クラウドサービスの利用が進み、認証の仕組みが以前と比較して格段に重要になってきているのではないでしょうか。
周囲を見渡しても、ID管理に関連するサービスやITニュースがずいぶん増えているため、今さら、「Azure ADって結局なんなの?」と若手や部下に聞けないおじさん・おばさんサラリーマンもたくさんいるのではないでしょうか?(私もその1人ですが)
本日は、
Azure ADとオンプレADの違いが分からない、説明に自信がない、聞く人がいない人
これからオンプレADからAzure ADへの移行を検討しようとしている人
マネジメント、上司に分かりやすい言葉で、Azure ADを説明したい人
に向けて記事をまとめてみました。
この記事を読むことにより、
Azure ADとオンプレADの違いを説明できる
Azure ADの主な機能を説明できる
Azure ADのユーザー企業のエンドユーザー、IT管理者、経営層から見たメリットを説明できる
既にオンプレADがある場合はどうするのか説明できる
ようになります。どうぞ最後までご覧ください。
Azure AD(Azure Active Directory)とオンプレミス Active Directoryの違い
サービスの名称がとても似ていることから、
- Active Directoryは企業でユーザーやデバイスを管理するディレクトリサービス
- Azure ADはオンプレにあるActive Directory
だと思っていましたが、単純にそういう訳ではなかったです。まずはまとめた結果からどうぞ!
項目 | Azure Active Directory | オンプレミス Active Directory |
利用目的 | クラウドサービスを使うためのアカウントの認証の仕組み。 | 社内ネットワークのユーザーやデバイスの管理、社内リソースへのアクセスの管理を行う。 |
デバイスの管理方法・対象 | Azure ADと共に、Intuneという管理ツールを併用。インターネットから使う会社が管理しないPC・モバイル社員のBYOD端末や社外の端末なども管理できる。 | ADのポリシー管理機能により、会社のルールに則ったポリシーを適用して一括管理する。社内ネットワークに接続するものが対象(通常は会社が管理するPC) |
認証プロトコル | SAML、WS-Federation、OpenID Conneect、OAuth等 | Kerberosで認証 |
Microsoft社による、Azure Active Directoryの概要説明はこちら(難しい・・・)
https://azure.microsoft.com/ja-jp/services/active-directory/#features
Azure Active Directoryの機能
アプリケーション管理
登録したユーザーにどのアプリケーションを使わせるのか設定する。
Microsoftのサービスや、Facebook・Dropboxのようなサービス、企業向けクラウドサービス等対応しているサービスは非常に多い。
多要素認証
従来型のユーザー名とパスワードだけでの認証だけではなく、
- 電話番号・SNSなどを使ったワンタイムパスワード
- Windows10デバイスでの生体認証(顔認証、虹彩、指紋)
が可能。
許可されていない端末では多要素認証を要求するが、許可された端末では多要素認証をスキップする等、デバイスの種別によるコントロールができる。
ID保護機能
機械学習を利用し、怪しいサインインを試行するユーザーを検出、ブロックする。例えば、日本でログインしようとしたユーザーが10分後にブラジルからログインを試みているなど。
アプリケーションアクセス制限機能
ユーザーやデバイスによって、利用を許可するアプリケーションを細かく設定できる。
- アプリケーションAは日本のユーザーで、会社貸与のパソコンからしか使わせたくない
- アプリケーションBはグローバルのユーザーで、モバイルからのみ使わせる
- アプリケーションCは営業グループのマネージャーのモバイルからのみ使わせる
など・・・
オンプレミスActive Directoryの制約
- 組織単位で社内ネットワークで利用し、クラウドに対応していないため、社内にローカルネットワークで接続されているもの(通常は会社が管理するPCのみ)しか各種機能を利用できない。インターネットから使いたい場合は、社内ネットワークにVPN接続を行う必要がある。
- 管理対象は通常は会社が貸与するPCのみであるため、BYOD端末や社外の端末などを管理する仕組みを持たない。
- デバイスの登録情報に基づき、許可された端末のみログオンを許可する等の制御が可能
なぜAzure Active Directory を使うのか?ユーザー・IT管理者・経営のメリット
ユーザーのメリット
- 1種類のID・パスワードで全部のサービスにログインできる。
- 何度もログインし直さなくて良い。
- 会社貸与デバイス以外のパソコン・モバイルからも安心してアクセスできる。
- クラウドサービスへ簡単にアクセスできる。会社のVPNに接続して認証してから、クラウドサービスを使うという手間がなくなる。
IT管理者のメリット
- 認証の仕組みが1つで済む。
- クラウドサービスのIDをサービス毎にバラバラではなく、まとめて管理できる。
- オンプレサーバーの管理をしなくて良いので、オンプレよりも負担が小さい。
- 情報セキュリティの向上。複数覚えるべきパスワードがあると、ユーザーはパスワードを使い回してしまうので、共通の強固なパスワードが設定できたり、多要素・二段階認証を設定できるのは安心。
経営のメリット
- 初期コストが抑えられる。Azure ADの仕組みで様々な機能を持っており、機能追加にサーバーの追加が不要。(運用コストはやり方次第)
- テレワーク環境を社員へ提供できる。
- クラウドサービスの利用促進ができる。
既にオンプレミス Active DirectoryがあるならばAzure AD Connect でID連携
通常はある程度の規模の会社であれば、オンプレのADを社内ネットワークに設置しており、ユーザーやPCを管理し社内リソースへのアクセス管理のためにADを利用している。
社内のアプリケーションを利用するためのIDと、クラウドサービスを利用するためのIDを共通化して一元管理するために、Azure AD Connect サービスを利用することにより、オンプレADのID情報をAzure ADに連携することができる。
Azure Active Directoryの種類
4種類のエディションがある。無料1種類、有料3種類。
https://azure.microsoft.com/ja-jp/pricing/details/active-directory/
企業が利用を検討する場合は、Premium P1またはP2を選択するのが良い。(もちろん使わなければ、無料でも有料で最も安価な「Office365」でも良いが、Azure ADを中心とした認証を利用するのであれば、Premiumに含まれる機能の活用が最も効率的にセキュリティを高める仕組みを使える)
Azure Active Directoryを理解するためのおすすめ書籍
ここまでお読みくださり、どうもありがとうございました。