Azure AD(Azure Active Directory)とは
Azure ADとは、Azure Active Directoryの略で、Microsoft社が提供するクラウドベースの認証・ID管理サービスです。このサービスは、従業員が Microsoft 365、Azure portalやその他のさまざまなSaaSアプリケーションなどの外部リソースにアクセスするのに役立ちます*。
*出所:https://learn.microsoft.com/ja-jp/azure/active-directory/fundamentals/active-directory-whatis
従来、Microsoft社はすべてのシステムの認証・ID管理サービスとして、オンプレミス型のActive Directoryを提供していました。その後、Microsoft 365をはじめとするアプリケーションのクラウド化に対応する形で、オンプレミス、クラウド問わず認証管理を一括で行うIDaaS(Identity as a Service)であるAzure ADが登場しました。
Active DirectoryとAzure AD(Azure Active Directory)の違い
従来のオンプレミス型のActive Directoryとクラウド型のAzure ADは、どちらも「Active Directory」という単語が入っているため混同しがちですが、似て非なるサービスです。搭載している機能や概念、構成方法が全く異なります。
1. 管理対象とするIDの違い
オンプレミスのActive Directoryは、ファイアウォールで守られている社内ネットワークで使用され、管理対象は主に社内ネットワークで使用するIDです。使われるプロトコルには、Kerberosプロトコルがあります。また社内システムに対してディレクトリサービスも提供します。
Azure ADは主にクラウドで使用され、管理対象はインターネットで使用するIDです。使われるプロトコルには、Open ID ConnectやSAML(サムル)があります。SaaS等のクラウドサービスに対して、認証サービスやフェデレーションによるSSO(シングルサインオン)を提供します。
2. デバイス管理の違い
オンプレミスのActive Directoryはグループポリシーを使用して、ドメインに参加したデバイスの使用環境を制限することが可能です。
Azure ADにはグループポリシー機能がありません。デバイス管理を行うためには、Microsoft IntuneというPCやスマホなどデバイスを管理するためのツールの導入が必要になります。
3. サーバー構成の違い
オンプレミスのActive Directoryでは、例えば多要素認証の導入やWebアプリケーションへのシングルサインオン(SSO)の構成という要件に対し、それぞれADFS(Active Directoryフェデレーションサービス)サーバーやWebアプリケーションプロキシサーバーなど、用途にあったWindowsサーバーの展開が必要になります。
Azure ADは、クラウドサービスに対して認証やシングルサインオンを提供するためのサービスであり、多要素認証やシングルサインオン(SSO)の機能が搭載されています。管理ポータルで必要な機能を構成するだけで要件を満たすことが出来ます。
シングルサインオン(SSO)とは?Azure AD(Azure Active Directory)の主な管理機能
Azure ADの主な機能として、Microsoft社はウェブサイト上で機能一覧を紹介しています。ここでは代表的な機能をご紹介します。
ID管理機能
入退社や異動や昇格、部署の改編などに伴う権限付与を個別ではなく一括で行え、業務負荷を減らします。通常のユーザー名とパスワードによるサインインも可能ですが、シングルサインオン(SSO)や多要素認証を利用することも可能です。
デバイス管理機能
ユーザーが利用するモバイルデバイスを登録・管理し、デバイスによるアクセス許可・制限を実行できます。
アクセス制限機能
ユーザーごとにアクセスできるサービスやアプリケーションを制御できます。特定のアプリケーションを使いたい場合は個別に申請をあげてもらうことで、誰が何を使用しているかを明確に管理することが可能です。
出所:https://www.microsoft.com/ja-jp/security/business/identity-access/azure-active-directory-pricing
Azure AD(Azure Active Directory) 管理の課題
Azure ADは非常に多機能であり、導入することで企業の業務システムのID管理を強化することが可能です。Azure ADのID管理はMicrosoft社のサービスに限定されるわけではありませんが、対応していないWebアプリケーションも多く存在するため、すべてのアプリケーションの一括管理ができず、手動での管理業務が増加する課題も存在します。
SailPointは100種類以上の標準コネクタおよび連携モジュールにより、国内アプリを含むほぼすべてのアプリケーションやデータソースと連携できます。企業がカスタマイズで構築した独自システムも、汎用コネクタで接続が可能です。
Azure AD(Azure Active Directory)とSailPointが連携するメリット
SailPointが提供するクラウド型統合ID管理システム SailPoint IdentityNowは、IDを中心に設計された管理システムです。
オンプレミス、クラウド、メインフレームに存在する各種ID情報を集約し、人を中心に関連付けを行うことで、SailPoint独自のアイデンティティ・キューブを形成します。取り込まれたIDに付与されている各種アクセス権限は、個々に取り扱うのではなく、複数のアクセス権限を束ねたロールの概念を取り入れることで、効率よくすべてのアプリのID管理・アクセス権限管理を行います。
すでにAzure ADを導入済みの企業は、SailPoint IdentityNowと連携させることで、より強力なアイデンティティ・ガバナンス/管理(IGA)の仕組みを構築することが可能です。
Microsoft社のMatt Renner氏は以下のようにコメントしています。
SailPointは顧客満足度が非常に高く、このマーケットに改革を起こしています。
Microsoft社 Matt Renner氏
アイデンティティ・ガバナンス/管理(IGA)業界のリーダーと一緒に働けることを幸運に思っています。
出所:https://www.sailpoint.com/identity-library/microsoft-azure-ad-customers-identity-governance/
まとめ
オンプレミスActive DirectoryとAzure ADは、どちらも組織のユーザーIDを登録して認証するサービスである点では共通していますが、構成要素やプロトコル、概念も異なるため、単純に置き換えるものではありません。Azure ADでは管理が出来ないWebアプリケーションを含めて統制機能を一層強化するためには、SailPoint IdentityNowとの連携が有効です。
関連コンテンツ
SailPointへのお問い合わせ
*必須フィールド