Azure AD(Azure Active Directory)とは? Active Directoryとの違い、連携を解説

Azure AD(Azure Active Directory)とは

Azure ADとは、Azure Active Directoryの略で、Microsoft社が提供するクラウドベースの認証・ID管理サービスです。このサービスは、従業員が Microsoft 365、Azure portalやその他のさまざまなSaaSアプリケーションなどの外部リソースにアクセスするのに役立ちます*。

*出所:https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/active-directory-whatis

従来、Microsoft社はすべてのシステムの認証・ID管理サービスとして、オンプレミス型のActive Directoryを提供していました。その後、Microsoft 365をはじめとするアプリケーションのクラウド化に対応する形で、オンプレミス、クラウド問わず認証管理を一括で行うIDaaS(Identity as a Service)であるAzure ADが登場しました。

IDaaSとは?全体像とメリットを解明

Active DirectoryとAzure AD(Azure Active Directory)の違い

従来のオンプレミス型のActive Directoryとクラウド型のAzure ADは、どちらも「Active Directory」という単語が入っているため混同しがちですが、似て非なるサービスです。搭載している機能や概念、構成方法が全く異なります。

Active DirectoryとAzure AD(Azure Active Directory)の違い

1. 管理対象とするIDの違い

オンプレミスのActive Directoryは、ファイアウォールで守られている社内ネットワークで使用され、管理対象は主に社内ネットワークで使用するIDです。使われるプロトコルには、Kerberosプロトコルがあります。また社内システムに対してディレクトリサービスも提供します。

Azure ADは主にクラウドで使用され、管理対象はインターネットで使用するIDです。使われるプロトコルには、Open ID ConnectやSAML(サムル)があります。SaaS等のクラウドサービスに対して、認証サービスやフェデレーションによるSSO(シングルサインオン)を提供します。

2. デバイス管理の違い

オンプレミスのActive Directoryはグループポリシーを使用して、ドメインに参加したデバイスの使用環境を制限することが可能です。

Azure ADにはグループポリシー機能がありません。デバイス管理を行うためには、Microsoft IntuneというPCやスマホなどデバイスを管理するためのツールの導入が必要になります。

3. サーバー構成の違い

Active DirectoryとAzure AD(Azure Active Directory)のサーバー構成の違い

オンプレミスのActive Directoryでは、例えば多要素認証の導入やWebアプリケーションへのシングルサインオン(SSO)の構成という要件に対し、それぞれADFS(Active Directoryフェデレーションサービス)サーバーやWebアプリケーションプロキシサーバーなど、用途にあったWindowsサーバーの展開が必要になります。

Azure ADは、クラウドサービスに対して認証やシングルサインオンを提供するためのサービスであり、多要素認証やシングルサインオン(SSO)の機能が搭載されています。管理ポータルで必要な機能を構成するだけで要件を満たすことが出来ます。

シングルサインオン(SSO)とは?

Azure AD(Azure Active Directory)の主な管理機能

Azure ADの主な機能として、Microsoft社はウェブサイト上で機能一覧を紹介しています。ここでは代表的な機能をご紹介します。

ID管理機能

Azure AD(Azure Active Directory)の主な管理機能 アクセス制限機能

入退社や異動や昇格、部署の改編などに伴う権限付与を個別ではなく一括で行え、業務負荷を減らします。通常のユーザー名とパスワードによるサインインも可能ですが、シングルサインオン(SSO)や多要素認証を利用することも可能です。

デバイス管理機能

Azure AD(Azure Active Directory)の主な管理機能 アクセス制限機能

ユーザーが利用するモバイルデバイスを登録・管理し、デバイスによるアクセス許可・制限を実行できます。

アクセス制限機能

Azure AD(Azure Active Directory)の主な管理機能 アクセス制限機能

ユーザーごとにアクセスできるサービスやアプリケーションを制御できます。特定のアプリケーションを使いたい場合は個別に申請をあげてもらうことで、誰が何を使用しているかを明確に管理することが可能です。

出所:https://www.microsoft.com/ja-jp/security/business/identity-access/azure-active-directory-pricing

Azure AD(Azure Active Directory) 管理の課題

Azure ADは非常に多機能であり、導入することで企業の業務システムのID管理を強化することが可能です。Azure ADのID管理はMicrosoft社のサービスに限定されるわけではありませんが、対応していないWebアプリケーションも多く存在するため、すべてのアプリケーションの一括管理ができず、手動での管理業務が増加する課題も存在します。

SailPointは100種類以上の標準コネクタおよび連携モジュールにより、国内アプリを含むほぼすべてのアプリケーションやデータソースと連携できます。企業がカスタマイズで構築した独自システムも、汎用コネクタで接続が可能です。

Amazon Web Services
BOX
google cloud platform
Microsoft Active Directory
Microsoft Teams
okta
salesforce
SAP
コネクタ一覧

Azure AD(Azure Active Directory)とSailPointが連携するメリット

SailPointが提供するクラウド型統合ID管理システム SailPoint IdentityNowは、IDを中心に設計された管理システムです。
オンプレミス、クラウド、メインフレームに存在する各種ID情報を集約し、人を中心に関連付けを行うことで、SailPoint独自のアイデンティティ・キューブを形成します。取り込まれたIDに付与されている各種アクセス権限は、個々に取り扱うのではなく、複数のアクセス権限を束ねたロールの概念を取り入れることで、効率よくすべてのアプリのID管理・アクセス権限管理を行います。
すでにAzure ADを導入済みの企業は、SailPoint IdentityNowと連携させることで、より強力なアイデンティティ・ガバナンス/管理(IGA)の仕組みを構築することが可能です。


Microsoft社のMatt Renner氏は以下のようにコメントしています。

SailPointは顧客満足度が非常に高く、このマーケットに改革を起こしています。
アイデンティティ・ガバナンス/管理(IGA)業界のリーダーと一緒に働けることを幸運に思っています。

Microsoft社 Matt Renner氏
出所:https://www.sailpoint.com/identity-library/microsoft-azure-ad-customers-identity-governance/

まとめ

オンプレミスActive DirectoryとAzure ADは、どちらも組織のユーザーIDを登録して認証するサービスである点では共通していますが、構成要素やプロトコル、概念も異なるため、単純に置き換えるものではありません。Azure ADでは管理が出来ないWebアプリケーションを含めて統制機能を一層強化するためには、SailPoint IdentityNowとの連携が有効です。

関連コンテンツ

SailPoint アイデンティティ・プラットフォーム SailPoint IdentityNow
製品

アイデンティティ・プラットフォーム SailPoint IdentityNow

製品を知る
SailPoint 記事 アイデンティティ・ガバナンス/管理(IGA)とは
記事

アイデンティティ・ガバナンス/管理(IGA)とは

記事を読む
SailPoint 記事 シングルサインオン(SSO)とは
記事

シングルサインオン(SSO)とは

記事を読む

SailPointへのお問い合わせ

*必須フィールド