近年、社内の環境をクラウドへ移行し、運用、管理コストを抑えたい!という要望や、SaaSアプリケーションを活用することでスピード感を持った業務をしたい、リモートワークで働き方改革をしたいという要望が増えています。

AzureやOffice365は、これらを実現するためのツールの一部となるのですが、実際に利用を考えた際に、アカウント情報をどうするか、ということを検討していく必要があります。

 

クラウドに移行しても、現在の企業ドメインが使えるのだろうかと考えたときに、管理者の方がまず考えるのが、Active Directoryのドメイン情報かと思います。

AzureでのActive Directoryはどういうものなのかと、検索エンジンで「Azure Active Directory」と検索すると、検索結果のトップには以下のMicrosoft社のホームページが表示されます。

参考:Azure Active Directory

オンプレミスのActive Directoryをクラウドへ移行しようと考えていた人には「欲しい情報と何か違う」と感じるかと思います。

ちなみに、上記のサイトはお馴染みのWindows Server上でドメイン情報を管理する「Active DirectoryのAzure版」ではなく、SaaS等のクラウドサービスを利用するアカウントを管理するための「Azure Active Directory(以下Azure AD)」というサービスの紹介サイトになります。

 

本記事では、Azure環境上に存在する、「Active Directory」関連のサービスや機能を整理し、今後の社内クラウド化にお役立ていただければと思います。

Azure ADについて手っ取り早く知りたい方は、資料もございますのでこちらをどうぞ!

 

 

Active DirectoryとAzure ADの違いとは?

Active Direcrotyを利用するケースとAzure ADを利用するケースを整理してみましょう。

 

Active Directoryの利用例:

社内ネットワークよりActive Directory上で管理されているユーザーを利用してAPサーバーにログインし、アプリケーションを利用する。

 

Azure AD利用例:

インターネットよりAzure AD上で管理されているユーザーを利用してOffice365にログインし、アプリケーションを利用する。

 

 

ユーザーからの利用フローは同じように見えますが、大きく2点が異なります。

  • 接続経路
  • 認証プロトコル

 

Active Directoryは、組織単位で利用することを目的として社内ネットワークで利用するため、社内に閉じた環境になります。また、Active Directoryはドメイン間の認証のためにKerberosというプロトコルを利用して、アカウント管理は社内ネットワーク内のActive Directoryにて行います。

Azure ADは、クラウドのサービスを利用するためにインターネットより接続します。また、Azure ADはクラウドサービスでの認証のためにSAMLというプロトコルで認証します。SAMLプロトコルはOffice365以外にも様々なクラウドサービスと連携する際に使用しているため、クラウドサービスを組み合わせたリモートワーク等を検討されている管理者の方は、今後Azure ADでアカウント管理を行うケースも増えてくると思います。

このように、Active DirectoryとAzure ADは、アカウント管理というところでは同じ役割ですが、接続経路や認証の仕組み、利用ケースが別物ということが分かります。

 

Azure ADでできることとは?

Azure ADでできる主な機能についてご説明します。

  • ユーザーの管理
  • アプリケーションの
  • シングルサインオン
  • デバイス管理
  • 多要素認証

 

ユーザーの管理

Azure環境を利用するためのユーザーの管理機能です。ユーザーに対してグループ単位での管理や、利用するアプリケーションや認証情報等の管理を行うことができます。

 

アプリケーションの管理

Azure ADに登録したユーザーに対してどのアプリケーションを割り当てるか設定することができます。

Azure ADでクラウドアプリケーションを統合管理している場合でも、それぞれのユーザーの職種によって、見せたいアプリケーションが異なるケースが出てきます。

Azure ADでグループ単位やユーザー単位でmyappsポータルに表示させるアプリケーションを指定することで、簡単にユーザーを制限することができ、ユーザーにとっても自信の権限を気にすることなくスムーズにアクセスすることが可能になります。


例えば、権限を持っていないと、myappsポータル(ユーザーがAzure環境にて割り当てられているアプリケーションを表示するポータル)を開いても、デフォルトの最小限のアプリしか表示されません。

 

Azure ADによってアプリケーションの利用権限を付与させてみます。

アプリケーションを追加した上で、アプリケーション毎にアクセス権を制御できます。ここでは、Twitterアプリに対して利用するユーザーを割り当てました。

 

 

割り当て後、再度myappsにアクセスし、ログオンするとアプリケーションが追加されていることが確認できます。

 

このように、ユーザーやグループに対して、どのアプリケーションを利用させるか、という権限の管理も、Azure ADで行うことができます。

 

シングルサインオン

クラウド環境を利用させる上で考慮すべきポイントは、「セキュリティ」と「利便性」です。Azureのmyappsポータルより様々なSaaSアプリケーションへアクセスすることができますが、それぞれで認証を要求されるととても面倒です。Azure ADでは、SaaSアプリケーションのアカウント情報とAzure ADのアカウント情報を紐付け、認証を1度で済ませることができる、シングルサインオン機能があります。

デバイス管理と多要素認証

従来のようにユーザー名とパスワードだけでの認証では、インターネットで企業用のアプリケーションを利用するには、企業のセキュリティ要件を満たすことができない場合が多いと思います。

その懸念を解決するのが、”デバイス管理”と”多要素認証”です。

 

クラウドサービスを利用する場合、社内だけではなく社外で、会社貸与のPCだけではなく、個人所有の端末(BYOD)を利用する等、利用ケースが多様になっていきます。

しかし、何でもかんでも許可していると、セキュリティ面が担保できません。

 

Azure ADのデバイス管理では、デバイスの登録情報に基づき、許可された端末のみログオンを許可する等の制御が可能です。

また、デバイス管理に加え、許可されていない端末では多要素認証を要求するが、許可された端末では多要素認証をスキップする等、セキュリティを柔軟に構成することができるため、クラウドアプリケーションをセキュアに利用することができる仕組みを備えています。

 

ご紹介した例についてはほんの一部です。AzureADは、登録デバイス以外にも接続元のIPアドレスにて多要素認証の要求等も制御することができるため、社外利用時・社内利用時等に権限を使い分けたい等の要件も柔軟に対応できるのがポイントになります。

 

オンプレミスのActive DirectoryとAzureの連携

Azure ADとActive Directoryは別物であるということをご説明させていただきましたが、Active Directoryで既に行っている管理に加えてAzure ADでも同様にアカウントを管理するとなると、管理が煩雑になってしまいます。Azure ADにはオンプレミスのActive Directory上のアカウントを同期して、同じアカウントをクラウドとオンプレミスで利用することができます。

オンプレミスのActive DirectryのアカウントをAzure ADに連携してOffice365を利用する例をご紹介します。

 

オンプレミスのActive DirectoryをAzure AD上に連携するには、Azure AD Connectサーバーを別途オンプレミス環境に構築することで、Active Directoryのユーザー情報をAzure ADに橋渡しすることができます。

基本的にユーザー情報は一方通行でオンプレミス側からAzure ADへの書き込みとなりパスワードリセットが行われた場合などにおいては、Azure AD側からオンプレミスのActive Directoryへ書き込みが発生する場合があります。

 

Azure AD ConnectでActive DirectoryとAzure ADを連携することにより、ユーザー側は1つのユーザー情報を所有することで社内、アカウントの複雑な個人管理をする必要もなくクラウドのリソースにアクセスできるだけでなく、管理者側としても、社内、クラウド環境で異なる運用を行う必要がなくなる点が大きなメリットです。

クラウド導入について、完全にオンプレミスの環境を全てクラウドに移行するという考え方はあまりせず、はじめは少人数の環境でスタートする場合や、一部をクラウド化してテスト運用した後に本番用に運用するケースがほとんどです。

今回ご紹介させていただいたAzure ADについては、オンプレミスのリソースを活かしつつ、クラウドアプリケーションを利用したいというお客様についておすすめの機能になります!

Azure AD の概要やエディション、各機能の詳細については、資料からもご確認いただけます。

 

 


この記事を読んだ方へのオススメコンテンツはこちら


この記事を書いた人

NE + Azure 編集部
NE + Azure 編集部
日商エレクトロニクス特設サイト「日商エレ+Azure」サイトマスターです。