Active Directory?
Azure Active Directory(Azure AD)?
混乱ポイントを整理!

「社内の環境をクラウドへ移行し、運用、管理コストを抑えたい!」
「SaaSアプリケーションを活用することでスピード感を持った業務をしたい!」
「リモートワークで働き方改革をしたい!」

上記のようなご要望をお持ちの方にとってMicrosoft AzureやMicrosoft 365は、これらを実現するためのツールの一部となりますね。しかし、実際の利用を考えた際に「個人アカウント情報をどうするか」という課題が出てきます。クラウドに移行しても、現在の企業ドメインが使えるのだろうかと考えたときに、IT管理者の方がまず考えるのが、Active Directoryのドメイン情報かと思います。

では、AzureでのActive Directoryは一体どういうものなのか・・・、と検索エンジンで「Azure Active Directory」と検索すると、検索結果のトップには以下のMicrosoft社のホームページが表示されます。

マイクロソフト社Azure Active Directoryトップページ

参考:Azure Active Directory

オンプレミスのActive Directoryをクラウドへ移行しようと考えていた人には「欲しい情報と何か違う」と感じるかと思います。

ちなみに、上記のサイトはお馴染みのWindows Server上でドメイン情報を管理する「Active DirectoryのAzure版」ではなく、SaaS等のクラウドサービスを利用するアカウントを管理するための「Azure Active Directory(以下Azure AD)」というサービスの紹介サイトになります。

そこで本記事では、Azure環境上に存在する、「Active Directory」関連のサービスや機能を整理し、お客様の今後の社内クラウド化にお役立ていただければと思います。

Azure ADについて手っ取り早く知りたい方は、資料もございますのでこちらをどうぞ!

Azure AD 資料
無償ダウンロードはこちら

 

 

Active DirectoryとAzure ADの違いとは?

Active Direcrotyを利用するケースとAzure ADを利用するケースを整理してみましょう。

・Active Directoryの利用例:
社内ネットワークよりActive Directory上で管理されているユーザーを利用してAPサーバーにログインし、アプリケーションを利用する。

・Azure AD利用例:
インターネットよりAzure AD上で管理されているユーザーを利用してMicrosoft 365にログインし、アプリケーションを利用する。

 

Active DirectoryとAzure ADの違い

 

ユーザーからの利用フローは同じように見えますが、大きく2点が異なります。

  • 接続経路
  • 認証プロトコル

Active Directoryは、組織単位で利用することを目的として社内ネットワークで利用するため、社内に閉じた環境になります。また、Active Directoryはドメイン間の認証のためにKerberosというプロトコルを利用して、アカウント管理は社内ネットワーク内のActive Directoryにて行います。

Azure ADは、クラウドのサービスを利用するためにインターネットより接続します。また、Azure ADはクラウドサービスでの認証のためにSAMLというプロトコルで認証します。SAMLプロトコルはMicrosoft 365以外にも様々なクラウドサービスと連携する際に使用しているため、クラウドサービスを組み合わせたリモートワーク等を検討されている管理者の方は、今後Azure ADでアカウント管理を行うケースも増えてくると思います。

このように、Active DirectoryとAzure ADは、アカウント管理というところでは同じ役割ですが、接続経路や認証の仕組み、利用ケースが別物ということが分かります。

 

Azure ADでできることとは?

Azure ADでできる主な機能についてご説明します。

  • ユーザーの管理
  • アプリケーションの管理
  • シングルサインオン
  • デバイス管理
  • 多要素認証

ユーザーの管理

Azure環境を利用するためのユーザーの管理機能です。ユーザーに対してグループ単位での管理や、利用するアプリケーションや認証情報等の管理を行うことができます。

アプリケーションの管理

Azure ADに登録したユーザーに対してどのアプリケーションを割り当てるか設定することができます。Azure ADでクラウドアプリケーションを統合管理している場合でも、それぞれのユーザーの職種によって、見せたいアプリケーションが異なるケースが出てきます。

Azure ADでグループ単位やユーザー単位でmyappsポータルに表示させるアプリケーションを指定することで、簡単にユーザーを制限することができ、ユーザーにとっても自信の権限を気にすることなくスムーズにアクセスすることが可能になります。

アプリケーションの個別管理
例えば、権限を持っていないと、myappsポータル(ユーザーがAzure環境にて割り当てられているアプリケーションを表示するポータル)を開いても、デフォルトの最小限のアプリしか表示されません。

myappsポータル

 

Azure ADによってアプリケーションの利用権限を付与させてみます。アプリケーションを追加した上で、アプリケーション毎にアクセス権を制御できます。ここでは、Twitterアプリに対して利用するユーザーを割り当てました。

 

Azure AD管理者権限付与の方法

 

割り当て後、再度myappsにアクセスし、ログオンするとアプリケーションが追加されていることが確認できます。

myappsポータル

このように、ユーザーやグループに対して、どのアプリケーションを利用させるか、という権限の管理も、Azure ADで行うことができます。

シングルサインオン

クラウド環境を利用させる上で考慮すべきポイントは、「セキュリティ」と「利便性」です。Azureのmyappsポータルより様々なSaaSアプリケーションへアクセスすることができますが、それぞれで認証を要求されるととても面倒です。Azure ADでは、SaaSアプリケーションのアカウント情報とAzure ADのアカウント情報を紐付け、認証を1度で済ませることができる、シングルサインオン機能があります。

シングルサインオン機能

デバイス管理と多要素認証

従来のようにユーザー名とパスワードだけでの認証では、インターネットで企業用のアプリケーションを利用するには、企業のセキュリティ要件を満たすことができない場合が多いと思います。その懸念を解決するのが、”デバイス管理”と”多要素認証”です。

クラウドサービスを利用する場合、社内だけではなく社外で、会社貸与のPCだけではなく、個人所有の端末(BYOD)を利用する等、利用ケースが多様になっていきます。しかし、何でもかんでも許可していると、セキュリティ面が担保できません。

Azure ADのデバイス管理では、デバイスの登録情報に基づき、許可された端末のみログオンを許可する等の制御が可能です。

デバイス管理

また、デバイス管理に加え、許可されていない端末では多要素認証を要求するが、許可された端末では多要素認証をスキップする等、セキュリティを柔軟に構成することができるため、クラウドアプリケーションをセキュアに利用することができる仕組みを備えています。

多要素認証

 

ご紹介した例についてはほんの一部です。AzureADは、登録デバイス以外にも接続元のIPアドレスにて多要素認証の要求等も制御することができるため、社外利用時・社内利用時等に権限を使い分けたい等の要件も柔軟に対応できるのがポイントになります。

Azure AD導入事例はこちら
「基幹システムをAzure移行し、ID管理の一元化を一挙に実現」株式会社エヌジーシー

 

オンプレミスのActive DirectoryとAzureの連携

Azure ADとActive Directoryは別物であるということをご説明させていただきましたが、Active Directoryで既に行っている管理に加えてAzure ADでも同様にアカウントを管理するとなると、管理が煩雑になってしまいます。Azure ADにはオンプレミスのActive Directory上のアカウントを同期して、同じアカウントをクラウドとオンプレミスで利用することができます。

オンプレミスのActive DirectryのアカウントをAzure ADに連携してMicrosoft 365を利用する例をご紹介します。

オンプレミスのActive DirectoryとAzureの連携

 

オンプレミスのActive DirectoryをAzure AD上に連携するには、Azure AD Connectサーバーを別途オンプレミス環境に構築することで、Active Directoryのユーザー情報をAzure ADに橋渡しすることができます。

基本的にユーザー情報は一方通行でオンプレミス側からAzure ADへの書き込みとなりパスワードリセットが行われた場合などにおいては、Azure AD側からオンプレミスのActive Directoryへ書き込みが発生する場合があります。

Azure AD ConnectでActive DirectoryとAzure ADを連携することにより、ユーザー側は1つのユーザー情報を所有することで社内、アカウントの複雑な個人管理をする必要もなくクラウドのリソースにアクセスできるだけでなく、管理者側としても、社内、クラウド環境で異なる運用を行う必要がなくなる点が大きなメリットです。

Azure AD ConnectでActive DirectoryとAzure ADを連携することで同じ認証情報で利用可能

クラウド導入について、完全にオンプレミスの環境を全てクラウドに移行するという考え方はあまりせず、はじめは少人数の環境でスタートする場合や、一部をクラウド化してテスト運用した後に本番用に運用するケースがほとんどです。

今回ご紹介させていただいたAzure ADについては、オンプレミスのリソースを活かしつつ、クラウドアプリケーションを利用したいというお客様についておすすめの機能になります!

Azure AD の概要やエディション、各機能の詳細については、資料からもご確認いただけます。
Azure AD 資料
無償ダウンロードはこちら

 


この記事を読んだ方へのオススメコンテンツはこちら


この記事を書いた人

Azure導入支援デスク 編集部
Azure導入支援デスク 編集部
こんにちは!日商エレクトロニクスでは、Microsoft Azure活用に関する有益な情報を皆様にお届けしていきます。Azure移行、データ活用、セキュリティなどに関するお困りごとや、Microsoft Azureに関する疑問点などお気軽にご相談ください。

ブログにしてほしいネタなどのリクエストもお待ちしております。