Azure AD ConnectによるIDaaSの構築

Azure AD ConnectによるIDaaSの構築

クラウドサービスのセキュリティは重要です。Azureでは、サイバーディフェンスオペレーションズセンターにおいて、24時間体制でトラフィックを監視し、人工知能を用いてサイバー攻撃に対する防御を実施しています。またサイバー犯罪に関しては、サイバークライムセンターを設置し、米国連邦捜査局(FBI)をはじめとした全世界のあらゆる機関と連携して対策可能です。

さらにAzureのセキュリティにおいて重要なことは、Azure Active Directoryによって、IDの管理や認証システムをアプリケーションから切り離して管理できることです。このようなIDによるセキュリティ管理を提供するサービスを「IDaaS」と呼びます。このIDaaSをベースとして、ビジネスで活用することが多いOffice 365など、オンプレミスとクラウドのアカウント連携を実現する機能が「Azure AD Connect」です。2014年から、AzureはIDaaSの提供を開始しました。

ここでは、AzureがPaaSとともに提供するIDaaSを解説するとともに、Azure AD Connectの概要と機能について整理します。

AZURE AD CONNECTによるIDAASの構築

Azure AD Connectに関連するIDaaSの概要

2000年当時のセキュリティは「境界セキュリティ」と呼ばれていました。

境界セキュリティはどのようなものかといえば、企業内で構築されたネットワークと外部のインターネットの間に、ファイアーウォールを設置して、この壁により外部から悪質なウィルスや不正侵入を防ぐものでした。デバイスと、利用する時間、利用する場所は決められていました。とはいえ、脆弱性を攻撃して社内に侵入する場合もあります。このときはセキュリティソフトなどでウィルスを隔離し、あるいはネットワークを物理的に遮断して社内に拡散することを防いでいました。

しかし、モバイルの利用やテレワーク(在宅勤務)など働き方の多様化、グローバル化により世界中に拠点が散在するようになり、社内という境界はあいまいになりました。デバイスを利用する時間や場所は就業時間内には限られなくなっています。VPNなど専用線の接続によって外部で利用する場合もあり、仕事によってはデバイスを外部に持ち運ぶ必要があります。社員のコンプライアンスを徹底したとしても、外部協力会社の人為的なミスによって重要な顧客データが情報漏えいし、大きな不祥事となる可能性がないとはいえない状況です。

セキュリティの境界が拡大して、あいまいになった現在においては「ゼロトラスト・セキュリティ」の考え方に移行しつつあります。

トラストは「信頼」であり、信頼性ゼロの状態からセキュリティ対策を行うことです。人間を信頼しないといわれると、やや抵抗や不安があるかもしれませんが、悪意のある第三者にデータを盗用されることは大きな問題です。したがって、どのような堅牢なデータハウスやセキュアなシステムであったとしても、「必ずセキュリティは破られる可能性がある」ことを基本とします。たとえばモバイル端末を盗まれるといったような、あらゆる場合を想定して「完全なセキュリティはない」前提で対策を行います。

このゼロトラスト・セキュリティのひとつがAzureのID管理や認証の仕組みです。そして、PaaSの基盤だけでなくAzure AD Connectによって、Office 365などのアカウントを連携させてアプリケーション利用の堅牢性を高めます。

Azure AD Connectとは

IDとパスワードの管理はセキュリティの基本ですが、社内にサーバー室を設けて物理的なサーバー(オンプレミス)のアプリケーションを社内用に使う場合、クラウドのAzureとオンプレミスそれぞれでIDを入力していると非効率です。しかし、Azure AD Connectを利用すると、オンプレミスとクラウドの両方にアクセスできる「ハイブリッドID」を取得できます。このことによってセキュリティ面が強化されるだけでなく、生産性が向上します。

Azure AD Connectを利用すると、次の3つのメリットがあります。

ハイブリッドIDによる効率化

単一のIDによって、オンプレミスのアプリケーションとOffice 365などのクラウドアプリケーションにアクセスできます。ユーザーにとって便利なだけでなく、管理者にとっても煩雑なID管理の省力化が可能です。

手間のかからないデプロイメントの実現

Azure AD Connectによって、サインイン、同期が一元管理でき、デプロイメントの煩雑さを解消します。

最新機能の入手

Azure AD Connectは、ハイブリッドID統合ツールの後継で、DirsyncとAAD Syncでリリースされていたコンポーネントと機能が組み込まれています。今後はオンプレミスからクラウドへの同期で次のような機能の搭載が予定されています。

  • SQL、Oracle、MySQLなどへの接続
  • HR システム(SAP、Oracle eBusiness、PeopleSoftなど)への接続
WVD導入を成功させるPoCのポイント① ~Azure環境編~
New call-to-action

Azure AD Connectの特長

Azure AD Connectには以下のような特長があります。

パスワードハッシュ同期

オンプレミスの Active Directoryインスタンスに入力したユーザーパスワードを、クラウドベースのAzure ADインスタンスに戻り値(ハッシュ)を返して同期します。ユーザーは1つのパスワードを覚えておけばよいため、生産性の向上、ヘルプデスクのコスト削減を実現します。

パススルー認証

社内の特定の組織でオンプレミスの Active Directory のセキュリティとパスワードポリシーを適用しなければならない場合は、パスワードハッシュ同期の代替として、パススルー認証を利用できます。オンプレミスとクラウドベースのアプリケーションの両方に同じパスワードでサインインできるとともに、オンプレミスのパスワードはクラウドに保存されることがありません。パスワードを安全に保護することが可能です。フェデレーション(federation:ID連携)のためにインフラストラクチャの追加は不要です。

フェデレーション統合

フェデレーションは1回の認証であらゆるサービスを利用可能にすることで、Azure AD ConnectによってオンプレミスのActive Directoryフェデレーションサービス (AD FS)とAzure Active Directoryのフェデレーションの統合が可能です。サインインする際に、ユーザーはオンプレミスのパスワードを使用してAzure Active Directoryの各種サービスにサインインして利用できます。企業ネットワークでは、パスワードを再度入力する必要がないため、非常にスマートな利用ができます。

同期サービスの利用

Azure AD Connectには主要なコンポーネントとして、Azure Active Directory Connect同期サービス(Azure AD Connect Sync)があります。従来のDirSync、Azure AD Sync、Forefront Identity Managerの後継となる機能で、オンプレミスとAzure Active DirectoryのIDデータを同期させるあらゆる処理を行います。接続されたデータソースとの相互アクセスはデータソースの種類ごとに「コネクタ」と呼ばれるモジュールにカプセル化し、APIを呼び出して、それぞれのデータソースとID情報を交換します。これがAzure AD Connectの同期エンジンであり、従来のアーキテクチャを進化させたものです。

セキュリティ面の堅牢性を監視

Azure AD Connect Healthによって、オンプレミスのIDインフラストラクチャを監視し、Office 365やMicrosoft Online Servicesに対して信頼性の高いアクセスを維持します。

Azure AD Connectを利用するための条件

Azure AD Connectの費用はAzureサブスクリプションに含まれているため、Azureのサブスクリプションに契約していれば無料で利用できます。Azure無料試用版には1つのAzure AD Connectが付属し、Azure ポータルもしくはOfficeポータルで管理できます。

Azure AD Connectのテナントでは、50,000個のオブジェクト限定で使うことが可能です。しかし、ドメインを検証すれば制限を300,000個のオブジェクトに拡大できます。 500,000個を超えるオブジェクトを必要とするときには、Office 365、Azure AD Basic、Azure AD Premium、Enterprise Mobility and Securityなどのライセンスが必要になります。

Azure AD Connectを使う前に、データの準備、Active DirectoryやSQLサーバーの確認、アカウントや接続の確認、PowerShellと.NET Frameworkのようなコンポーネントのインストールなど、さまざまな準備が必要になります。

詳細については以下を参照してください。

参考:Azure AD Connectの前提条件
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites

ハードウェア要件(最小要件)のみを下記の表にピックアップします。

Active Directory 内のオブジェクト数

CPU

メモリ

ハードドライブのサイズ

10,000未満

1.6GHz

4GB

70GB

10,000~50,000

1.6GHz

4GB

70GB

50,000~100,000

1.6GHz

16GB

100GB

オブジェクトが100,000個以上の場合は完全バージョンのSQL Serverが必要

100,000~300,000

1.6GHz

32GB

300GB

300,000~600,000

1.6GHz

32GB

450GB

600,000を超過

1.6GHz

32GB

500GB

まとめ

オンプレミスとクラウドが混在して使われる現在、ID管理はシンプルなシングルサインオン(SOO)であることが、生産性向上のために必要です。また、どのような時間に、どこで使ったとしても、ゼロトラストのセキュリティが確保されていることが必須になります。Azure AD Connectは、このような「ハイブリッドID」を提供し、効率化とセキュリティの面から企業における導入が求められます。

New call-to-action
Azure AD ConnectによるIDaaSの構築
Microsoft Azure製品カタログ 避けて通れぬマルチクラウド 活用を限られた人材でいかに 実現するか

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング

関連記事