Azure Active Directoryで実現するセキュアなクラウド

オンプレミスとAzureをはじめとした複数のクラウドを混在させて利用する場合、それぞれアクセスするたびにIDを入力して利用者の権限を設定していると、管理が煩雑です。しかし、「Azure Active Directory」を使えば、ID管理をクラウドベースでまとめることができ、煩わしさから解放されます。

また、AzureはPaaS（Platform as a Services）として充実した開発環境の提供はもちろん、データベースやストレージ、ネットワークといった堅牢性の高いIaaS（Infrastructure as a Services）を提供しています。Azure Active DirectoryはIDによる認証、利用権限の設定によってセキュリティを強化します。

ここでは、Azure Active Directoryとは何か、特長とメリット、ライセンスについての概要を解説します。

Azure Active Directoryの特長

Azure Active Directoryは、オンプレミス、クラウド、ハイブリッドクラウドの環境で次のようなリソースにサインインし、アクセスすることを可能にします。

• Microsoft Office 365
• Azure portal
• 外部のSaaS（Software as a Services）アプリケーション
• イントラネットのアプリケーション
• 自社開発によるプライベートクラウドのアプリケーション
• 企業の内部リソース

セキュリティの強化

ユーザーアカウントと利用しているデバイス、位置情報、アプリ、データなどに基づいた包括的なID管理により、セキュリティに対する脅威から保護します。Microsoft製品やクラウドから収集した情報を機械学習によって解析し、従来のファイアウォールなどに依存した「境界セキュリティ」から「ゼロトラスト（信頼性ゼロの状態）のセキュリティ」を確立します。

単一IDプラットフォームによるアクセス簡略化

すべてのユーザーが利用したいアプリやデータにアクセスできるように、単一のIDプラットフォームで集中管理してシームレスに統合し、パスワードなしの多要素認証（Multi-Factor Authentication：MFA)によるアクセスの簡略化を実現します。多要素認証とはパスワードなどの知識情報のほか、ハードウェアの情報、指紋などの生体情報のうち、2つ以上を組み合わせたものです。

顧客IDとパートナーIDは50,000人まで無料で利用可能で、Microsoft IDプラットフォームとアプリを統合すれば、何百万人もの開発者IDプラットフォームが利用できます。ドメインコントローラーのデプロイやVPNを使用せずに、仮想マシンのドメイン参加も可能です。

大規模なポリシーを設定してコンプライアンスを強化

ユーザーが必要とするクラウド環境の予測や準備と管理を自動化し、ビジネスの急速な拡大に備えて、コンプライアンスを強化します。セルフサービスのパスワードリセットを有効にすることで、管理の時間と管理のために要するリソースを削減します。アプリケーションへの自動プロビジョニングを設定することによる管理負荷の軽減もできます。

Azure Active Directoryの利用者

Azure Active Directoryの利用者は以下を対象としています。

システムの管理者

オンプレミスとクラウドが混在した環境で、コンプライアンスのためにリソースにアクセス可能な権限を手動で制限したり、利用者から申請によって不足したストレージの容量を追加したりすることは、企業のシステム管理者にとっては負荷が大きいばかりか、非効率的な業務ではないでしょうか。

Azure Active Directoryを使えば、多要素認証により重要なリソースへのアクセスを制限し、サーバーやクラウドアプリケーションのプロビジョニングを自動化できます。このことにより、システム管理者の負荷を軽減します。

アプリケーションの開発者

アプリケーションの開発者は、ひとつのIDや権限でさまざまなサービスを利用するシングルサインオン（SSO）が理想です。複数のアプリ開発を同時進行している場合、それぞれのIDが異なっていると、個々のID管理がストレスになります。

開発者のためにシングルサインオンを実現することを目的として、Azure Active Directoryの進化版Microsoft IDプラットフォーム（v2.0）があります。OAuth 2.0およびOpenID Connect標準準拠の認証サービスで、すべてのMicrosoft IDにサインインすることにより、開発者がMicrosoft API（Microsoft Graph）や独自のAPIを呼び出すトークンを取得するアプリケーション構築が可能です。

Microsoftのサービス加入者

Azureのほか、Microsoft 365、Office 365、Dynamics CRM Onlineを利用している場合は、自動的にAzure Active Directoryの「テナント」になります。テナントとは、申し込み手続きをしたときにクラウド上に作成した組織アカウントのことで、Office 365の場合、組織名、プライマリドメイン名、ライセンスサブスクリプション、ドメインやユーザーのリスト、セキュリティグループなどを含みます。

Azure Active Directoryのライセンス

Azure Active Directoryには次のようなライセンスがあります。

Microsoft Onlineビジネスサービスを利用すると自動的にAzure Active Directoryが提供され。すべての無料機能を利用できます。さらにP1、P2といった有料ライセンスを実装することで、機能を強化できるライセンス体系になっています。

上記の表のうち、Azure Active Directory Premium P2で提供される機能の概要は以下になります。

Azure Active Directory Identity Protection

サイバー攻撃はユーザーIDを盗んでシステムに侵入します。したがってIDの権限レベルに関わらずあらゆるIDを保護し、盗まれたIDが悪用されることを事前に防ぐ必要があります。検出された異常なインシデントに関するレポートとアラートを生成し、自動応答を設定できます。

Privileged Identity Management

重要なリソースに関する管理者のアクセスを管理、制御、監視し、場合によってはジャストインタイムの特権的なアクセスを提供します。

機密性の高い情報の悪用を防ぐためには、組織で重要なリソースへのアクセス権は、最小限に抑えなければなりません。特権アクセスの提供のほか、期限付きアクセスの割り当て、特権ロールをアクティブ化するときの承認要求、多要素認証の強制、アクティブ化する理由の追及など、厳重に管理します。また、アクティブ化の通知、アクセスレビュー、監査履歴のダウンロードの機能もあります。

Azure Active Directory Domain Servicesとは

名称は似ていますがAzure Active Directory Domain Services (AD DS) は、Azure Active Directoryとは異なります。Azure Active Directory Domain Servicesは、ドメインコントローラーをデプロイしなくても、Azureの仮想マシンをドメインに参加させることができるサービスです。つまり、IaaSであるインフラストラクチャーのレベルにおける管理といえるでしょう。

Azure Active Directory Domain Servicesを利用すると、IDに関わるさまざまな問題を考慮することなく、オンプレミスで実行されている既存のディレクトリ認識型アプリケーションをAzureに移行し、SaaSアプリと同時に処理できるようにします。

大企業の利用に耐えうる可用性と、SLA（Service Level Agreement：サービスの品質保証）があります。ディレクトリのサイズを基盤として1時間単位で課金されるため、非常に効率的です。

まとめ

AWS（Amazon Web Services）のID管理としては、AWS Identity and Access Management（IAM）があり、AWSでもMFA（多要素認証）を採用しています。また、IDフェデレーション（IDの連携ソリューション）としてMicrosoftのAWS Directory Serviceを使えば、Active Directory管理ツールの活用やシングルサインオンを実現します。

オンプレミスと複数のクラウドのように、多様なサービスを利用する時代になりました。このような時代で重要になるのは、ID管理を含めた広義のセキュリティです。

Microsoftでは、クラウドシフトの信頼性を高めるために、Azure Active Directoryに加えて、2019年内に「Azure Sentinel」を提供予定で、既にプレビュー版が公開されています。Azure Sentinelは、Azure以外のクラウドのセキュリティに関するログを収集して脅威を検出するソリューションです。Azure Active DirectoryとAzure Sentinelによって、複数のクラウドを利用していてもセキュリティの一元管理が可能になります。