オンプレのADとAzure ADの接続

 2018.06.07  Office365編集部

一部でもクラウドサービスをしている企業の割合は全体の46.9%。前年から2.3ポイント上昇していることが、総務省発表の「平成29年版 情報通信白書」によって明らかになっています。中でも多く利用されているサービスが電子メールとファイル共有スペースです。皆さんの会社でも何らかの形でクラウドサービスを利用していることかと思います。

社内でクラウドサービスを利用しているという方に問いたいのですが、サービスを利用するにあたってログイン作業を面倒だと感じたことはないでしょうか?

各サービスで毎回ログイン作業を行っていると、1日のうちの作業時間は微々たるものでも1ヵ月や1年など長期目線で見ると膨大な時間を費やしていることもあります。たとえばクラウドサービスへのログインやログアウト作業に1日5分費やしていると仮定すると、1年で1,255分、時間にして約20.5時間です。1日の労働時間が8時間なら2日間半もログインやログアウトに時間を使っていることになります。

さらに、各サービスでのID管理が複雑になることから同じIDとパスワードを使用しがちでセキュリティが低下している環境も少なくありません。

こうした問題から脱却するために使用されている技術がシングルサインオン(SSO)です。主にMicrosoftが提供するActive Directoryという、Windowsサーバーに備えられた機能を使用してSSOを実装します。しかし、問題はActive Directoryがクラウドサービスに対応しておらずローカルシステムでしか使用できないことです。

そこでAzure Active Directory(Azure AD)という、クラウドサービスのAzureを基盤として認証環境を整えたいわば「クラウド版Active Directory」が登場します。

今回はこのAzure ADとオンプレミスで運用するActive Directoryの接続についてご紹介しましょう。

Microsoft製品関連お役立ち資料

Azure ADとActive Directoryを接続する方法

Active Directoryは通常クラウドサービスのSSOをサポートしていません。あくまでローカルネットワークに接続されたシステムとクライアントにてSSOを実装するのみです。ただしクラウドサービスを利用している環境では、多くの場合オンプレミスとクラウドが混在しています。完全なクラウドサービスへの移行は既存環境との兼ね合いやリスクマネジメントの観点から簡単には進みません。

その結果、システム環境はオンプレミスとクラウドの混在によって複雑化しているのに、認証基盤はオンプレミスだけのままでよいのでしょうか?また、クラウドサービスの認証基盤とオンプラミス環境の認証基盤が別々に運用されていてもよいのでしょうか?答えは当然「ノー」でしょう。認証基盤もクラウドに対応してネットワークの垣根を越えた認証基盤を整えることで真にシームレスなシステム環境が構築されます。

また、アカウントの管理はセキュリティ対策の起点ともなるべきもので、管理対象が増えることは潜在的なリスクを増やすことにもつながってしまいます。

そこで、オンプレミスで使用しているActive Directoryとクラウドサービスに対応したAzure ADを連携したいというニーズが当然のように生まれてきます。これを実現するためには、「Azure AD Connect」という認証基盤統合ツールを使います。同ツールは「Microsoft」のダウンロードページから誰でも入手できるため、別途費用がかかることもありません。

設定手順を簡単に説明すると、まずはAzure AD Connect用のサーバー(ドメイン参加済み)にローカル管理者としてサインインをしてダウンロードページからAzure AD Connectをダウンロードします。ダウンロードした「AzureADConnect.msi」を実行したら簡単設定を行うを選択しましょう。これはAzureADConnectの設定を自動で行うためのオプションで、パスワード同期が自動で構成されます。

次にAzure ADに接続するために全体管理者権限を持ったユーザー情報を入力し、次にActive Directryドメインサービスに接続するためにEnterprise Admins権限を持つユーザー情報を入力します。最後にインストールを実行して完了です。

より詳しいインストール手順に関してはMicrosoftが公開している「ドキュメント」をご参照ください。

以上のように簡単な手順でAzure ADとActive Directoryを接続し、オンプレミスとクラウド双方での単一認証基盤を実現します。もちろん既存のActive DirectoryにAzure ADを接続するためにはAzure ADのサブスクリプションを持っていることが前提条件です。

Azure ADとActive Directoryを接続するメリット

通常、オンプレミスのシステム環境とクラウドサービスは分断されているため、認証基盤を相互連携することはそのままではできません。この場合に発生する問題が「生産性の低下」と「セキュリティリスクの増大」になります。

たとえば社外にいてクラウドサービスに接続する際にわざわざVPNにいったん接続したり、電子メールや社内アプリなどサービスごとにアカウントが異なることで、サービス認証に想像以上の時間を費やしてしまっています。社内にいてもそれは同じで、オンプレミスシステムとクラウドサービスそれぞれでの認証が必要です。結果として、おそらく多くの企業でオンプレミスシステムやクラウドサービスへの認証に数分以上の多くの費やしていることでしょう。

そこには時間の浪費だけでなくユーザーのストレスという副産物も生まれているので、結果として生産性が下がってしまいます。

セキュリティリスクに関してはオンプレミスシステムや複数のクラウドサービスで同じIDとパスワードを使用してしまう可能性が非常に高くなるので、漏えいしてしまう可能性が上がり、一か所でも漏えいしてしまうとほかのサービスにも不正アクセスされてしまうリスクが増大します。こうした環境ではユーザーの利便性が考えらえていませんし、安全でもないのです。また、複数のサービスでのユーザー管理が発生してしまい、たとえば退職者のアカウントを消し忘れてしまってそこから不正アクセスされてしまうかもしれません。

Azure ADとActive Directoryの接続によって以上のような問題を解決できるというメリットがあります。オンプレミスシステムもクラウドサービスも同じ認証基盤でSSOを実装するので、一度のサインオンでドメインに参加しているすべてのシステムとサービスにアクセスすることができます。これによって1日の認証時間を大幅に短縮し、ユーザーのストレス軽減に成功するでしょう。

SSOを実装することでセキュリティリスクが増えるのでは?という懸念もありますが、実際にはワンタイムパスワードなどの特別な認証と併用するためセキュリティが向上します。Azure ADとActive Directoryでもそうした特別な認証をサポートしているため、効率良くセキュリティリスクを低減できるでしょう。

また管理対象も一元化できるため、運用管理上のリスクも減らすことができます。

オンプレミスシステムでは認証基盤を整えているものの、クラウドサービスは別のユーザー管理をしているなど、クラウドサービスによって管理がかえって煩雑になってしまったという方は、この機会にAzure ADの活用とActive Directoryの連携による一元的な運用をご検討ください。

Enterprise Mobility+Security(EMS)ソリューション

RECOMMEND関連記事


RECENT POST「製品情報」の最新記事


この記事が気に入ったらいいねしよう!