社内のID管理をクラウド化するなら、Azure ADを使うことのメリットを知っておくと良いでしょう。
Azure ADとは、Microsoftによって提供されているクラウドベースのID・アクセス管理サービスです。
その役割や一般的な機能、利用することで得られるさまざまなメリットや、オンプレミスの従来型ADとの違いについて解説します。
Azure AD(Azure Active Directory) の役割とは?
Azure AD(Azure Active Directory)は、各社員がクラウドサービスの認証に用いるIDや、アクセスを一括管理するサービスです。シングルサインオン、多要素認証、条件付きアクセスなど、高度なセキュリティ対策のための機能もそろっており、導入する企業が増えています。
従来は、オンプレミスな基幹システムを社内に構築し、重要なデータはローカルで管理する方式が主流でした。
しかし近年では、便利なSaaSサービスが登場し、企業においても業務にクラウドサービスを活用する機会が増えてきました。そういったSaaSサービスは、種々のサービスへログインするたびに、IDとパスワードの入力をする手間がかかり、パスワードの使いまわしなどによるセキュリティ上の課題もあります。
そこで、クラウドでIDを一元管理できるAzure ADが注目されています。特に、新型コロナウイルスの流行以降、リモートワークが推奨される昨今では、Azure ADを使うことで、いつ・どこでも、簡単かつ安全に、クラウドサービスへアクセスできるようになるため、より期待されているのです。
従来のActive Directoryとの違い
クラウド型のAzure ADと、オンプレミス型である従来のActive Directoryは、どちらもアカウントを一括管理できる点は同様です。一方で、使用目的、認証プロトコル、デバイスの管理方法や、拡張性の点で両者には大きな違いがあります。
- Azure AD
クラウドサービスにおけるアカウントの認証基盤で、OpenID Connect、SAML、OAuthなどのプロトコルに対応しています。
Intuneというツールを利用してデバイスを管理し、データ保護やアプリケーションとの統合も容易で、サービスに拡張性があります。
- 従来型のActive Directory
オンプレミスのアカウントや社内リソースに対する認証基盤で、プロトコルはKerberosです。
デバイス管理にはグループポリシー機能を利用し、会社のルールに則ったポリシーを適用しています。
データ保護などの機能を有効化するなど、機能拡張を行う場合、専用のサーバーを新たに構築する必要があります。
Azure ADの代表的な機能4選
Azure ADには、どのような機能があるのでしょうか。よく利用される代表的な機能を4つご紹介します。
1. シングルサインオンによるアカウント一元管理
一度の認証で複数のクラウドサービスへログインできる、シングルサインオン(SSO)の機能を使って、アカウントをまとめて管理できます。
この機能は、Microsoftのサービスのみならず、Google、Slack、salesforce、Zoomなど、さまざまなサービスに対応しています。利用したいクラウドサービスを登録しておけば、どこからでもAzure ADを介してアクセスが可能になります。
2. 高度な認証機能によるID管理
通常のID・パスワード設定以外にも、条件付きアクセスや多要素認証、生体認証などの高度な認証機能による管理で、セキュリティ保護が可能です。
条件付きアクセスとは、不正アクセスをブロックするために条件付けする機能であり、設定された複数のポリシーから、そのポリシーに該当しないアクセスをブロックします。
例えば、アクセス条件に「営業部」「Macユーザー」などと設定すれば、他部署や、他のOS機器を用いたユーザーはアクセスできないようになります。
多要素認証は、ID・パスワードによる知識情報、スマートフォンやPCなどを用いる所持情報、指紋などを読み取る生体情報の3つの要素のうち、2つ以上を組み合わせて認証する方法です。
3. ユーザー別のアプリケーションアクセス制限
アプリケーションへのアクセスを、ユーザー別に制限できます。
アプリケーションの使用許可だけではなく、各ユーザーや条件ごとに、詳細なアクセスポリシーを設定することができるため、以下の例のように柔軟な対応が可能です。
- ユーザー1は、クラウドサービスAにあらゆる機器でアクセス可能だが、クラウドサービスBへは社外の機器からアクセスできないようにする。
- ユーザー2は、クラウドサービスAへのアクセスは会社貸与のPCからのみ可能で、個人のスマホからはアクセスできない。
オンプレミス環境であれば、アクセスするのは基本的に社員のみですが、クラウドサービスの場合は、インターネット上の全ての認証リクエストを受け取るため、常に不正アクセスの脅威に晒されていると言えます。
そのため、認証権限付与機能により、誰が、いつ、どこで、何のアプリケーションを利用できるかを厳密に管理することで、攻撃の脅威に対応する必要があります。
4. 複数デバイスの管理
社内外で利用する複数デバイスをIDで管理する機能もあります。
近年では、リモートワークやサテライトオフィスの利用によって、場所を問わず働けるようになりました。便利な半面、不正アクセスなどの危険は、増加傾向にあります。
デバイスIDを管理することで、社外にいてもセキュリティレベルを保ったまま、各種サービスへアクセスできるようになります。
アクセスログや認証ログも一元管理できるため、アクセスする場所を限定せず、高度な認証機能を活用したデバイスの利用が可能です。
Azure ADを導入するメリット
Azure ADには便利な機能があることを解説しました。ここからは、導入することで得られるメリットについてご紹介します。
初期コストや運用コストの削減ができる
クラウドサービスなので、従来版のオンプレミスADと比較すると、構築にかかる初期投資や設備管理などのコストを削減できます。
サブスクリプションサービスで、利用状況に応じた課金制度になっているため、使用頻度の少ない閑散期には、さらに利用費を抑えられます。
柔軟に機能拡張・縮小ができる
利用するユーザーや、企業が求めている機能に応じて、柔軟に機能を拡張、または縮小できます。オンプレミスADだと、機能を拡張するために新たなサーバーを構築する必要がありますが、Azure ADは管理画面上でリクエストするのみの手順で、サーバー増設などの必要なく、すぐに機能拡張が可能です。
管理者の負担が軽減できる
IT担当者の負担を軽減できる点もメリットです。
ユーザーが自分でパスワードを変更できるセルフパスワードリセットや、アカウント情報・プロビジョニングの自動化が可能です。
従来はシステム管理者側での対応が必要だった作業を自動化できたり、ユーザー自身で変更を行えたりと、管理者の負担が軽減されるので、より本質的な業務にリソースを集中できるようになるでしょう。
Microsoftの各種ツールや、オンプレミスADとの連携も容易に行えるので、業務効率化にもつながります。
まとめ
Azure ADを導入することで、コストや柔軟性、管理のしやすさといった点でさまざまなメリットがあることを解説しました。
さまざまな認証方法の組み合わせることでセキュリティを高めることが可能で、運用・管理の自動化によるシステム担当者の負担軽減にも期待できます。
リモートワークの浸透に伴い、今後もSaaSサービスを業務で利用するケースが増えていくことが予想されます。従来型のオンプレミスADや各種ツールとの連携も可能なので、早い段階でAzure AD導入に向けて動いておけば、さらなる業務効率化や、将来的なコストカットが望めるでしょう。
ワークマネジメントツール「Asana」は、Azure ADとの連携が可能です。高機能ですぐに使えるエンタープライズ用のシングルサインオンへ対応しており、グループの自動作成や自動管理など、業務効率化に役立つ機能が充実しています。Azure ADを導入する際には、ぜひ併せてご検討ください。
