多くの企業でクラウド移行が積極的に進められていますが、複数のクラウドサービス利用によるアカウント管理に悩んでいる企業も多いでしょう。そこで今回はクラウドサービスを一括管理する「Azure AD」についてご紹介します。Azure ADの機能やオンプレミスとの違い、また導入メリットについて詳しく解説しますので、デジタルワークプレイスを構築する企業の方はぜひ参考にされてください。
Azure ADとは
「Azure AD」とは、Microsoftによるクラウド型のActive Directoryです。従来ADといえば、オンプレミスで利用する認証システムが一般的でした。しかし近年では、インターネットの発達によりクラウドサービスが普及し、外出先での業務やテレワークといった多様な働き方になってきています。
そこで登場したのが、Azure ADです。このサービスは、クラウドサービスのアカウントを一括で管理して、安全にユーザー認証できる機能を提供します。企業はクラウド認証のために独自でシステムを構築する必要がなく、簡単にセキュリティの高い認証基盤を導入できるのです。
オンプレミスのActive Directoryとの違い
クラウドサービスのAzure ADには、従来のオンプレミスADとの違いがいくつかあります。まず大前提として、そもそもの利用用途に違いがあります。Azure ADはクラウドサービスの認証に、オンプレミス ADは企業内の認証に使用されます。
またAzure ADには、「Intune」と呼ばれるツールでデバイスを管理し、「OpenID Connect」「WS-Federation」「SAML」などの様々なインターネット標準プロトコルで認証を行うという特徴があります。主にインターネットで使用するアカウント情報が管理対象になります。Azure ADは認証機能のほかにデータ保護やアプリケーションとの統合機能などが備わっています。これらの機能の追加も簡単に行えるフレキシブルな拡張性も備えているのです。
一方オンプレミスADは、グループポリシー機能を使用して会社(ドメイン)に参加したデバイスにポリシー(ルール)を当てて管理します。認証では「Kerberos」、ディレクトリへは「LDAP」を使用してアクセス管理しています。オンプレADでは、閉じられたネットワーク内のアカウント情報が管理の対象となります。 オンプレミスADにもデータ保護などの追加の役割(機能)が備わっていますが、これらの役割(機能)を展開する場合は、新しくサーバーを建てなければいけません。これらを比較すると、同じADでも機能が大きく異なることがわかります。
Azure ADの導入メリット
Azure ADはクラウドの利点を多く活かしており、導入には様々なメリットがあります。たとえば、オンプレミスと比べると、構築などの初期費用や運用費用が安く済みます。Azure ADの運用費用はサブスクリプション型なので、やり方によっては節約も可能です。そして、サーバーなどの増設が不要なので、機能やサーバーの拡張を容易かつ安価に実施できます。
さらに、ハードウェアやOSなどを自社で管理する必要がないため、保守のための工数を減らすことができます。また、Azure ADにはセルフパスワードリセットがあるほか、従来のADと連携して社内ネットワークとクラウドサービスをハイブリッドで管理することも可能です。既存のユーザー情報を使用して、クラウドサービスにアクセスすることができるため、管理者の管理負担を減らすことが可能です。
Azure ADの機能
クラウドサービスをよりセキュアに利用するために、Azure ADには様々な機能が備わっています。近年、不正なアクセスによる被害が増えているため、これらの機能を上手に活用して企業情報を守りましょう。
クラウドサービスのアカウント管理
Azure ADの主要な機能は、各種クラウドサービスのアカウント管理機能です。Microsoftが提供するサービスの管理はもちろんのこと、「Salesforce」や「Box」、「DocuSign」といった様々なアプリケーションで活用できます。
また、この管理機能の最大の利点は、シングルサインオンで利用できる点です。シングルサインオンとは、1回の認証で複数のクラウドサービスが使用できるシステムです。通常、異なるクラウドサービスを利用している場合は、それぞれのサービスごとに別々の認証情報を用意しなければいけませんでした。しかしAzure ADでは、複数のクラウドサービスのアカウント情報とAzure ADのアカウント情報を紐づけています。そのため、一度Azure ADのIDでログインするだけでMicrosoft以外のクラウドサービスも同じIDでセキュアに利用できるのです。
ID管理機能
Azure ADを利用したクラウドサービス認証では、通常のID・パスワード設定以外にも様々な方法が活用できます。たとえば、セキュリティをより高めたい場合には、2段階認証や2要素認証(多要素認証)の導入がおすすめです。
2段階認証は、認証コードを登録メールに送り認証を1段階増やすといったものです。近年、不正アクセスによるサイバー攻撃が注目を集めていますが、このような攻撃には2段階認証が効果的であるとされています。さらに、スマートフォンといったその他のデバイスを認証に付加する2要素認証で認証要素を増やし、より強固に不正ログインを防ぐことも可能です。
そのほか、Azure ADには機械学習による検知機能が備わっており、怪しいサインインの検出も可能です。不正アクセスの手段が多様化する中で、新しい手法での攻撃を事前に捉える際にとても便利です。
また、Windows 10では生体認証も利用できます。生体認証は、セキュリティ向上と利用者のストレス軽減に役立ちます。このようにAzure ADでは、認証情報の付加やAI機能の活用で、不正なログインを厳重に防ぎます。
ユーザー別アプリケーションアクセス管理機能
自社のクラウドサービスを様々なユーザーが使用する場合、ユーザー毎に利用できるアプリケーションを変更したいケースもあるでしょう。そんなときに活用できるのが、ユーザー別アプリケーション管理です。
ユーザー毎に利用できるアプリケーションを制限できるので、不必要なアプリケーションの使用を防げます。またこの機能は、ユーザーが使用できるアプリケーションのみを表示します。そのため、ユーザーは、予め制限がかかった状態でアプリケーションを選択・使用するため、自身の権限について気にすることなく利用できます。
また、アクセス管理に伴い、アプリケーションに対してユーザーやアプリの割り当ても可能で、業務効率化の助けともなるでしょう。ただし、IT部門が適切な権限管理を行う必要性があるため、管理工数がかかる点は留意してください。
関連記事はこちら
まとめ
Azure ADの利用によって、煩雑化しがちなクラウドアカウント管理を簡易化できます。さらに、認証によるセキュリティも容易に高められるため、IT担当者の負担軽減が期待できるでしょう。
認証が複雑化すると、作業者にも負担がかかります。その点Azure ADでは、シングルサインオンによる単体認証で複数のサービスが利用できるようになるため、とても便利です。デジタルワークプレイスを構築する企業の方は、ぜひBoxとともにAzure ADとの連携をしてみてはいかがでしょうか。
- トピックス:
- セキュリティ
- 関連トピックス:
- セキュリティ