【クラウドベースのユーザー認証サービス】Azure ADって何?場所やデバイスを選ばず安全にクラウドサービスにアクセスしよう!-カワテックのブログ記事です。

2021年8月28日 【クラウドベースのユーザー認証サービス】Azure ADって何?場所やデバイスを選ばず安全にクラウドサービスにアクセスしよう!

 

 

 

普段Microsoft 365 クラウドサービスなどを利用していてこんな要望ありませんか?

  • Microsoft 365以外のクラウドサービスも同じIDでセキュアに利用したい。
  • ID・パスワード以外にも多要素認証を有効にして、なりすましを防止したい。
  • Microsoft 365にアクセスできる接続元のIPアドレスを制限して、オフィスとVPN経由のみアクセス許可をしたい。
  • ユーザー別に使えるアプリケーションの管理したい。

 

上記のような要望をAzure ADを使って実現できます。

 

Azure AD(Active Directory)とは?

クラウド上で安全にユーザー認証できる機能を提供しているサービスです。

従来AD(Active Directory)といえば、社内のオンプレミスサーバーで利用する認証システムが一般的でした。

しかしコロナ渦などの影響でクラウドサービスが爆発的に普及し、外出先での業務や在宅勤務などの多様な働き方が求めれれています。

そこで要望が出てきたのが、クラウド上で安全に認証機能が利用できるAzure AD(Active Directory)です。

企業はクラウド認証機能のために社内にシステムを構築する必要がなく、Azure ADを使って簡単にセキュリティの高い認証システムを導入できます。

クラウドサービスは非常に便利ですが、しかしその反面、会社のユーザー、デバイス、アプリケーションへのアクセス管理がばらばらになり、煩雑な認証管理になります、そんな煩雑な認証管理をもっと簡単にシンプルに実現させてくれるのがAzure ADです、シンガポールでご活躍の経営者やIT担当者の管理負担軽減が期待できます。

 

≪コロナ渦でのシステム利用の例≫

 

 

社内のオンプレミスのActive Directoryドメインサービス(AD DS)とAzure ADの違いとは?

古くから企業で使われてきたオンプレミスのActive Directoryドメインサービス(AD DS)とAzure ADは、完全に別ものです、提供されている機能も概念も、全く異なります。ただし、どちらも企業のユーザーIDを登録して認証するサービスであること、そしてWindows 10 OS搭載のデバイスが参加できることに関しては共通しています。

 

≪オンプレミスのActive DirectoryとAzure ADは完全に別もの≫

 

オンプレミスのADドメインサービスは、「ドメインコントローラー」という役割のWindows Server OSをインストールしたサーバーを展開します。

オンプレミスのActive Directoryは主に社内ネットワーク上で社内のシステムを利用する場合に安全性と利便性を両立させるための認証機能であり、クラウドサービスやテレワークでの利用を想定して作られていません。

一方Azure ADはクラウドサービスを利用することを前提での認証機能となります。

Azure ADはクラウドサービスなので、ドメインコントローラーのようなハードウェアのサーバーの展開は不要です。

Azure ADはMicrosoft365にサインナップするだけでいつでもどこからでも利用できます。

Microsoft 365にサインアップすると、その会社のAzure ADテナントというものが作成されます。

Azure ADテナントはインターネットで使用する為にドメイン名を振り当てる必要があります。

既定のドメイン名は「xxx.onmicrosoft.com」となっています、また「xxx.com」などのように企業が所有している既存の会社のドメイン名を付けたい場合は、自社のドメイン名を追加することも可能です。

 

Azure ADの特徴4つを紹介

 

① クラウドサービスのアカウント管理でシングルサインオンを実現

Azure ADの主要な機能は、各種クラウドサービスのアカウントを管理をするということです。

Microsoftが提供するMicrosoft365の管理だけでなく、それ以外にも様々なクラウドサービスを紐づけてシングルサインオンで利用できます。

シングルサインオンとは、1回の認証で複数のクラウドサービスが使用できる機能のことです。

今までは、異なるクラウドサービスを利用している場合は、それぞれのサービスごとに別々の認証情報を用意しなければいけませんでした。

しかしAzure ADでは、複数のクラウドサービスのアカウント情報とAzure ADのアカウント情報を紐づけることができます、そのため一度Azure ADのIDでログインするだけでMicrosoft365以外の「Dropbox」や「Box」「DocuSign」といった様々なクラウドサービスも同じIDでセキュアに利用できるようになります。

 

≪シングルサインオンを使ったマイアプリポータルへアクセスの例≫

 

② Microsoft365にログインする際に多要素認証(Multi-Factor Authentication)で手軽に本人確認ができる

Azure ADはクラウドサービス認証機能として、通常のID・パスワード設定以外にも様々な方法で本人確認ができます。

たとえば、セキュリティをより高めたい場合には、2要素認証の導入がお勧めです。

IDパスワード以外にスマートフォンを利用して、SMSやワンタイムパスワードを認証に付加し2要素認証で認証要素を増やし、より強固に不正ログインを防ぐことが可能です。

近年、不正アクセスによるサイバー攻撃が注目を集めていますが、このような攻撃には2要素認証が効果的であるとされています。

 

≪MS365管理画面から多要素認証を有効にする例≫

 

≪管理画面から多要素認証の詳細設定例≫

 

≪スマートフォン上でMicrosoft Authenticatorアプリによるワンタイムパスワードを使って二段階認証をする例≫

 

 

③ 条件付きアクセスを使ってMicrosoft365へのアクセスを制御

条件付きアクセスとは、特定のユーザーがAzure AD上のアプリケーションにアクセスしてきた際に、

そのアクセス方法に条件を設けることによって制御し、該当するユーザーを許可もしくは拒否する事ができる機能です。

例えば、特定のグローバルIPアドレスからの通信しかアクセスさせないという制御ができます。

例えば、クラウドサービスを喫茶店や自宅からはアクセスさせたくない場合は会社のゲートウェイに設定してある、

グローバルIPアドレスをAzure ADの条件に登録して、会社のネットワークかVPN経由からしかアクセスさせないといった設定ができます。

 

≪条件付きアクセスの設定例≫

場所の定義はIPアドレス/サブネットまたは国または地域で定義できます。

ただし、IPアドレスの指定はグローバルIPのみとなります。

 

④ ユーザー別アプリケーションの管理

Azure ADに登録したユーザーに対してどのアプリケーションを割り当てるか設定することができます。

クラウド上で複数のアプリケーションを利用している場合でも、

それぞれのユーザーの職種によって、見せたいアプリケーションが異なるケースが出てくると思います。

社員毎に利用できるアプリケーションを制限できるので、社員が不必要なアプリケーションを使用することを防げます。

 

≪ユーザー別にアプリケーションの割り当てをする例≫

 

 

Azure ADの様々な管理ツールのご紹介

Azure ADテナントには、次のように様々な管理ツールが提供されています。

これらのツールでAzure ADを管理するには、管理者アカウントでのサインインが必要です。

管理ツール名 管理サイトURL
Azureポータル https://portal.azure.com/
Azure Active Directory 管理センター https://aad.portal.azure.com/
Microsoft365管理センター https://admin.microsoft.com/
Microsoft Endpoint Manager管理センター https://endpoint.microsoft.com/
PowerShell モジュール <動詞>-AzureADxxxコマンドレット

<動詞>-MSOnlinexxxコマンドレット

<動詞>-AzADxxxコマンドレット

 

Azure ADライセンスの4つのエディションの説明

Azure ADライセンスには、次の4種類のエディションがあります。

エディション 機能概要 各種Azure ADの主な付属プラン
①Azure AD Free

②Microsoft365アプリ

「Azure AD Free」は、Azureをサインアップした直後の状態です。

「Microsoft365アプリ」は、Microsoft365をサインアップした直後の状態で、基本的な認証基盤として無償で提供されています

✔Microsoft 365 Apps for Business

✔Microsoft 365 Business Basic

✔Microsoft 365 Business Standard

③Azure AD Premium P1 より厳しいID/アクセス管理を必要とする企業に向けて、エンタープライズレベルの機能豊富なID管理機能を提供しているエディションです。 ✔Microsoft 365 BusinessPremium
✔Microsoft 365 E3
✔Enterprise Mobility + Security E3
④Azure AD Premium P2 Azure AD Premium P1ライセンスで提供される全機能に加え、高度なID保護や高度な権限管理、サイバー攻撃対策機能も提供されます。 ✔Microsoft 365 E5
✔Enterprise Mobility +Security E5

※Azure AD Premium P1とAzure AD Premium P2は単体でも購入可能で、価格は下記となります。

-Azure AD Premium P1 : S$100(年額・1ユーザー)

-Azure AD Premium P2 : S$150(年額・1ユーザー)

 

Azure ADライセンスの機能比較

下の表は、Azure ADライセンスのエディション別の機能比較です。

機能 Free MS365アプリ Premium P1 Premium P2
IDとアクセスの管理
ディレクトリオブジェクト
シングルサインオン
ユーザープロビジョニング
フェデレーション認証
ユーザー及びグループ管理(追加・削除)
デバイス登録
クラウド認証
Azure AD Connect同期
セルフサービスパスワード変更
Azure AD Join
パスワード保護
多要素認証
基本的なレポート
企業間コラボレーション
ゲストユーザー向けAzure AD機能
MS 365アプリのIDとアクセス管理
会社のブランド
セルフサービスパスワードリセット
SLA
デバイスのライトパック
Premium機能
パスワード保護(カスタム禁止パスワード)
Windows Server ADのパスワード保護
パスワードのライトパック
グループアクセス管理
Microsfot Cloud App Discovery
Azure AD Join+MDM自動登録
高度なレポート
ハイブリッドID
アプリケーションプロキシ
MIMユーザーCAL
Azure AD Connect Health
高度なグループアクセス管理
動的グループ
グループ作成の委任
名前付けポリシー
有効期限
使用上のガイドライン
既定の分類
条件付きアクセス
グループ、場所、デバイスベース
Azure Information Protection Premium
SharePointでの制限付きアクセス
使用条件
条件付きアクセスによる多要素認証
Microsoft Cloud App Security統合
サードパーティーIDガバナンスパートナー統合
ID保護
脆弱性とリスクの高いアカウントの検出
リスクイベントの調査
リスクに基づく条件付きアクセスポリシー
Identity Governance 
Privileged Identity Management(PIM)
アクセスレビュー
エンタイトルメント管理

 

※この表はマイクロソフトの公式サイトの情報を基づいて作成しました、公式サイトの情報は随時更新されていくかと思いますので、最新の情報はマイクロソフトの公式サイトで確認をお願いいたします。

 

Azure ADの導入設定はカワテックにお任せ!

Azure ADの利用によって、煩雑化しがちなクラウドアカウント管理をシンプルにできます。
認証によるセキュリティも容易に高められるため、シンガポールでご活躍の経営者や
IT担当者の負担軽減が期待できるので、是非導入をご検討してみてはいかがでしょうか。

「Azure ADの導入設定」に関してご質問等なんでもお気軽にお問い合わせくださいませ。
日本人スタッフが対応させていただきます。

(お問い合わせ先はページ下部に御座います)

  • 日本語環境PCが欲しい
  • PCの不具合を直したい
  • 無線LANの導入・構築
  • 大切なデータを復旧したい
  • データを完全消去したい
  • ビジネスフォンを導入したい
  • 業務用サーバーを入れたい
  • クラウド環境を構築したい
  • VPNを構築したい
  • システム開発を頼みたい
  • TV会議システムが欲しい
  • 監視カメラを導入したい
  • 入退出管理を強化したい
  • オフィスを丸ごと構築したい
  • IT保守管理を全て任せたい

パソコン1台の購入からオフィスの丸ごとIT移設まで、ITに関することなら親身に丁寧に何でもお応えしています。
しつこい営業などは一切致しません。些細なことでもお気軽にご相談下さい。

    お名前 必須
    電話番号 必須
    お問い合わせ種別 必須 ご相談お見積もり法人様IT保守サポートその他
    お困りごと・
    ご要望
    日本語環境のパソコンがほしいPCの不具合を直したいLAN構築工事を頼みたい大切なデータを復旧したいデータを完全消去したいビジネスフォンを導入したい業務用サーバーを入れたいクラウド環境を構築したいVPNを構築したいシステム開発を頼みたいTV会議システムがほしい監視カメラを導入したい入退室管理を強化したいオフィスの一括構築を頼みたい当社のIT保守管理内容を聞いてみたい今頼んでいる会社と比較したい必要な時だけ対応してほしい定期的にオフィスに訪問してほしいオフィスに常駐してほしいサーバーの運営・管理を任せたいデータのバックアップがしたいWi-Fi環境を構築・管理してほしいシステム開発を頼みたいITに詳しいスタッフがいないITインフラを丸ごと整備したい日本語で対応してほしいその他
    お問い合わせ内容

    TOPへ戻る