近年、Office 365やAzureなどMicrosoftが提供しているクラウドサービスに関係していると見聞きするのが、「Azure AD」です。このAzure ADについて、何となく理解しているけれど明確ではない、という方も少なくありません。そのため、Azure AD活用になかなか踏み切れないこともあるでしょう。そこで本記事では、Azure ADとは何なのか、その概要をご紹介します。
Active Directoryについて
Azure ADの「AD」とは、「Active Directory」の略語です。まずは、そもそもActive Directoryとは何かというところから説明していきます。
Active Directoryは、2000年にリリースされたWindows 2000 Serverの目玉機能として登場しました。この機能を簡単に説明すると、今では当たり前になっているユーザー認証のための機能です。
会社のシステムというものは、誰もが同じ情報にアクセスできる権限を持っていると、情報漏えいのリスクが生じたり、システムに障害が発生したりする原因にもなります。なので、ユーザーがシステムにアクセスする際は、「あなたは誰ですか?」という認証を行い、ユーザーをシステムにログインさせます。そうすることで、あらかじめ設定したアクセス権限に従って、各ユーザーのアクセス範囲が限定されることになります。
それまでも認証の仕組みはありましたが、WindowsとしてLDAPという標準に対応し、拡張性の高いシステムとして登場したのがActive Directoryです。単なる認証機能だけではなく、グループポリシーによる管理基盤など多くの拡張機能を提供しており、今やWindowsを利用している組織では一般的に使われています。
このActive Directoryでは、「ドメイン」という単位でユーザーやグループなどを管理します。ユーザーはドメインに所属し、基本的にはドメイン内のリソースに対してアクセス権限を持つことになります。
ドメインを設定する理由はもうひとつあります。それは、何度も同じユーザーIDやパスワードを入力しなくて済むということです。Active Directoryのドメイン認証でアクセス権を管理しているリソースに対しては、ユーザーは1回のログインでアクセス権限を持つすべてのシステムにログインできるため、各システムへの認証の手間を省略できるというわけです。
このように、1回のログインで複数のシステムにアクセスできることを「シングルサインオン(SSO)」と呼びます。Active Directoryのイメージとしては、このSSOのための機能と捉えている方が多いでしょう。
![[Security]動画:Office365 脅威可視化アセスメント](https://www.cloud-for-all.com/hs-fs/hubfs/m365/images/cta_images/cta-middle-o365-threat-visualization-assessment.png?width=357&name=cta-middle-o365-threat-visualization-assessment.png "[Security]動画:Office365 脅威可視化アセスメント")
Azure ADとは?
現在の情報システム環境は、クラウドサービスなくして成り立たないといっても過言ではありません。とはいえ、既存のオンプレミスのシステムもあるため、オンプレミスシステムと複数のクラウドサービスが混在し、情報システムが煩雑を極めている時代ともいえます。
そこで、私たちにはActive Directoryがあります。これさえ活用すれば、すべてのシステムへのログインを一元化でき、複雑さも解消されるでしょう。ただし、実際はそう簡単な話ではありません。なぜなら、クラウドサービスはActive Directoryの守備範囲ではないからです。
Active DirectoryでSSOを実現できるのは、あくまでローカルネットワークで接続されたシステムのみです。では、クラウドサービスにActive Directoryは適用不可能なのかというと、ここでAzure ADが関わってきます。
Microsoftは近年増加するクラウドサービスの利用に際し、オンラインでもActive DirectoryによるSSOを利用するためのサービスとして、Azure ADを開発しました。いわばAzure ADは、Active Directoryのクラウドバージョンです。
Azure ADの機能
Azure ADはクラウドサービスでのSSOを提供するために、次の機能を備えています。
≪ユーザー・グループ管理≫
Azure ADにて認証や許可を制御するためのベースとなる、ユーザーやグループを管理するための機能です。
≪アプリケーション管理≫
Azure ADで認証されたユーザーに対し、特定のアプリケーションへのアクセスを制御します。ちなみに現在、Azure AD経由でSSOが可能なアプリケーションは2,000種以上です。さらに、Microsoft Azure上に作成したWebサイトや、オンプレミスで外部公開用に運用しているWebサイトへのアクセスも、Azure AD経由で行えます。
≪デバイス管理≫
ユーザーが実際に利用するデバイスを登録して、認可したデバイスからのアクセスだけを許可する機能です。管理者が意図しないデバイスからのアクセスを制御できるため、近年深刻化している「シャドーIT」にも有効です。
≪多要素認証≫
ユーザーIDとパスワードだけでのアカウント管理では心許ない時代です。サイバー攻撃によりパスワードなどが漏えいし、いつ不正アクセスが発生するか分かりません。そこで多要素認証を活用することで、ログインセキュリティを飛躍的に向上できます。電話やSMS、ワンタイムパスワードなど複数の認証でログインを強制すれば、不正アクセスの可能性がグッと下がるでしょう。
≪アクセスログ≫
ユーザーがAzure ADを経由して行った認証やサービスへのアクセスは、ログとして記録されます。Webブラウザを通じてレポートを確認でき、不正アクセスに関するレポートも同時に確認できます。
Azure ADとActive Directoryの違い
Azure ADはクラウドサービスで、Active DirectoryはオンプレミスでSSOなどさまざまな機能を提供するための機能と説明しました。ただ、両者の違いはクラウドかオンプレミスかだけではありません。管理方法なども異なるので、しっかりと押さえておきましょう。
≪管理方法≫
Active Directoryは、ユーザーまたはグループごとにドメインを設定することで、認証やアクセス範囲を管理します。一方、Azure ADはユーザー/グループ管理に加えて、IPサブネットやデバイス単位での管理も可能です。
≪操作方法≫
Active Directory:Active Directoryユーザーとコンピューター、Active Directory管理センター、PowerShell、ADSI
Azure AD:Azure管理コンソール、Office 365管理センター、PowerShell、Graph API
≪アクセスログ≫
Active Directoryのアクセスログはイベントビューアで確認します。一方、Azure ADのアクセスログはAzure AD レポート、Azure AD Identity Protection、Cloud App Securityで確認できます。
≪管理権限≫
一部の管理権限を他ユーザーに委任する場合、Active DirectoryではOU(Organization Unit)という単位を使用します。一方、Azure ADではAU(Administrative Unit)という単位を使用します。GUIベースでユーザーを確認できるOUに対し、AUはPowerShellを使用してコマンドベースでユーザーを確認します。
Azure ADのメリット
現在、便利なクラウドサービスが次々に登場し、業務ごとに利用できるSaaS(Software as a Service)サービスが少なくありません。その都度ログインを行うと煩雑な手間がかかり、セキュリティ管理上の問題もあります。Azure ADを導入すれば、異なるクラウドサービスの認証手続きを一括で管理することが可能です。多くの機能を持つAzure ADを導入することで得られるビジネスメリットはほかにもあります。ここでは、主なメリットを取り上げてご紹介します。
コスト削減
Azure ADはクラウドサービスとして導入できるため、自社で構築するオンプレミスのActive Directoryとは異なり、サーバーなどのハードウェアを調達したり構築したりといった、初期投資や外部に委託する手間やコストがかかりません。
さらにAzure ADはSaaS型で、オンラインで始められるサービスのため、導入もスムーズです。主にMicrosoftが提供するクラウドサービスに含まれ、使用した分だけ支払う課金型のサブスクリプション制を採用しています。利用状況の変化に応じて費用が変わり、使用しないときは費用が発生しないため、運用コストの無駄を削減することが可能です。
業務の負担軽減
従来のActive Directoryには備わっていなかった機能として、セルフパスワードリセット機能があります。これはユーザーがパスワードを忘れたり、アカウントをロックされたりした場合、表示画面のメッセージに従い操作することで正常な画面に戻り、作業に入れる機能です。この機能により、システム管理者やヘルプデスク担当のサポートがなくてもトラブルを回避できるので、管理者・担当者の業務負担の削減が可能です。
また、Microsoft 365など他ツールとの連携もしやすく、Azure AD Connect機能を使用すれば、既存のActive Directoryとも無料でアカウント情報を同期できます。
セキュリティ強化
Azure ADは、アクセスログや認証ログの一元管理により、不正アクセスや侵入を素早く発見・検出できるため、クラウド環境のセキュリティレベルを強化することが可能です。さらに、二段階認証や細かい条件を設定した多要素認証などのアクセス機能や、さまざまな端末の管理機能もあります。テレワークで増加した外部アクセスに伴い、増えている不正アクセスをこれら最新セキュリティで防護します。
また、Azure ADが連携するMicrosoft 365のサービスやデータは、世界屈指の安定した盤石な構造で守られた、強固な最新セキュリティが特長です。システム管理者の監視だけでなく、多くのAIにより、不審なアクセスや新たな脅威の発見に努めています。
サーバーの規模の拡張・縮小が容易
従来のActive Directoryのように、物理的なサーバーを設置・構築する必要がないため、システム環境の改変が容易でスケーラビリティーに優れています。業務によってはシステム規模を拡大したり、縮小したりといった作業を柔軟に行いたいケースもあるでしょう。通常はサーバー増築や変更などの作業が必要ですが、Azure ADはクラウド管理画面で設定上の変更をするだけで対応できます。
これにより、短期間にユーザー登録が増加したり、管理しなければならない端末が急増したりした場合も、管理画面で機能を変更するだけで一括処理が可能です。システム規模の拡張・縮小がスピーディーになり、常に最新に最適化された状態を保てます。
Azure ADのユースケース
Azure ADにアクセスしたユーザーがどのように認証され、アクセスを許可されるのか、そのユースケースをご紹介します。
まず、条件付きアクセスによって、設定した複数のポリシーのひとつでもクリアできなければ、アクセスを却下または制限されます。ポリシーはユーザーの知識や持ち物、指紋・顔などの生体情報から選択し、パスワードやデバイスなどを設定するのが一般的です。
多要素認証が実行されていれば、さらに詳細なポリシーをクリアする必要があります。たとえば、何度もログインを繰り返すユーザーはアクセスをブロックされます。営業部門のWindowsユーザーのみのポリシーとすると、他部門や同じ営業部門でもMacユーザーはアクセスできません。
Azure ADのプラン
Azure ADのプランには4つのライセンスがあります。アクセス管理の一部を利用できる「FREEプラン」「Office 365プラン」のほか、ハイブリッドIDや条件付きアクセスなど、機能によって「Premium P1プラン」「Premium P2プラン」の2つの有償プランから選択が可能です。有償版の利用はユーザー単位のライセンスとなり、上位プランになるほど、不正アクセスの検知や条件付きアクセスなどセキュリティ機能が充実します。以下、ライセンスごとに詳しくご紹介します。
FREEプラン
Microsoft AzureやMicrosoft 365など、商用サービスのサブスクリプションに含まれているライセンスです。Azure ADを単体契約する必要はなく、これらのサービスに付属しているため、気付かないうちに契約しているケースも少なくありません。Azure ADのライセンスそのものはフリーで、料金の請求もありません。
FREEプランは、Microsoft 365のユーザー管理機能を中心とした構成となります。以前はシングルサインオンの制限がありましたが、現在は撤廃され、多要素認証も可能です。サポートされていない機能もありますが、基本的なアクセス管理を包括的に利用できるようになり、利便性が向上しています。
Office 365プラン
Office 365の大企業向けプランであるE1/E3/E5およびF1/F3の契約ユーザーが、サプスクリプションとして利用できるライセンスです。FREEプランが備えている基本機能に加えて、ログオンページの編集機能やセルフパスワードリセット、SLA(Service Level Agreement)の締結ができます。SLAとは、サービス範囲や内容などの品質をどのレベルまで保証するかを明記するサービスです。
Office 365プランはFREEプランと同様に、Azure ADそのものを利用するための料金は発生しません。ただし、ビジネスで利用するクラウドサービスのアカウント管理としては、セキュリティ対策が不十分です。
Premium P1プラン
Microsoft 365 E3サービスに含まれているAzure ADの有償プランで、その他のユーザーは30日間無料試用版を利用できます。AzureやOffice 365のサブスクリプションで利用しているユーザーは、オンラインで購入が可能です。
Premium P1プランでは、不正アクセスを検知するアラート機能や条件付きアクセスができるようになり、クラウド環境に必要なセキュリティ対策を行えます。リモート環境のユーザーがオンプレミスのWebアプリケーションにアクセスできる、アプリケーションプロキシ機能も利用可能で、利便性がアップします。
Premium P1プランの利用料は、ユーザー1人あたり月額650円です。
Premium P2プラン
Microsoft 365 E5に含まれているAzure ADの有償プランで、その他のユーザーは30日間無料試用版を利用できます。AzureやOffice 365のサブスクリプションで利用しているユーザーは、オンラインで購入が可能です。
Premium P2は最高機能のプランで、Premium P1プラン内容に加えてリスクベース条件付きアクセスやID保護機能など、Azure ADの高度なセキュリティ管理機能をすべて利用できます。IDごとにリスク情報を管理できるため、普段のアクセスと違うIPアドレスを検知し、多要素認証で制限する、といった設定も可能です。
Premium P2プランは、ユーザー1人あたり月額980円で利用できます。
まとめ
クラウドサービスの普及により、以前よりアクセス認証・許可のセキュリティ対策の重要性が高まっています。Azure ADはクラウド型のActive Directoryで、導入コストや管理者の業務負担を軽減します。柔軟にサーバーの規模を拡大・縮小でき、セキュリティ対策の強化にも効果的です。
また、Azure ADは無償プランから利用をスタートし、必要に応じて有償プランに変更もできます。自社のセキュリティ対策に合わせたプランを検討しましょう。
