ホワイトペーパーWindows 10へのアップグレード作業や運用フローの最新資料を公開!
「WaaSに対応した Windows 10運用の基礎」
クラウド版Active Directory
昨今のクラウドの普及により、企業でのクラウド利用も一般的になってきました。Microsoftもクラウド上でOfficeソフトの利用ができる、クラウド型Officeサービス「Office 365」を発表し、今後はますます企業のクラウド利用が増大していくことが予想されます。
ほとんどの企業ではActive Directoryを利用して、システムの認証基盤を運用していると思います。今までクラウドが普及しても、Active Directoryだけはオンプレミス環境で運用しなければいけませんでした。
しかし、Azure Active Directoryの登場で、認証基盤もMicrosoft Azureクラウドだけで運用できるようになりました。Azure Active Directoryが、オンプレミス環境のActive Directoryのすべての機能をサポートしているわけではないため、完全に置き換えることはできませんが、企業の利用環境によっては社内のデータセンターなどでドメインコントローラーなどのサーバーを運用することも不要になり、インターネットへの接続環境さえ用意しておけば良いようになりました。
そこで今回は、今後普及が見込まれるAzure Active Directoryについて解説してみたいと思います。
Azure Active Directoryとは
Azure Active DirectoryはMicrosoftが提供しているクラウドサービスのひとつで、クラウドベースの認証サービスを提供します。
今までの企業内システムというと、社内にすべての企業情報が存在し、会社に出社して社内のPCで業務をこなすという働き方が一般的でした。しかし最近の働き方はさまざまな場所から社内の情報にアクセスしたり、クラウドサービスを利用して好きな時間に好きな場所で働くスタイル変化してきました。
このような働き方の変化にともない、社内の認証だけではなく、さまざまなクラウドサービスの認証を管理する必要性がでてきました。このように社内IDもクラウドのIDもすべて一括で管理するニーズに応えるためにAzure Active Directoryが登場しました。
Azure Active Directoryの機能
様々なクラウドサービスのアカウントを管理
クラウド上のさまざまなアプリケーションをAzure Active Directoryに登録することで、クラウドサービスのアカウントをまとめて管理することが可能です。管理できるサービスはMicrosoftのサービスはもちろんのこと、その他のさまざまなサービス(DropboxやGoogle、Facebookなど)に対応しています。
対応しているサービス一覧は以下の参照してください。
▶ Azure AD で使用する SaaS アプリの統合に関するチュートリアル | Microsoft Docs
これらのサービスをAzure Active Directoryに登録すれば、いつでもどこからでもAzure Active Directoryにサインインすることで、シングルサインオンでアクセスすることができます。
ID管理機能
ID管理機能も洗練されていて、通常のユーザー名とパスワードによるサインインも可能ですが、その他にも次のような認証を利用することも可能です。
・2段階認証
スマホやワンタイムパスワードの認証を組み合わせた多要素認証
・生体認証(顔、虹彩、指紋)
Windows 10デバイスのみ
・デバイス認証
デバイスの情報を使った認証方法(Windows 10デバイスのみ)
その他、機械学習を使った「ID保護機能」というものがあり、機械学習を活用して怪しいサインインを試行するユーザーを検出/ブロックすることも可能です。
アプリケーションアクセス制限機能
ユーザーごとにアクセスできるサービスやアプリケーションを制限することが可能です。アクセス制限もユーザーごとに利用できるアプリを制限させるという単純なものではなく、以下の例のように細かく設定が可能です。
・ユーザーAは、クラウドサービスBへのアクセスはOKだが、クラウドサービスCは会社からのアクセスのみ許可し、それ以外の場所からのアクセスはブロック
・ユーザーBは、クラウドサービスBへのアクセスは、会社貸与のデバイスのみアクセスを許可し、それ以外のデバイスからのアクセスはブロック
Active Directoryとの統合
オンプレミス環境のActive Directoryに「Azure AD Connect」というツールを導入すれば、オンプレミスのActive DirectoryからAzure Active Directoryへ、アカウント情報を同期することができます。
こうすることで、オンプレミスActive DirectoryとAzure Active Directoryの両方を管理する必要がなくなります。ユーザーは同じユーザー名とパスワードを使って、オンプレミスActive DirectoryにもAzure Active Directoryにもサインインが可能になります。
情報の同期は「オンプレミスActive Directory → Azure Active Directory」の方向が基本となります。ただし、Azure Active Directoryのアカウントのパスワードの変更やリセットはAzure Active DirectoryからオンプレミスActive Directoryに同期されます。
オンプレミスActive DirectoryとAzure Active Directoryの違い
従来からあるオンプレミスのActive DirectoryとAzure Active Directoryは、どちらも「Active Directory」という単語が入っているため混同しがちですが、実はまったくの別物です。
唯一の共通点は、Azure Active DirectoryもオンプレミスActive Directoryと同様にアカウントを作成して管理できる点です。
相違点は次のようなものになります。
使用目的が違う
オンプレミスActive Directoryは、オンプレミスのアカウントや社内リソースを認証するための基盤です。
Azure Active Directoryはクラウドサービスのアカウントに対する認証基盤となり、そもそもの使用目的が異なります。
認証プロトコルが違う
オンプレミスActive Directorは、社内ネットワークで使用されるため、Kerberosプロトコルで認証を行い、ファイルサーバーなどのディレクトリへのアクセスはLDAPを使用します。
Azure Active Directoryは、さまざまな認証方式に対応していて、SAMLやWS-Federation、OpenID Connect、OAuthなどのプロトコルに対応しています。ディレクトリへのアクセスは、RESTベースのAPIを使用します。
デバイスの管理方法が違う
オンプレミスActive Directoryでは、ポリシー機能を使用して会社のルールに則ったポリシーを適用し、デバイスをまとめて管理します。
Azure Active Directoryは、Intuneというツールを併用して、Azure Active DirectoryとIntuneに登録したデバイスの会社のルールを適用し、デバイスを管理します。
機能追加の容易性が違う
オンプレミスActive Directoryに機能を追加したい場合、新たに専用のサーバーを構築する必要があります。例えば多要素認証を導入したい場合は、それ専用のサービスが動作するサーバーを構築する必要があります。
Azure Active Directoryの場合は、クラウド上に存在するため、Azure Active Directoryの管理ポータルで機能を有効化するだけで動作させることができます。
このように、オンプレミスActive DirectoryとAzure Active Directoryは、使用目的が異なり、Active Directoryの機能を単純に置き換えるものではありません。
Azure Active Directoryの4つのエディション
Azure Active Directoryには、4つのエディションが存在します。エディションごとに機能比較は以下の通りです。
| FREE (無料) |
BASIC (有料) |
PREMIUM P1 (有料) |
PREMIUM P2 (有料) |
|
|---|---|---|---|---|
| ディレクトリ オブジェクト数 | 500,000個 | オブジェクト制限なし | 制限なし | 制限なし |
| ユーザー/グループの管理 、ユーザー ベースのプロビジョニング、デバイス登録 | 〇 | 〇 | 〇 | 〇 |
| シングル サインオン (SSO) | 10個のアプリ (ユーザーあたり) |
10個のアプリ (ユーザーあたり) |
無制限 | 無制限 |
| B2B コラボレーション | 〇 | 〇 | 〇 | 〇 |
| セルフサービスによるパスワードの変更 | 〇 | 〇 | 〇 | 〇 |
| 接続 (オンプレミスのディレクトリを Azure Active Directory に拡張する同期エンジン) | 〇 | 〇 | 〇 | 〇 |
| セキュリティ/使用状況レポート | 基本レポート | 基本レポート | 詳細レポート | 詳細レポート |
| グループベースのアクセス管理/プロビジョニング | × | 〇 | 〇 | 〇 |
| クラウドユーザーのセルフサービスによるパスワードのリセット | × | 〇 | 〇 | 〇 |
| 企業ブランド (ログオンページ/アクセスパネルのカスタマイズ) | × | 〇 | 〇 | 〇 |
| アプリケーション プロキシ | × | 〇 | 〇 | 〇 |
| SLA 99.9% | × | 〇 | 〇 | 〇 |
| 高度なグループ機能 | × | × | 〇 | 〇 |
| セルフサービスによるパスワードのリセット/変更/ロック解除 (オンプレミスの書き戻しが可能) | × | × | 〇 | 〇 |
| オンプレミスのディレクトリと Azure AD 間でのデバイス オブジェクトの双方向同期 (デバイス ライトバック) | × | × | 〇 | 〇 |
| Multi-Factor Authentication (クラウドおよびオンプレミス (MFA サーバー)) | × | × | 〇 | 〇 |
| Microsoft Identity Manager ユーザー CAL | × | × | 〇 | 〇 |
| Cloud App Discovery | × | × | 〇 | 〇 |
| Connect Health | × | × | 〇 | 〇 |
| グループ アカウントの自動パスワード ロールオーバー | × | × | 〇 | 〇 |
| グループおよび場所に基づいた条件付きアクセス | × | × | 〇 | 〇 |
| デバイス状態に基づいた条件付きアクセス (マネージド デバイスからのアクセスを許可) | × | × | 〇 | 〇 |
| サードパーティ ID ガバナンス パートナー統合 | × | × | 〇 | 〇 |
| 利用条件 | × | × | 〇 | 〇 |
| SharePoint Limited Access | × | × | 〇 | 〇 |
| OneDrive for Business の制限付きアクセス | × | × | 〇 | 〇 |
| ID 保護 | × | × | × | 〇 |
| Privileged Identity Management | × | × | × | 〇 |
| サード パーティ MFA パートナー統合 プレビュー | × | × | 〇 | 〇 |
| アクセス レビュー | × | × | × | 〇 |
| Microsoft Cloud App Security 統合 | × | × | 〇 | 〇 |
| Azure AD へのデバイスの登録、デスクトップ SSO、Azure AD 用の Windows Hello 、管理者によるBitlocker 回復 | 〇 | 〇 | 〇 | 〇 |
| MDM の自動登録、セルフサービスによる Bitlocker 回復、Azure AD Join、Enterprise State Roaming による Windows 10 デバイスへのローカル管理者の追加 | × | × | 〇 | 〇 |
企業でAzure Active Directoryを利用する場合、MicrosoftではPremium P1かP2エディションを推奨しています。
Azure Active Directoryの有料版を使用する場合、ライセンスはユーザー単位となるため、企業でAzure Active Directoryを利用する場合、ユーザー人数分のライセンスを購入し、ユーザー一人一人にライセンスを割り当てる必要があります。
まとめ
Azure Active Directoryは、クラウドサービスを積極的に利用する企業には、大変便利なサービスです。特にOffice 365などのMicrosoftのクラウドサービスを利用する場合は、Azure Active Directoryを必ず利用することになりますので、今後はAzure Active Directoryを利用する企業は増えてくるのではないでしょうか。
企業で利用を検討する場合の注意点として、Azure Active Directoryはクラウド上で動作するサービスのため、機能の追加や利用料金の変更などが定期的に更新されます。
そのため実際に利用を検討する場合は、以下の最新の情報を参照するようにしてください。