【 Microsoft 365 】Azure AD とは?ID管理やアクセス保護の観点から導入意義を解説 前編
作成日:2021/06/24
【 Microsoft 365 】Azure AD とは? ID管理やアクセス保護の観点から導入意義を解説
今回は Microsoft 365 のサブスクリプション契約に含まれるID・アクセス管理サービスの Azure AD について、前編と後編に分けて解説します。
- ■ 前編:Azure AD ( Azure Active Directory ) の概要と機能について
- ■ 後編:Azure AD ( Azure Active Directory ) の導入意義と社会的背景
Microsoft 365 やセキュリティー性に優れたクラウドサービスの導入を検討している方は、ぜひご覧ください。
Azure AD とは
Azure AD ( Azure Active Directory ) とは、マイクロソフトが提供しているID・アクセス管理サービスです。
Microsoft 365 のサブスクリプション契約に含まれるサービスであり、サブスクリプションとは別の有料機能もあり、必要に応じたセキュリティー対策を行えます。
オンプレミスでの管理が一般的だった Active Directory でしたが、Azure AD はクラウドサービスの Microsoft 365 サブスクリプション、その機能のひとつのため、リモートワークなどのテレワークでも安全に利用できるユーザー認証サービスとして注目されています。
Active Directory とは
Active Directory とは、2000年から Microsoft 社が提供をはじめた、オンプレミスに限定されたPCユーザーの認証および認可を行う機能です。
Active Directory には、3つのメリットがあります。
- 認証機能 ( 各部署の情報を連携させて認証 )
- シングル サインオン機能 ( SSO機能 ) による認証の簡略化
- 認証セキュリティーの強化
Active Directory は、役職や部署などの情報と連携して、IDとパスワードを付与し、サーバーへのアクセスを許可・制限を可能とします。
また、付与されたユーザーは一度サインオンしてしまえば、何度もIDとパスワードの入力をせずともアクセスができるシングル サインオンという認証の簡略化機能も備わっています。
さらに認証セキュリティーの強化もでき、指紋認証やICチップ認証との連携も可能です。
Azure AD と Active Directory との違い
Azure AD と Active Directory の大きな違いは、クラウドに対応しているかどうかです。
従来の Active Directory はクラウドには対応しておらず、急速に進むリモートワークをはじめとしたテレワークには不向きです。
※ Active Directory のシングル サインオン ( SSO機能 ) 社内ローカルネットワークに接続されたIDでしか機能しません。
一方で、Azure AD はクラウド上でもSSO機能を含むID・パスワード認証が可能です。
また、社外のモバイルデバイスに対しても認証ができ、導入も簡単に行えます。
Azure AD の機能について
Azure AD はクラウド上で行うアカウント管理機能のため、セキュリティー対策が可能となります。
Azure AD の特徴は場所 ( クラウドやオンプレミス ) に関係なく、すべてのアプリケーションを利用するIDを管理・利用・監視・情報収集できる点にあります。
また、同一組織内だけでなく、自社のデータを管理しながら、外部組織 ( ゲストユーザーや外部パートナー ) の管理も可能です。
機密性の高い情報であっても強固なセキュリティー対策 ( 認証や管理、監視機能 ) によって、迅速な経済活動が行えることが大きな強みです。
※一部有料機能あり
カテゴリ | 説明 |
---|---|
アプリケーション管理 | Microsoft 365 のソフトウエア ( SaaS ) アプリを利用したクラウド・オンプレミスアプリの管理 |
認証 | セルフサービス パスワード リセット、Multi-Factor Authentication 、カスタムの禁止パスワード リスト、スマート ロックアウトを管理 |
開発者向け Azure AD | すべての Microsoft ID にサインイン、Microsoft Graph 、その他の Microsoft API 、またはカスタム API を呼び出すトークン取得アプリの構築 |
企業間 ( B2B ) | 自社データの管理、ゲスト ユーザーと外部パートナーを管理 |
企業-消費者間 ( B2C ) | アプリ使用時のユーザーのサインアップ、サインイン方法、自分のプロファイルの管理方法をカスタマイズして制御 |
条件付きアクセス | クラウド アプリへのアクセス管理 |
デバイスの管理 | クラウドまたはオンプレミスのデバイスが会社のデータにアクセスする方法を管理 |
ドメイン サービス | ドメイン コントローラーを使用せずにドメインに Azure 仮想マシンを参加 |
エンタープライズ ユーザー | グループと管理者のロールを使用して、ライセンスの割り当てとアプリへのアクセス管理・委任の設定 |
ハイブリッド ID | Azure Active Directory Connect と Connect Health を使用して、場所に関係なく、すべてのリソースに対する認証と認可のための単一ユーザー ID を提供 |
Identity Governance | 組織IDの管理 ( 従業員、ビジネス パートナー、ベンダー、サービス、およびアプリのアクセス制御 ) |
Identity Protection | 組織のIDへのセキュリティー対策 |
Azure リソースのマネージド ID | 任意の Azure AD ( Key Vault を含む ) でサポートされている認証サービスに対して認証可能なマネージド IDの利用 |
Privileged Identity Management ( PIM ) | 組織内でのアクセスを管理、制御、および監視 |
レポートと監視 | 環境におけるセキュリティーや使用パターンに関する分析情報の取得 |
Azure AD では、上記のようにさまざまな場面で強化なセキュリティーを維持しながら、自由度の高いID・アクセス管理が可能です。
今回は Azure AD の中でも特徴的な機能を解説します。
すべてのアプリケーション管理
Azure AD では、役職や部署、業務が異なるユーザーごとに使用できるアプリケーションを制御・管理できます。
ユーザーによって、不必要なアプリケーションを導入せずに済み、適切および迅速な業務遂行を可能とします。
アプリケーションの利用者だけでなく、Microsoft Graph 、その他の Microsoft API 、またはカスタム API を呼び出すトークンを使用する開発者にも適切に権限を付与できます。
セキュリティー強化によるID管理
Azure AD では、従来の Active Directory と同様に認証セキュリティーの強化も可能です。
指紋認証やICチップ認証だけでなく、不正アクセスを防止できる2段階認証や2要素認証の導入ができます。
また、Azure AD には機械学習による検知機能が備わっているため、不正アクセスの多様化にも迅速に検知し、アラートを送信します。
シングル サインオン ( SSO機能 ) による業務効率化
シングル サインオン ( SSO機能 ) とは、一度のサインオン ( 認証 ) で複数のクラウドサービス ( またはオンプレミスサービス ) にアクセスできる機能です。
従来のアプリケーションごとに認証する手間が省け、業務効率化が期待できます。
また、Microsoft 以外のクラウドサービスにも利用が可能です。
まとめ
Microsoft 365 のサブスクリプションである Azure AD ( Azure Active Directory ) の概要や機能についてまとめました。
後編では Azure AD ( Azure Active Directory ) の導入意義や導入すべき社会的背景を解説します。
今後の参考情報としてお役立てください。
脱VPNを進めるためのクラウド活用と、Azure AD をベースにしたセキュリティー、またオンプレミスでのハイブリッド環境でのアクセスについて解説した資料です。