Azureの認証や利用制限を設定して、セキュリティを強化する仕組みがAzure Active Directory(以下、Azure AD)です。Azure ADには無償版のAzure AD Freeのほかに、有償サービスとしてAzure AD Premium P1 とAzure AD Premium P2の2種類のライセンスが提供されています。無償版よりも高度な機能を提供するのがP1で、P2はさらに高度な機能を備えています。
企業では社内と社外の環境を問わないコラボレーションで生産性の向上を図るとともに、セキュリティの強化、デバイス管理の負荷軽減が重要な課題になりました。Azure AD Premiumは、こうした企業のニーズに応える技術のひとつです。
ここでは、Azure AD Premiumとは何か、Azure ADのライセンス体系、Microsoft 365との関係を解説します。
Azure AD とは何か
Microsoftのソリューション全般に言えることですが、技術のアップデートに合わせて製品構成とライセンス体系が大きく変わります。
2019年6月30日にAzure AD Basicはライセンス販売を終了しました。現在、有償版はPremium P1 とP2の2種類です。今後もライセンス体系は柔軟に変わっていくことが予測されますが、「そもそもAzure ADとは何か?」という基本的な知識を理解することが大切です。
クラウドのAzure ADとオンプレミスのActive Directoryの違い
前提としてActive DirectoryとAzure ADの違いを簡単に再確認します。
端的に述べると、Active DirectoryはオンプレミスのWindows Serverに搭載されている機能で、ディレクトリ(階層型)の構造でフォルダやファイル、利用者の情報を管理することが可能です。企業などの組織でリソースを管理するときに役立ちます。
Active Directoryには認証機能もあり、アプリケーションごとにIDやパスワードを変更しなくてもシングルサインオンを実現します。外部のクラウドサービスに関しても認証を一元管理することが可能で、このことをフェデレーションと呼びます。フェデレーションによって、社内と社外の不正なアクセスを拒否するセキュリティの機能を強化します。
Active Directoryのクラウド版がAzure ADです。しかし、以下のような違いがあります。
活用シーンが違う
Active Directoryは社内のオンプレミスにおけるリソースや認証の管理、Azure ADはクラウドサービスにおけるリソースや認証の管理と活用シーンが違います。
拡張性が違う
Active Directoryで機能を追加する場合、専用のサーバを増設する必要があります。しかし、Azure ADではクラウド上で簡単に機能を追加して拡張できます。
端末の管理が違う
Active Directoryでサーバに接続された端末を管理する場合は、企業内の設定したポリシーのルールにしたがって管理します。Azure ADではIntuneという管理サービスがあり、Intuneに登録したルールを適用してAzure ADとIntuneで端末を管理します。
認証プロトコルが違う
Active Directoryのユーザー認証プロトコルはKerberosで、ファイルサーバーなどへのアクセスはLDAP、ファイル共有はSMBを使います。Azure ADは、SAML、WS-Federation、OpenID Connect、OAuthなど多様な認証プロトコルに対応しています。ディレクトリへのアクセスはRESTベースのAPIを使用します。
Microsoft 365に使われるAzure AD
2020年4月22日、企業向けのOffice365 Businessは、Microsoft 365に名称を変更しました。ただし、アプリケーションだけをサブスクリプションで提供するOffice 365もまだ残っています。
Microsoft 365は名称を変更しただけで、製品構成は変わっていません。とはいえ、モバイルファースト、クラウドファーストを推進してきたMicrosoftが、スタンドアローンのパッケージ型Officeをオフィス(社内)にとらわれないソリューションとして変革しようとするブランド戦略が読み取れます。企業名を冠したことによる意気込みは、Windows AzureからMicrosoft Azureへのブランド変更時と同様です。
Word、Excel、PowerPointなどのアプリケーションは、最近ではモバイルアプリケーションやクラウドを活用した共同作業の機能、人工知能によるアシスタントが追加されています。
BYOD(Bring Your Own Device:個人所有の端末を会社などに持ち込んで利用すること)の浸透を踏まえて、あらゆる場所で活用するツールに進化しています。Teamsというソリューションが示すように、オンラインのチームで文書を作成するコラボレーションが重視されるようになりました。
Microsoftが展開するオンラインの各種サービスには、Azure ADが導入されています。たとえばMicrosoft 365、Office 365、Dynamics CRM Onlineに登録している場合、自動的にAzure ADの利用者になります。
したがって、こうしたサービスでは、オンプレミス+Azure+他のクラウドサービスで包括的な多要素認証やシングルサインオン(SSO)を利用可能です。複数のプラッフォームやデバイスに対応し、デバイスやアプリケーションの効率的な管理ができます。有償版のAzure AD PremiumではCRMアプリケーションSalesforce.comを認証、統合管理、利用範囲を制限して、運用の効率化とセキュリティの強化を行うことができます。
開発者や情報システム部門の管理者はもちろん、Officeアプリケーションを利用する企業の部門のそれぞれの従業員もAzure ADを理解しておくと、セキュリティ意識が高まるかもしれません。
Azure ADのライセンス体系とAzure AD Premium
あらためてAzure ADのライセンス体系を整理すると、次のようになります。
Azure AD Free
無償で提供されているAzure ADで、試用版の位置づけでもあります。制限された基本的な機能を備え、ユーザーとグループの管理、オンプレミスのサーバとのディレクトリ同期、基本レポート、セルフサービスによるAzureのパスワード変更が可能です。また、Azure、Office 365、一般的なSaaSへのシングルサインオンを実現します。
Azure AD Premium P1
有償版のAzure ADのひとつ。無償版との大きな違いは、オンプレミスとクラウドの両方のリソースにアクセスできることです。さらに動的あるいはセルフサービスによるグループ管理、オンプレミスのIDやアクセスを管理するMicrosoft Identity Managerの利用、オンプレミスの利用者がパスワードのリセットを可能にする機能などをサポートします。
Azure AD Premium P2
Azure AD Premium P1よりも拡張した高度な機能を提供します。Azure Active Directory Identity Protection、Azure Privileged Identity Managementが追加されます。
Azure Active Directory Identity Protectionは、特定のアプリケーションや機密性の高い企業データの条件付きアクセスを実現します。Azure Privileged Identity Managementは、管理者のリソースへのアクセスを検出、制限、監視し、必要に応じてリアルタイムでアクセス制御を行います。
Azure Active Directory Business-to-Customer (B2C) など
BtoCのビジネスでは、顧客用のライセンス管理が必要になる場合があります。このようなときに、別途Azure ADのライセンスを従量課金制で購入できます。
Azure AD Premiumの現状と今後
Microsoftは、セキュリティ強化とデバイス管理のソリューションとして、Enterprise Mobility + Security(以下、EMS)を提供していました。EMSにはAzure ADの認証とアクセス制御が組み込まれています。Microsoft 365 BusinessはWindows 10 Enterprise、Office 365、そしてEMSをセットにしたパッケージです。
現在、日本ではMicrosoft 365 BusinessにはBasic、Standard、Premiumの3つのプランがありますが、PremiumではAzure AD Premiumによって高度なセキュリティをサポートしています。たとえば、デバイスを保護し、紛失や盗難時に遠隔操作でファイルやデータを消去できるAzure Intuneが利用可能です。
米国ではAzure AD Premium P1の一部の機能を搭載後、2020年4月にP1のフル機能を提供するようになりました。Microsoftの戦略であるとともにセキュリティ強化のニーズが高まっていることを示しています。
企業でMicrosoft 365のセキュリティを強化する場合は、Microsoft 365 Business Premiumを導入することがベストです。この選択によって、Azure AD Premium P1の機能が利用できます。
Microsoftのソリューション戦略を考察すると、これまで別々のソリューションとして提供されていた認証管理や利用の制限、デバイス管理が、今後はクラウドのサービスとして包括的かつ融合して提供されることが予測できます。
Microsoft 365 BusinessにおけるAzure AD Premiumの位置付けは、今後の企業向けソリューションの動向を見極める上で参考になります。Azure ADからBasicのライセンス体系が消えたことを踏まえても、技術革新や時代のニーズに合わせて変化すると考えられます。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
セキュリティ強化に対する意識が高まり、多要素認証、アクセスの制限や遮断、デバイスの管理などPremiumであることがデフォルトになりつつあります。
標準的なセキュリティを実装するために、自社に不足している防御は何か、生産性向上を維持しながら運用負荷やコストを低減できないか、全体を見渡しながらシステムの環境を点検することが大切です。
