クラウドサービスが台頭するようになるまで、企業は長らく、閉じられたネットワークの中で社内システムを構築してきました。そこに欠かせなかった仕組みが「Active Directory(AD)」です。Active Directoryはドメイン技術によって、社内のさまざまなサーバーへのアクセスを一元的に管理できます。これによりユーザーは一度のログイン(サインイン)でドメインに参加しているすべてのサーバーへのアクセスが可能になり、いわゆる「シングルサインオン(Single Signe On:SSO)」を実現しました。
近年になり企業のシステム環境は一変し、クラウドサービスをビジネスで頻繁に使用するようになってから、オンプレミスとクラウドが混同し、従来のActive Directoryだけではシステム環境全体におけるシングルサインオンの実装が難しくなりました。そこで登場したのが、マイクロソフト社が提供するID の管理とセキュリティ保護のためのユニバーサル プラットフォーム「Azure Active Directory(以降、Azure AD)」です。
本記事では、Azure ADとは一体何なのか?どのような仕組みで、何ができるのか?といった概要やライセンス及び価格をお伝えしたいと思います。
Azure ADとは?
冒頭での説明ですでに察している方も多いでしょう。そうです、Azure ADとは従来の社内システム環境において使われていたActive Directoryのクラウド版であり、クラウドベースでのID管理やシングルサインオンを実現するための技術・仕組み・サービスです。
なぜクラウドサービスでシングルサインオンを実装する必要があるのでしょうか?主な理由は以下の通りです。
理由1. パスワード管理を簡単にするため
今では、複数のクラウドサービスを使用するケースが多くなっています。Office 365などの生産性向上ツール、業務アプリケーションであるMicrosoft Dynamics、Boxなどのクラウドストレージを使うのは当たり前で、ビジネスシーンに合わせてサービスを使い分けている企業がほとんどです。
その際に重要なのが複雑なパスワードをサービスごとに設定することです。同一のパスワードを設定した場合には、セキュリティレベルが低い事業者のサービスがなんらかの問題を発生した場合に、他のサービスへも容易にアクセスできるようになってしまいます。
故にユーザーは常に複数のパスワードを管理する必要があります。また、サービスへログインする度に認証作業が必要になることから、対応しているパスワードを確認して入力するという作業は、想像以上に時間や手間がかかることも事実です。
シングルサインオンがあれば、そうした煩雑な認証作業が容易になります。一回の認証で複数のシステムの利用が可能になるためスムーズなビジネスを促せます。
理由2. クラウドサービスのセキュリティ強化のため
複数のクラウドサービスを利用するとビジネスの効率性が向上することは確かですが、同時にセキュリティリスクが増大しています。サイバー犯罪者は常に不正アクセスのチャンスを伺っており、一度パスワードが漏えいすればあっという間に被害は拡大します。
そこで、セキュリティ強化のためにシングルサインオンを実装します。1つのパスワードでサービス全体にアクセスできれば、セキュリティを意識しながらのパスワード管理が可能です。各サービスにユニークかつ複雑なパスワードを設定しても覚えるべきパスワードは1つなので、セキュリティが大幅に強化されます。
以上のような理由からクラウドサービスへのシングルサインオンが多くの企業で必要とされており、それを実現するためのサービスとしてAzure ADが注目されています。
Azure ADの機能
Azure ADでシングルサインオン機能を実装するためには、認可と認証、そして多くのクラウドサービスと連携可能とするためのサービスへのアクセスといった機能が求められます。そこで、Azure ADは具体的に次のような機能を提供しています。
ユーザー/グループ管理
Azure ADにて認証や認可を制御するためのベースであり、ユーザーやグループを管理するための機能です。
アプリケーション管理
Azure ADで認証されたユーザーに対し特定のアプリケーションへのアクセスを制御するための機能。現時点で、Azure AD経由でシングルサインオンが可能なクラウドサービス及びオンプレミスシステムは2,000種以上。さらに、Microsoft Azure上に作成したWebサイトやオンプレミスで外部公開用に運営しているWebサイトへのアクセスもAzure AD経由で行えます。
デバイス管理
ユーザーが使用しているデバイスを登録し、認可したデバイスからのアクセスだけを許可してセキュリティを強化する機能です。管理者が意図していないデバイスからのアクセスを制御し、シャドーITにも有効的となります。
多要素認証
パスワードリスト攻撃など正攻法での不正アクセスに対してセキュリティを強化するための機能です。電話やSMS、ワンタイムパスワードなど複数の認証方式でのログインを強制することで、不正アクセスのリスクを下げることができます。
アクセスログ
ユーザーがAzure AD経由で行った認証やサービスへのアクセスログを記録する機能です。Webブラウザを通じてレポートが確認でき、不正アクセスに関するレポートも同時に確認できます。
Azure ADのプランと料金
Azure ADを使用するにあたって気になるのはその料金ではないでしょうか。Azure ADは「Free」「Office 365アプリ」「Premium P1」「Premium P2」の4つのエディションが用意されています。
Free
Microsoft Azure、Dynamics 365、Office 365、Intune、Power Platformなどのクラウドサービスサブスクリプションに含まれています。つまり、これらのサービスを契約している企業は、自動的にAzure ADを使用できます。
Office 365アプリ
Office 365の4つのプラン(E1、E3、E5、F1)のサブスクリプションに含まれており、Freeエディションの機能に加えてユーザーのセルフサービスパスワードリセット機能、SLA(Service Level Agreementなどを提供しています。
Premium P1
Microsoft 担当者、Open Volume License プログラム、Cloud Solution Providers プログラムを通じて利用でき、セキュリティ機能が強化されています。
Premium P2
Premium P1のすべての機能と、脆弱性とリスクの高いアカウントの検出や、リスクに基づく条件付きアクセスポリシーなどさらに高度なセキュリティ機能が実装されています。
<Azure ADの料金>
Free |
Office 365アプリ |
Premium P1 |
Premium P2 |
上記サービスに含む |
上記サービスに含む |
672円/ユーザー/月 |
1,008円/ユーザー/月 |
Azure ADを使ってみよう!
ビジネススピードの向上や高セキュリティの実現など、シングルサインオンへの需要は高まっています。Azure ADがあればクラウドサービスとオンプレミスとまたいたシングルサインオンの実装も可能になります。この機会にAzure ADの使用をぜひご検討ください。