2021年8月28日 【クラウドベースのユーザー認証サービス】Azure ADって何?場所やデバイスを選ばず安全にクラウドサービスにアクセスしよう!
普段Microsoft 365 クラウドサービスなどを利用していてこんな要望ありませんか?
- Microsoft 365以外のクラウドサービスも同じIDでセキュアに利用したい。
- ID・パスワード以外にも多要素認証を有効にして、なりすましを防止したい。
- Microsoft 365にアクセスできる接続元のIPアドレスを制限して、オフィスとVPN経由のみアクセス許可をしたい。
- ユーザー別に使えるアプリケーションの管理したい。
上記のような要望をAzure ADを使って実現できます。
Azure AD(Active Directory)とは?
クラウド上で安全にユーザー認証できる機能を提供しているサービスです。
従来AD(Active Directory)といえば、社内のオンプレミスサーバーで利用する認証システムが一般的でした。
しかしコロナ渦などの影響でクラウドサービスが爆発的に普及し、外出先での業務や在宅勤務などの多様な働き方が求めれれています。
そこで要望が出てきたのが、クラウド上で安全に認証機能が利用できるAzure AD(Active Directory)です。
企業はクラウド認証機能のために社内にシステムを構築する必要がなく、Azure ADを使って簡単にセキュリティの高い認証システムを導入できます。
クラウドサービスは非常に便利ですが、しかしその反面、会社のユーザー、デバイス、アプリケーションへのアクセス管理がばらばらになり、煩雑な認証管理になります、そんな煩雑な認証管理をもっと簡単にシンプルに実現させてくれるのがAzure ADです、シンガポールでご活躍の経営者やIT担当者の管理負担軽減が期待できます。
≪コロナ渦でのシステム利用の例≫
社内のオンプレミスのActive Directoryドメインサービス(AD DS)とAzure ADの違いとは?
古くから企業で使われてきたオンプレミスのActive Directoryドメインサービス(AD DS)とAzure ADは、完全に別ものです、提供されている機能も概念も、全く異なります。ただし、どちらも企業のユーザーIDを登録して認証するサービスであること、そしてWindows 10 OS搭載のデバイスが参加できることに関しては共通しています。
≪オンプレミスのActive DirectoryとAzure ADは完全に別もの≫
オンプレミスのADドメインサービスは、「ドメインコントローラー」という役割のWindows Server OSをインストールしたサーバーを展開します。
オンプレミスのActive Directoryは主に社内ネットワーク上で社内のシステムを利用する場合に安全性と利便性を両立させるための認証機能であり、クラウドサービスやテレワークでの利用を想定して作られていません。
一方Azure ADはクラウドサービスを利用することを前提での認証機能となります。
Azure ADはクラウドサービスなので、ドメインコントローラーのようなハードウェアのサーバーの展開は不要です。
Azure ADはMicrosoft365にサインナップするだけでいつでもどこからでも利用できます。
Microsoft 365にサインアップすると、その会社のAzure ADテナントというものが作成されます。
Azure ADテナントはインターネットで使用する為にドメイン名を振り当てる必要があります。
既定のドメイン名は「xxx.onmicrosoft.com」となっています、また「xxx.com」などのように企業が所有している既存の会社のドメイン名を付けたい場合は、自社のドメイン名を追加することも可能です。
Azure ADの特徴4つを紹介
① クラウドサービスのアカウント管理でシングルサインオンを実現
Azure ADの主要な機能は、各種クラウドサービスのアカウントを管理をするということです。
Microsoftが提供するMicrosoft365の管理だけでなく、それ以外にも様々なクラウドサービスを紐づけてシングルサインオンで利用できます。
シングルサインオンとは、1回の認証で複数のクラウドサービスが使用できる機能のことです。
今までは、異なるクラウドサービスを利用している場合は、それぞれのサービスごとに別々の認証情報を用意しなければいけませんでした。
しかしAzure ADでは、複数のクラウドサービスのアカウント情報とAzure ADのアカウント情報を紐づけることができます、そのため一度Azure ADのIDでログインするだけでMicrosoft365以外の「Dropbox」や「Box」「DocuSign」といった様々なクラウドサービスも同じIDでセキュアに利用できるようになります。
≪シングルサインオンを使ったマイアプリポータルへアクセスの例≫
② Microsoft365にログインする際に多要素認証(Multi-Factor Authentication)で手軽に本人確認ができる
Azure ADはクラウドサービス認証機能として、通常のID・パスワード設定以外にも様々な方法で本人確認ができます。
たとえば、セキュリティをより高めたい場合には、2要素認証の導入がお勧めです。
IDパスワード以外にスマートフォンを利用して、SMSやワンタイムパスワードを認証に付加し2要素認証で認証要素を増やし、より強固に不正ログインを防ぐことが可能です。
近年、不正アクセスによるサイバー攻撃が注目を集めていますが、このような攻撃には2要素認証が効果的であるとされています。
≪MS365管理画面から多要素認証を有効にする例≫
≪管理画面から多要素認証の詳細設定例≫
≪スマートフォン上でMicrosoft Authenticatorアプリによるワンタイムパスワードを使って二段階認証をする例≫
③ 条件付きアクセスを使ってMicrosoft365へのアクセスを制御
条件付きアクセスとは、特定のユーザーがAzure AD上のアプリケーションにアクセスしてきた際に、
そのアクセス方法に条件を設けることによって制御し、該当するユーザーを許可もしくは拒否する事ができる機能です。
例えば、特定のグローバルIPアドレスからの通信しかアクセスさせないという制御ができます。
例えば、クラウドサービスを喫茶店や自宅からはアクセスさせたくない場合は会社のゲートウェイに設定してある、
グローバルIPアドレスをAzure ADの条件に登録して、会社のネットワークかVPN経由からしかアクセスさせないといった設定ができます。
≪条件付きアクセスの設定例≫
場所の定義はIPアドレス/サブネットまたは国または地域で定義できます。
ただし、IPアドレスの指定はグローバルIPのみとなります。
④ ユーザー別アプリケーションの管理
Azure ADに登録したユーザーに対してどのアプリケーションを割り当てるか設定することができます。
クラウド上で複数のアプリケーションを利用している場合でも、
それぞれのユーザーの職種によって、見せたいアプリケーションが異なるケースが出てくると思います。
社員毎に利用できるアプリケーションを制限できるので、社員が不必要なアプリケーションを使用することを防げます。
≪ユーザー別にアプリケーションの割り当てをする例≫
Azure ADの様々な管理ツールのご紹介
Azure ADテナントには、次のように様々な管理ツールが提供されています。
これらのツールでAzure ADを管理するには、管理者アカウントでのサインインが必要です。
| 管理ツール名 | 管理サイトURL | |
|---|---|---|
| Azureポータル | ➡ | https://portal.azure.com/ |
| Azure Active Directory 管理センター | ➡ | https://aad.portal.azure.com/ |
| Microsoft365管理センター | ➡ | https://admin.microsoft.com/ |
| Microsoft Endpoint Manager管理センター | ➡ | https://endpoint.microsoft.com/ |
| PowerShell モジュール | ➡ | <動詞>-AzureADxxxコマンドレット
<動詞>-MSOnlinexxxコマンドレット <動詞>-AzADxxxコマンドレット |
Azure ADライセンスの4つのエディションの説明
Azure ADライセンスには、次の4種類のエディションがあります。
| エディション | 機能概要 | 各種Azure ADの主な付属プラン |
|---|---|---|
| ①Azure AD Free
②Microsoft365アプリ |
「Azure AD Free」は、Azureをサインアップした直後の状態です。
「Microsoft365アプリ」は、Microsoft365をサインアップした直後の状態で、基本的な認証基盤として無償で提供されています |
✔Microsoft 365 Apps for Business
✔Microsoft 365 Business Basic ✔Microsoft 365 Business Standard |
| ③Azure AD Premium P1 | より厳しいID/アクセス管理を必要とする企業に向けて、エンタープライズレベルの機能豊富なID管理機能を提供しているエディションです。 | ✔Microsoft 365 BusinessPremium ✔Microsoft 365 E3 ✔Enterprise Mobility + Security E3 |
| ④Azure AD Premium P2 | Azure AD Premium P1ライセンスで提供される全機能に加え、高度なID保護や高度な権限管理、サイバー攻撃対策機能も提供されます。 | ✔Microsoft 365 E5 ✔Enterprise Mobility +Security E5 |
※Azure AD Premium P1とAzure AD Premium P2は単体でも購入可能で、価格は下記となります。
-Azure AD Premium P1 : S$100(年額・1ユーザー)
-Azure AD Premium P2 : S$150(年額・1ユーザー)
Azure ADライセンスの機能比較
下の表は、Azure ADライセンスのエディション別の機能比較です。
| 機能 | Free | MS365アプリ | Premium P1 | Premium P2 |
|---|---|---|---|---|
| IDとアクセスの管理 | ||||
| ディレクトリオブジェクト | ● | ● | ● | ● |
| シングルサインオン | ● | ● | ● | ● |
| ユーザープロビジョニング | ● | ● | ● | ● |
| フェデレーション認証 | ● | ● | ● | ● |
| ユーザー及びグループ管理(追加・削除) | ● | ● | ● | ● |
| デバイス登録 | ● | ● | ● | ● |
| クラウド認証 | ● | ● | ● | ● |
| Azure AD Connect同期 | ● | ● | ● | ● |
| セルフサービスパスワード変更 | ● | ● | ● | ● |
| Azure AD Join | ● | ● | ● | ● |
| パスワード保護 | ● | ● | ● | ● |
| 多要素認証 | ● | ● | ● | ● |
| 基本的なレポート | ● | ● | ● | ● |
| 企業間コラボレーション | ||||
| ゲストユーザー向けAzure AD機能 | ● | ● | ● | ● |
| MS 365アプリのIDとアクセス管理 | ||||
| 会社のブランド | ● | ● | ● | ● |
| セルフサービスパスワードリセット | ● | ● | ● | ● |
| SLA | ● | ● | ● | ● |
| デバイスのライトパック | ● | ● | ● | ● |
| Premium機能 | ||||
| パスワード保護(カスタム禁止パスワード) | ● | ● | ||
| Windows Server ADのパスワード保護 | ● | ● | ||
| パスワードのライトパック | ● | ● | ||
| グループアクセス管理 | ● | ● | ||
| Microsfot Cloud App Discovery | ● | ● | ||
| Azure AD Join+MDM自動登録 | ● | ● | ||
| 高度なレポート | ● | ● | ||
| ハイブリッドID | ||||
| アプリケーションプロキシ | ● | ● | ||
| MIMユーザーCAL | ● | ● | ||
| Azure AD Connect Health | ● | ● | ||
| 高度なグループアクセス管理 | ||||
| 動的グループ | ● | ● | ||
| グループ作成の委任 | ● | ● | ||
| 名前付けポリシー | ● | ● | ||
| 有効期限 | ● | ● | ||
| 使用上のガイドライン | ● | ● | ||
| 既定の分類 | ● | ● | ||
| 条件付きアクセス | ||||
| グループ、場所、デバイスベース | ● | ● | ||
| Azure Information Protection Premium | ● | ● | ||
| SharePointでの制限付きアクセス | ● | ● | ||
| 使用条件 | ● | ● | ||
| 条件付きアクセスによる多要素認証 | ● | ● | ||
| Microsoft Cloud App Security統合 | ● | ● | ||
| サードパーティーIDガバナンスパートナー統合 | ● | ● | ||
| ID保護 | ||||
| 脆弱性とリスクの高いアカウントの検出 | ● | |||
| リスクイベントの調査 | ● | |||
| リスクに基づく条件付きアクセスポリシー | ● | |||
| Identity Governance | ||||
| Privileged Identity Management(PIM) | ● | |||
| アクセスレビュー | ● | |||
| エンタイトルメント管理 | ● | |||
※この表はマイクロソフトの公式サイトの情報を基づいて作成しました、公式サイトの情報は随時更新されていくかと思いますので、最新の情報はマイクロソフトの公式サイトで確認をお願いいたします。
Azure ADの導入設定はカワテックにお任せ!
Azure ADの利用によって、煩雑化しがちなクラウドアカウント管理をシンプルにできます。
認証によるセキュリティも容易に高められるため、シンガポールでご活躍の経営者や
IT担当者の負担軽減が期待できるので、是非導入をご検討してみてはいかがでしょうか。
「Azure ADの導入設定」に関してご質問等なんでもお気軽にお問い合わせくださいませ。
日本人スタッフが対応させていただきます。
(お問い合わせ先はページ下部に御座います)
