Azure AD とは?

 2018.05.30  Office365編集部

近年Office 365やAzureなどMicrosoftが提供しているクラウドサービスに関係していると、必ずと言ってよいほど見聞きするのが「Azure AD」です。このAzure ADについて、何となくは理解しているけど明確ではない、という方が多いかと思います。そのためAzure AD活用になかなか踏み切れないこともあるでしょう。

そこで今回は、Azure ADとは何なのか?その概要を紹介していきたいと思います。

Active Directoryについて

Azure ADの「AD」とは「Active Directory」の略語です。まずは、そもそもActive Directoryとは何かというところから説明していきます。

Active Directoryは2000年にリリースされたWindows 2000 Serverの目玉機能として登場しました。この機能を簡単に説明すると今ではあたりまえになっているユーザー認証のための機能です。会社のシステムというのは、誰もが同じ情報にアクセスできる権限を持っていると情報漏えいのリスクが生じたり、システムに障害が発生する原因にもなります。なので、ユーザーがシステムにアクセスする際は「あなたは誰ですか?」という認証を行い、ユーザーをシステムにログインさせます。そうすることで、予め設定したアクセス権限に従って各ユーザーのアクセス範囲が限定されることになるのです。それまでも認証のしくみはありましたが、WindowsとしてLDAPという標準に対応し、拡張性の高いシステムとして登場したのがActive Directoryです。単なる認証機能だけではなく、グループポリシーによる管理基盤など多くの拡張機能を提供し、Windowsを利用している組織では標準的に使われているでしょう。

このActive Directoryでは「ドメイン」という単位でユーザーやグループなどを管理します。ユーザーはドメインに所属し、ユーザーは基本的にはドメイン内のリソースに対してアクセス権限を持つことになります。

ドメインを設定する理由はもう1つあります。それが、何度も同じユーザーIDやパスワードを入力しなくて済むということです。Active Directoryのドメイン認証でアクセス権を管理しているリソースに対しては、ユーザーは1回のログインでアクセス権限を持つすべてのシステムにログインできるため、各システムごとへの認証の手間を省略できるというわけです。

Microsoft製品関連お役立ち資料

このように1回のログインで複数のシステムにアクセスできることシングルサインオン(SSO)と呼びます。Active Directoryのイメージとしては、このSSOのための機能と捉えている方が多いでしょう。

[SMART_CONTENT]

Azure ADとは?

現在の情報システム環境はクラウドサービスなくして成り立たないと言っても過言ではないでしょう。とはいえ、既存のオンプレミスのシステムもあるため、オンプレミスシステムと複数のクラウドサービスが混在し、情報システムが煩雑を極めている時代と言ってもよいでしょう。

そこで私たちにはActive Directoryがあります。これさえ活用すればすべてのシステムへのログインを一元化でき、複雑さも解消するでしょう。ただしそう簡単な話ではありません。なぜならクラウドサービスはActive Directoryの守備範囲ではないからです。

Active DirectoryでSSOを実現できるのはあくまでローカルネットワークで接続されたシステムのみです。では、クラウドサービスにActive Directoryは適用不可能なのか?ここでAzure ADの登場です。

Microsoftは近年増加するクラウドサービスの利用に際し、オンラインでもActive DirectoryによるSSOを利用するためのサービスとしてAzure ADを開発しました。いわばAzure ADは、Active Directoryのクラウドバージョンだと言えます。

[RELATED_POSTS]

Azure ADの機能

Azure ADはクラウドサービスでのSSOを提供するために、次の機能を備えています。

≪ユーザー・グループ管理≫

Azure ADにて認証や許可を制御するためのベースとなる、ユーザーやグループを管理するための機能です。

≪アプリケーション管理≫

Azure ADで認証されたユーザーに対し特定のアプリケーションへのアクセスを制御します。ちなみに現在、Azure AD経由でSSOが可能なアプリケーションは2,000種以上です。さらにMicrosoft Azure上に作成してWebサイトや、オンプレミスで外部公開用に運用しているWebサイトへのアクセスもAzure AD経由で行えます。

≪デバイス管理≫

ユーザーが実際に利用するデバイスを登録して、認可したデバイスからのアクセスだけを許可する機能です。管理者が意図しないデバイスからのアクセスを制御できるため、近年深刻化しているシャドーITにも有効です。

≪多要素認証≫

ユーザーIDとパスワードだけでのアカウント管理では心許ない時代です。サイバー攻撃者によるパスワードリスト攻撃などで、いつ不正アクセスが発生するか分かりません。そこで多要素認証によってログインセキュリティを飛躍的に向上します。電話やSMS、ワンタイムパスワードなど複数の認証でログインを強制すれば、不正アクセスの可能性がグッと下がるでしょう。

≪アクセスログ≫

ユーザーがAzure ADを経由して行った認証やサービスへのアクセスはログとして記録されます。Webブラウザを通じてレポートを確認でき、不正アクセスに関するレポートも同時に確認できます

Azure ADとActive Directoryの違い

Azure ADはクラウドサービスで、Active DirectoryはオンプレミスでSSOなど様々な機能を提供するための機能と説明しました。ただし、2つの機能の違いはクラウドかオンプレミスかだけではありません。管理方法なども違ってくるので、ここで紹介しておきます。

≪管理方法≫

Active Directoryはユーザーまたはグループごとにドメインを設定することで認証やアクセス範囲を管理します。一方Azure ADはユーザー/グループ管理に加えて、IPサブネットやデバイス単位での管理も可能です。

≪操作方法≫

  • Active Directory…Active Directoryユーザーとコンピューター、Active Directory管理センター、PowerShell、ADSI
  • Azure AD…Azure管理コンソール、Office 365管理センター、PowerShell、Graph API

≪アクセスログ≫

Active Directoryのアクセスログはイベントビューアで確認します。一方Azure ADのアクセスログはAzure AD レポート、Azure AD Identity Protection、Cloud App Securityで確認できます。

≪管理権限≫

一部の管理権限を他のユーザーに委任する場合、Active DirectoryではOU(Organization Unit)という単位を使用します。一方Azure ADはAU(Administrative Unit)という単位を使用します。GUIベースでユーザーを確認できるOUに対し、AUはPowerShellを使用してコマンドベースでユーザーを確認します。

以上のように、Azure ADとActive Directoryには様々な違いがあります。クラウドへの移行に際して認証基盤をどうすればよいのかを検討している方はこの機会にAzure ADの利用も検討してみてはいかがでしょうか?

新しいWindows/Officeへ移行する理由がわかる本
ビジネスをスマートに実現する 企業のためのOffice 365 賢い買い方ガイド
Microsoft Officeユーザーのための Office 365まるわかりガイド
Azure AD とは?

RECENT POST「製品情報」の最新記事


FAVORITE POST「Microsoft製品」の人気記事


Microsoft 365 ハンズオン体験セッション(1枠一社限定開催)
Office 365 最新サービス体験型学習講座
Microsoft OfficeユーザーのためのOffice 365 まるわかりガイド

RANKING人気資料ランキング

ブログ購読のお申込み