2C
Azure AD B2Cは、企業や組織が消費者、市民、ビジネス顧客にIDを介してサービスを提供する際に使用するID管理のための機能です。コンシューマー向けのアプリのID管理を行う用途で使用します。
Azure ADが企業の社員向けのID管理サービスであるのに対して、Azure AD B2Cは消費者向けのID管理サービスです。
Amazon、Google、Appleといった外部アプリケーションのIDと連携できることも、Azure AD B2Cの特徴です。
Azure Active Directory Domain Services
Azure AD DSもAzure ADの追加機能の1つで、ドメインコントローラ機能をAzure上で提供するサービスです。
Azureで構築している仮想サーバーやクラウド上のサービスに、Azure ADに登録したアカウントを利用して、ドメインの参加や Kerberos認証、LDAP認証を許可することを目的としています。
従来のオンプレミス環境をクラウドに移行する際や、クラウド環境だけでドメイン機能を利用したい場合に便利なサービスです。
Azure AD Identity Protection
Azure AD Identity Protectionは、高度なセキュリティとAIによる脅威検知を組み合わせたサービスです。
ユーザーやデバイスの認証やアクセスに対してリアルタイムで異常を検知し、不審なアクティビティを監視します。また、不正アクセスやサイバー攻撃の1つでもある総当たり攻撃を自動的にブロックする機能も備えているため、セキュリティ対策としても利用できます。
このサービスの利用には、Azure AD Premium P2ライセンスの契約が必要です。
Azure AD Multi-Factor Authentication
Azure AD Multi-Factor Authentication(MFA)は、Azure AD上で多要素認証を可能にするための機能です。
複数の認証要素を使用してアクセスを確認するため、セキュリティ機能を強化できます。パスワードに加え、SMSやアプリによるワンタイムパスコード、指紋認証などの要素を組み合わせ、不正アクセスやパスワード漏えいによるリスクを大幅に軽減します。
特に、重要なアカウントや機密情報へのアクセスにMFAを適用することで、企業のセキュリティ強化が実現できるでしょう。
まとめ
Azure ADは、Microsoft 365やAzureのサービスを利用するための、ID管理やシングルサインオンを実現するクラウドの機能です。
今後、オンプレミスのADをAzure ADに移行する際は、Azure ADについて網羅的に紹介したこの記事の手順や注意点を参考にしてください。移行する際はしっかりとした計画を立てて、少しずつ検証をしながら進めていくことがポイントです。
