Written by aki(あき)
5分でできる! これだけは押さえておきたい
情報セキュリティ43項目
自社のセキュリティ課題をチェックシートで簡単確認しませんか?PC・スマホの情報セキュリティに関して43項目をチェックできます。
目 次
Azure Active Directory (以後、Azure AD) は、 マイクロソフト社が提供する、クラウドサービス専用のアカウント管理サービスです。
2023年10月1日より 「Microsoft Entra ID」に名称が変更されましたが、主なサービス内容や料金には変更ありません。
- クラウドサービスのアカウント管理
- シングルサインオン(SSO)
- 多要素認証(MFA)
- アクセス制限機能
- Active Directoryとのユーザー同期
などの機能を提供することで、効率的なアカウント管理を実現しつつ、サイバーセキュリティの脅威から大切なアカウントを守ります。
昨今のクラウドの普及に伴い、従来使用していたオンプレミスADから、クラウドサービス・オンプレミス両方の環境に対応可能な Azure AD へ「移行」もしくは「併用」する組織が増加しています。
本記事では、今後ますます普及すると見込まれる「 Azure AD 」の機能やオンプレミスADとの違い、料金プランについて解説します。
情シスの課題から紐解く
IT資産管理ツールの選定ポイントとは?
情シス1000人の実態調査から見えた、IT資産管理ツール選定時に抑えておきたいポイントを解説!導入前の課題や導入後の事例もご紹介
Azure AD (Azure Active Directory)とは?
Azure AD (Azure Active Directory)とは、 Microsoft 社の提供する各種クラウドの「アクセス管理」を提供するサービスです。Azure AD を利用することで、各種クラウドサービスのアカウント認証情報(IDやパスワードなど)を一括管理できるため、IT管理者の工数削減に貢献します。
Azure ADはクラウド型サービスのため、組織は自社でシステム構築をすることなく、手軽にセキュリティの高い認証基盤を手に入れることができます。また、従業員ごとにログオンできるアプリケーションを割り当てたり、グループごとにアクセス制限を細かく設定したりすることも可能です。
さらに、通常クラウドサービスを利用する場合、ログオンの度にIDやパスワードを入力する手間が必要ですが、Azure ADを経由すれば、一度の認証で登録したすべてのクラウドサービスへアクセスが可能。利用者の作業効率アップも期待できます。
そもそも Active Directory(AD)とは?
Azure AD の根本となる「 Active Directory(AD)」は、主に社内ネットワークというクローズドな範囲において、ユーザーの認証と許可管理を一括で行えるサービスです。 Active Directory は Windows Server OSに標準搭載される機能の1つで、 Windows Server 2000より提供が開始されました。
クラウドベースの Azure AD と区別するため、Active Directoryは「オンプレミス Active Directory(オンプレミスAD)」とも言います。 Active Directory(AD)の活用メリットは以下の通りです。
▼Active Directory(AD)の活用メリット
- 「役職」「部署」情報などに基づき、従業員ごとに各サーバーへのアクセス権を適切に振り分けられる(管理者)
- 従業員の認証情報(IDやパスワード)を一括管理できる(管理者)
- シングルサインオン機能により、一度サーバーへアクセスすれば、何度もIDやパスワードを入力する必要がない(利用者)
このように Active Directory(AD)は、「管理者」はもちろん「従業員」の作業効率アップに欠かせないツールとして、今なお多くの企業で導入されています。しかし、昨今の「社内ネットワークを問わない働き方」の普及に伴い、内部ネットワークを前提としたオンプレミスADでは、対応できないケースが生まれるようになりました。
そこで誕生したのが、今回テーマとなる「Azure AD」です。Azure ADとオンプレミスADをうまく併用(もしくは前者へ一本化)することで、働き方や場所を問わない、セキュアで便利なアカウント管理を実現できるようになります。
オンプレミスActive Directoryと Azure AD (Azure Active Directory)の違い
従来から存在する「オンプレミスのActive Directory(オンプレミスAD)」と「Azure AD」の違いは、以下の通りです。
| Active Directory (オンプレミス) |
Azure AD | |
|---|---|---|
| 使用目的 | 社内ネットワーク内の認証やアカウント管理 | クラウドサービス利用における認証やアカウント管理 |
| 接続環境 | 社内ネットワーク | 外部ネットワーク(インターネット) |
| 認証プロトコル | Kerberos | SAMLやWS-Federation、OpenID Connect、OAuthなど |
| デバイス管理 | 会社のポリシーを適用 | Intune というツールを利用 |
| 機能追加の容易性 | 新たに専用サーバーの構築が必要 | クラウド上に存在するため、サーバー構築不要で手軽に追加できる |
どちらも「アカウント管理(認証)」を担うサービスという点で共通していますが、前提とする環境(社内ネットワークか、クラウドサービス(オンライン)か)をはじめ、目的や認証の仕組みといった点で違いがあります。
使用目的が違う
オンプレミスAD は、オンプレミスのアカウントや社内リソースを認証するための基盤。一方、Azure ADはクラウドサービスのアカウントに対する認証基盤となり、そもそもの使用目的が異なります。
認証プロトコルが違う
オンプレミスAD は、社内ネットワークで使用されるため「Kerberosプロトコル」で認証を行い、ファイルサーバーなどのディレクトリへのアクセスは「LDAP」を使用。
一方、Azure ADは「SAML」や「WS-Federation」、「OpenID Connect」「OAuth」など、様々な認証プロトコルに対応します。ディレクトリへのアクセスは「RESTベースのAPI」を使用します。
デバイスの管理方法が違う
オンプレミス AD では「ポリシー機能」を使用し、会社のルールに則ったデバイスを管理を実施。一方、Azure ADは「Intune」というツールを併用し、Azure ADとIntuneの両方へ「会社のルール」を適用することで、デバイスを管理します。
機能追加の容易性が違う
オンプレミスADに機能を追加したい場合、新たに専用のサーバーを構築する必要があります(例:「多要素認証」機能を導入したい場合、専用のサービスが動作するサーバーを新たに構築する)。
一方、Azure AD は、クラウド上に存在するため、Azure ADの管理ポータルより機能を有効化するだけで、追加機能を動作させることが可能です。
このように、Azure AD を単純に「オンプレミスADのクラウド版」と捉えるのは誤りです。場合のよっては、Azure ADでオンプレミス環境の機能をすべて補完できないケースもあるため、仮にAzure ADへ移行を検討する際は、その可否を慎重に検討する必要があります。
5分でできる! これだけは押さえておきたい
情報セキュリティ43項目
自社のセキュリティ課題をチェックシートで簡単確認しませんか?PC・スマホの情報セキュリティに関して43項目をチェックできます。
情シスの課題から紐解く
IT資産管理ツールの選定ポイントとは?
情シス1000人の実態調査から見えた、IT資産管理ツール選定時に抑えておきたいポイントを解説!導入前の課題や導入後の事例もご紹介
Azure AD (Azure Active Directory)が普及した背景
先述のとおり、今までの企業内システムというと、社内にすべての企業情報が存在し、会社に出社して社内のPCで業務をこなす働き方が一般的でした。そのため、あくまで組織内のローカルネットワークの認証管理を目的とする「オンプレミスAD」が広く使用されていました。
しかし、近年ではテレワークが普及し、自宅や遠方の拠点から外部ネットワークを通じてクラウドサービスへアクセスし、業務を行うケースが一般化しています。
このような働き方の変化にともない、「クラウドサービスのアカウントも一括で管理したい」というニーズに応えるため、誕生したのが「 Azure AD (Azure Active Directory)」です。
Azure AD では、Microsoft 365 や Office 365 のアクセス管理はもちろん、各種クラウドサービスへの認証情報を一括管理することが可能です。また、すでにオンプレミスADを利用している場合、その認証情報を Azure AD に同期し、同じIDやパスワードでクラウドサービスの認証を行うこともできます( Azure AD Connect を利用)。
Azure ADの機能と導入メリット
Azure AD に備わっている主な機能は、以下のとおりです。
- 様々なクラウドサービスのアカウントを管理
- シングルサインオン(SSO)
- 多要素認証(MFA)
- アクセス制限機能
- セルフのパスワードリセット
- Active Directoryとのユーザー同期
これらの機能を複合的に用いることで、クラウドサービスを安全かつ快適に管理することが可能です。
機能の詳細を説明します。
様々なクラウドサービスのアカウントを管理
クラウド上のさまざまなアプリケーションをAzure ADに登録することで、クラウドサービスのアカウントを、まとめて管理することが可能です。Microsoft 365 のサービスはもちろん、その他のさまざまなサービス(AWSやGoogle cloud、Slack、Salesforceなど)に対応しています。
※対応サービス一覧は以下を参照してください。
? Microsoft│Azure AD で使用する SaaS アプリの統合に関するチュートリアル | Microsoft Docs
これらSaaSサービスへの認証情報をAzure ADに登録すれば、いつどこからでもAzure AD を経由し、シングルサインオンでアクセスすることができます。
シングルサインオン(SSO)
シングルサインオン(SSO)とは、1度のユーザー認証によって複数のクラウドサービスやアプリケーションへのサインオン・利用が可能になる仕組みを指します。通常システムを利用する度に「認証」手続きが必要なところ、 SSOを利用することで、「認証」の工程をスキップすることが可能となります。
Azure AD内のSSO機能に各クラウドサービスを登録することで、Microsoft 365 をはじめとするSaaSサービスの認証を、一括で済ませることが可能となります。
多要素認証(MFA)
Azure ADでは、通常のユーザー名・パスワードによるサインインに加え「Azure AD Multi-Factor Authentication (MFA)」を活用し「多要素認証」を設定できます。
Azure ADで利用できる認証要素と各セキュリティレベル・使いやすさ・可用性は以下の通りです。
▼Azure ADの認証機能と詳細
| 認証方法 | セキュリティ | 使いやすさ | 可用性 |
|---|---|---|---|
| Windows Hello for Business | 高 | 高 | 高 |
| Microsoft Authenticator | 高 | 高 | 高 |
| Authenticator Lite | 高 | 高 | 高 |
| FIDO2 セキュリティキー | 高 | 高 | 高 |
| 証明書ベースの認証 (プレビュー) | 高 | 高 | 高 |
| OATH ハードウェア トークン (プレビュー) | 中 | 中 | 高 |
| OATH ソフトウェア トークン | 中 | 中 | 高 |
| SMS | 中 | 高 | 中 |
| 音声 | 中 | 中 | 中 |
| Password | 低 | 高 | 高 |
※可用性…システムが継続して稼働できる能力
参考:Microsoft│ Azure Active Directory で使用できる認証方法と検証方法
▼Azure ADで使用する主な認証機能
- Windows Hello for Business … パスワードを、デバイスを用いた 2 要素認証に置き換える。 2要素認証は、生体認証もしくは PIN を使用したユーザー資格情報で構成される
- Microsoft Authenticatorアプリ …AndroidやiOS端末で、2段階認証を設定できる
- FIDO2 セキュリティ キー…パスワードを使用せず、指紋や顔、虹彩などを用いた生体認証を用いてログインを行う
またその他、機械学習を使った「ID保護機能」というものがあり、機械学習を活用して怪しいサインインを試行するユーザーを検出/ブロックすることも可能です。
アクセス制限機能
ユーザーごとに、アクセスできるサービスやアプリケーションの制限が可能です。ソースIP・デバイスの状態・対象サービスなどの条件の組み合わせることで、ユーザーのアカウント毎に細かくアクセス権を設定することができます。
▼アクセス権設定の例
- 管理職のAさんには、対象クラウドサービスへのアクセス権を許可し、一般社員のBさんにはアクセス権を与えない。
- 一般社員に対し「クラウドサービス①」へは、場所を問わずどこからでもアクセスを許可。しかし「クラウドサービス②」は会社からのアクセスのみ許可し、それ以外の場所からはアクセスできない設定にする。
- 派遣社員に対し、対象クラウドサービスへのアクセスは、会社貸与のデバイスからのみアクセスを許可し、それ以外のデバイスからはアクセスできない設定にする。
セルフのパスワードリセット
セルフサービスパスワードリセット (SSPR)を用いることで、万一アカウントがロックされる・あるいはパスワードを忘れた際も、ユーザー自身でパスワード変更やリセットを行えるように。管理者やヘルプデスクに問い合わせる手間を省き、効率的に業務へ臨むことが可能になります。
Active Directoryとのユーザー同期
オンプレミス環境のActive Directoryに「Azure AD Connect」というツールを導入することで、オンプレミスAD から Azure AD へ、アカウント情報を同期できます。
両者を同期することで、ユーザーはオンプレミスADと同じユーザー名・パスワードを使用しAzure ADにサインインできるようになります。運営側としても両者を同時に管理できるため、さらなる業務効率化が期待できるでしょう。
情報の同期は「オンプレミスAD → Azure AD へ」が基本となりますが、 Azure AD 側のアカウントやパスワードを変更・リセットしたい場合、「Azure AD → オンプレミスAD 」の流れで同期することとなります。
5分でできる! これだけは押さえておきたい
情報セキュリティ43項目
自社のセキュリティ課題をチェックシートで簡単確認しませんか?PC・スマホの情報セキュリティに関して43項目をチェックできます。
オンプレミスADから Azure AD (Azure Active Directory) へ移行するには?
オンプレミスAD からAzure AD への移行には様々なメリットがある一方、完全に移行するには、大きな労力と工数が必要となります。
もし「完全にクラウド(Azure AD)へ移行する」場合、いくつかの段階を踏んで、長期的な視点から環境を整える必要があります。Microsoft ではオンプレミスからの移行において、必ず経験する「5つの状態」を紹介しています。
▼オンプレミスADからAzure ADへの5段階
- クラウドに接続
- ハイブリッド(クラウドとオンプレミスを併用)
- クラウド優先
- オンプレミスAD利用の最小化
- 100% クラウドへ移行
参考:Microsoft │クラウド変革の体制 – 変革の 5 つの状態
まずは 「Azure AD Connect」を活用して、オンプレミスADとAzure AD のハイブリット環境を確立し、その間に担当者の Azure AD を使用するスキルと専門知識を養成。次に、より困難なワークロードを Azure AD へ移行し、オンプレミスAD利用の最小化を目指します。
オンプレミスADからAzure ADへ移行する「大まかな工程」は以下の通りです。
▼クラウド移行への工程
手順1:Azure ADの機能を確立する
・テナントを初期化する
・テナントをセキュアにする
手順2:クラウドファーストのアプローチを実装する
・デバイス:新しいデバイスはドメイン参加せず、Azure ADに参加する
・アプリ:ドメイン参加をやめ、アプリの調達/開発ポリシーを合理化する
手順3:ワークロードをクラウドに移行する
・ユーザー/グループ:クラウドに移行する
・認証とグループ管理アプリ:Azure AD認証に移行する、ユーザープロビジョニングを最適化する
参考:Microsoft │ クラウドへの変革の体制-おおまかな体制
ただし先述の通り、組織によってはすべての機能を、オンプレミスからAzure ADへ移行することが難しいケースもあります。特に、オンプレミス環境にて過去多くの構築がされている「大規模企業」ほど、クラウドへの完全移行は困難です。
企業は自社の現状や今後の変革を鑑みて「完全に移行するのか」「併用するのか」、前者であればどういった手段で実現するのか(新たな機能やツール導入、今ある機能を廃止する等)を、長い目で検討する必要があります。
Azure AD (Azure Active Directory) 4プランの料金と機能比較
Azure ADには、機能や特徴・価格帯の異なる4種類のプラン(エディション)が提供されています。
▼Azure AD 4プランと料金
- Free … 無料
- Office 365 アプリ … 無料(Office 365 のサブスクリプションに含まれる)
- Premium P1 … 750 ユーザー/月(税別)
- Premium P2 … 1,130 ユーザー/月(税別)
「Office 365 プラン」は、Office365 のサブスクリプションサービスにてE1、E3、E5、F1、F3のいずれかの契約をすることで、使用することができます。
また、プランごとの機能比較は、以下の通りです。
| FREE (無料) |
Office 365 プラン |
PREMIUM P1 (有料) |
PREMIUM P2 (有料) |
|
|---|---|---|---|---|
| ディレクトリ オブジェクト数 | 500,000個 | オブジェクト制限なし | 制限なし | 制限なし |
| ユーザー/グループの管理 、ユーザー ベースのプロビジョニング、デバイス登録 | 〇 | 〇 | 〇 | 〇 |
| シングル サインオン (SSO) | 10個のアプリ (ユーザーあたり) |
10個のアプリ (ユーザーあたり) |
無制限 | 無制限 |
| B2B コラボレーション | 〇 | 〇 | 〇 | 〇 |
| セルフサービスによるパスワードの変更 | 〇 | 〇 | 〇 | 〇 |
| 接続 (オンプレミスのディレクトリを Azure Active Directory に拡張する同期エンジン) | 〇 | 〇 | 〇 | 〇 |
| セキュリティ/使用状況レポート | 基本レポート | 基本レポート | 詳細レポート | 詳細レポート |
| グループベースのアクセス管理/プロビジョニング | × | 〇 | 〇 | 〇 |
| クラウドユーザーのセルフサービスによるパスワードのリセット | × | 〇 | 〇 | 〇 |
| 企業ブランド (ログオンページ/アクセスパネルのカスタマイズ) | × | 〇 | 〇 | 〇 |
| アプリケーション プロキシ | × | 〇 | 〇 | 〇 |
| SLA 99.9% | × | 〇 | 〇 | 〇 |
| 高度なグループ機能 | × | × | 〇 | 〇 |
| セルフサービスによるパスワードのリセット/変更/ロック解除 (オンプレミスの書き戻しが可能) | × | × | 〇 | 〇 |
| オンプレミスのディレクトリと Azure AD 間でのデバイス オブジェクトの双方向同期 (デバイス ライトバック) | × | × | 〇 | 〇 |
| Multi-Factor Authentication (クラウドおよびオンプレミス (MFA サーバー)) | × | × | 〇 | 〇 |
| Microsoft Identity Manager ユーザー CAL | × | × | 〇 | 〇 |
| Cloud App Discovery | × | × | 〇 | 〇 |
| Connect Health | × | × | 〇 | 〇 |
| グループ アカウントの自動パスワード ロールオーバー | × | × | 〇 | 〇 |
| グループおよび場所に基づいた条件付きアクセス | × | × | 〇 | 〇 |
| デバイス状態に基づいた条件付きアクセス (マネージド デバイスからのアクセスを許可) | × | × | 〇 | 〇 |
| サードパーティ ID ガバナンス パートナー統合 | × | × | 〇 | 〇 |
| 利用条件 | × | × | 〇 | 〇 |
| SharePoint Limited Access | × | × | 〇 | 〇 |
| OneDrive for Business の制限付きアクセス | × | × | 〇 | 〇 |
| ID 保護 | × | × | × | 〇 |
| Privileged Identity Management | × | × | × | 〇 |
| サード パーティ MFA パートナー統合 プレビュー | × | × | 〇 | 〇 |
| アクセス レビュー | × | × | × | 〇 |
| Microsoft Cloud App Security 統合 | × | × | 〇 | 〇 |
| Azure AD へのデバイスの登録、デスクトップ SSO、Azure AD 用の Windows Hello 、管理者によるBitlocker 回復 | 〇 | 〇 | 〇 | 〇 |
| MDM の自動登録、セルフサービスによる Bitlocker 回復、Azure AD Join、Enterprise State Roaming による Windows 10 デバイスへのローカル管理者の追加 | × | × | 〇 | 〇 |
企業でAzure ADを利用する場合、Microsoft ではPremium P1、あるいはP2エディションを推奨しています。 Premium P1では、 アプリケーションへのアクセス制限機能や、オンプレミスADとの両立をスムーズにするためのサポート等が充実。また、P2では他すべての機能に加え、高度なID保護機能・Privileged Identity Management機能が備わっています。
まずは無料プランからAzure ADを導入し、本格的な利用をスタートする段階で、有料プランへの切り替えを検討してみてはいかがでしょうか。
参考:Microsoft │ Azure Active Directory のプランと価格
まとめ
今回は「Azure AD」をテーマに、機能の詳細や4種類のプラン等について解説しました。クラウドサービスを安全かつ効率的に活用する上で、Azure AD は企業にとって非常に優れたサービスです。
Azure ADは「クラウド型のサービス」という特性上、機能の追加や料金変更が定期的に更新されます。検討時は公式サイトから最新の情報を確認することをおすすめします。本記事がAzure ADの理解に、少しでもお役に立てれば幸いです。
LANSCOPEでは、お客様の環境をサイバー被害から守る、各種セキュリティソリューションを提供しています。「組織のセキュリティ課題」を確認できる、以下の資料もぜひご活用ください。
5分でできる! これだけは押さえておきたい
情報セキュリティ43項目
自社のセキュリティ課題をチェックシートで簡単確認しませんか?PC・スマホの情報セキュリティに関して43項目をチェックできます。
情シスの課題から紐解く
IT資産管理ツールの選定ポイントとは?
情シス1000人の実態調査から見えた、IT資産管理ツール選定時に抑えておきたいポイントを解説!導入前の課題や導入後の事例もご紹介
