セキュリティとガバナンス

Azure ADとオンプレミスのActive Directoryとの違い

Microsoft Azure(クラウドプラットフォームサービス)上の認証サービスとして提供されているAzure AD。2000年にリリースされたWindows 2000 Serverで初めて実装されたActive Directory。両方ともID管理やシングルサインオン(Single Signe On:SSO)を可能にするための機能を提供し、数多くの企業が使用しています。しかし、Azure ADとActive Directoryとでは何が違うのか?を、明確に理解している方は少ないかもしれません。もしくはActive Directoryを運用していてAzure ADに興味がある方もいらっしゃるのではないでしょうか。

本記事では、Active DirectoryとAzure ADの違いについてご紹介します。

azure-ad-and-active-directory

クラウド時代に求められる情報セキュリティとは? 〜Microsoft Defender for Cloudも解説〜

Active Directoryってなに?

まずは、Active Directoryの概要を説明していきます。

1990年代からクライアント/サーバシステム(社内システム用サーバーと複数のクライアントPCを接続するシステム構成)が台頭するようになり、不特定多数のユーザーが同じ社内システムを共有する時代に突入します。社内システムの中には、組織の人間なら誰でもアクセス可能なデータもあれば、一部の人間しかアクセスできない機密性の高いデータもあります。後者のデータにすべての人間がアクセスできてしまうと、セキュリティ上問題になることは言うまでもありません。

そこで、システムやデータごとにアクセス権限がある人かどうかを判断するために「認証」という仕組みが必要です。Active Directoryとは、Windows Serverをベースにした社内システムにこの認証機能を実装する役割があり、「ユーザー名(アカウントID)」と「パスワード」をセットにアクセス管理をするプラットフォームとして一世を風靡しました。

そしてActive Directoryのもう1つの中核的な役割が、ユーザー名やパスワードを何度も入力しなくても済むように、ユーザー1人あたりがアクセスできる社内システムはデータ範囲を「ドメイン」として管理し、1回の認証作業だけでドメイン内の社内システムやデータにアクセスできるようにすることです。これをシングルサインオンと呼び、2000年当時Active Directoryの目玉機能として紹介されました。

2つ以上の異なるドメインはどうなる?

2000年代前半になると、国内企業のM&A取引件数が急速に増加します。1980年後半には年間平均232件だったM&Aは、2000年代残半では年間平均1497件に達しました。あらに、2017年には3,000件を超え過去最高をマークしています。M&A取引件数が増えると困ることが1つ。会社が合併してもActive Directoryのドメインは合併できずに、別々に運用されたままになるという問題でした。そこでActive Directoryには、信頼関係という機能によって2つのドメインを結び付けて、両方のドメインにシングルサインオンが可能な方法を用意しています。

国内外のIoT先進事例100選
Azure Cosmos DB 自習書 - Azure Cosmos DB Gremlin API 編 -

Azure ADってなに?

すでに察している方も多いでしょう。Azure ADとは、前述したActive Directoryをクラウドベースで提供するマイクロソフトが提供する認証サービスであり、Azure Active Directoryの略称です。

近年では社内システムに限定せず、ビジネスシーンでのシステム使用範囲をクラウドサービスに拡大するケースが増えています。クラウドサービスは「いつでもどこでもアクセス可能」「拡張性/収縮性が高く柔軟」「物理メンテナンスが不要」などのメリットから急速に普及して、今では従来の社内システム環境(オンプレミス)とクラウドサービスを複合した複雑な環境が構築されています。

Active Directoryではクラウドサービスと社内システムのシングルサインオンを実装するために、ADFS(Active Directory Federation Service)という機能が備わっています。しかし、この機能ではADFSサーバーやADFSプロキシ、DirSyncやForeFrontなど複数のサーバーを社内に立ち上げる必要があり、管理が複雑になるという難点があります。

そこで登場したのがAzure ADです。Microsoft Azure上で提供される認証サービスなら、Active DirectoryのADFSでは必要だった複数のサーバーを、Azure ADを契約するだけで画一的に提供されるため、クラウドサービスにおけるシングルサインオンをごく簡単に実装できます。

さらに、Active Directoryにて従来から管理してきたドメインとAzure ADドメインを連携させることも可能なので、全体的なシングルサインオンも可能にします。

Microsoft Azureとは何か?入門から応用まで徹底解説

クラウドとは何か?Azureとは何か?導入のメリットや構成、コストに至るまでの基礎的な知識から、どのように活用すべきかまでを徹底的に解説しています。

Microsoft Azureとは何か?入門から応用まで徹底解説

ブログ記事を見る

Azure ADとActive Directoryを連携させるには?

では、Azure ADとActive Directoryを連携させるにはどうすればよいのか?最後にその方法をご紹介し、終わりにしたいと思います。

2つの異なる認証サービス・認証システムを連携するには「Azure AD Connect」と呼ばれる、認証基盤統合ツールを使用します。

設定手順を大まかに説明しますと、ドメインに参加済みのAzure AD Connectサーバーを用意し、ローカル管理者としてログインしてダウンロードページよりAzure AD Connectを入手します。ダウンロードファイルを実行したら「簡単設定を行う」を選択し、Azure AD Connectに必要な設定を自動的に行います。

次に、Azure ADに接続するために全体管理者権限を持ったユーザー情報を入力して、さらにActive Directoryドメインに接続するためにEnterprise Admins権限を持つユーザー情報を入力します。最後に、インストールを実行して完了です。

このように、非常にシンプルな方法でAzure ADとActive Directoryを連携し、オンプレミスとクラウドをまたいだシングルサインオン環境を構築できます。2つの認証サービス・認証システムを連携することで労力とコストを抑え、利便性とセキュリティ性の高い認証基盤が作れますし、IT管理者の負担も軽減されます。ちなみにOffice 365Dynamics 365を契約している場合、すでにAzure ADの使用権限が付与されているので、該当する場合はぜひAzure ADとActive Directoryの連携を行ってみてください。

Microsoft Azure製品カタログ
  • fb-button
  • line-button
  • linkedin-button

関連記事

企業のIDおよびアクセス管理のリスクを軽減
セキュリティとガバナンス
Azure Active Directoryで実現するセキュアなクラウド
セキュリティとガバナンス
今さら聞けないID管理システムとは?その役割や機能について
セキュリティとガバナンス
内部犯を生まないための特権アクセス管理 ── リアルタイムな記録と監視を実現
セキュリティとガバナンス
ハイブリッドクラウド環境における高速でセキュアなActive Directoryのリカバリ
セキュリティとガバナンス
Active Directory&Azure AD “ハイブリッドAD”環境の落とし穴
セキュリティとガバナンス
特権アカウントのガバナンスとは?
セキュリティとガバナンス
特権IDによるアクセスを制御、モニタ、記録する方法とは?
セキュリティとガバナンス
認証基盤とは?その概要や目的、全体像を解説
セキュリティとガバナンス
Azure AD ConnectによるIDaaSの構築
セキュリティとガバナンス
特権IDとは?管理不備が引き起こす問題や適切な対策について
セキュリティとガバナンス
認証基盤・ID管理でハイブリッドクラウド環境のセキュリティを構築
セキュリティとガバナンス
Azure AD Premiumとは? Microsoft 365のセキュリティを強化するには
セキュリティとガバナンス
Azure Active Directory(AD)とは?その機能や価格もご紹介
セキュリティとガバナンス
Active DirectoryとAzure ADによるハイブリッドクラウドの管理とセキュリティ
セキュリティとガバナンス
シングルサインオンとは?その仕組みや種類を解説
セキュリティとガバナンス
RELATED SITES

関連サイト

CONTACT

サイト掲載の
お問い合わせ

TOP