Azure AD入門

Azure ADとはMicrosoft社が提供するクラウドサービスAzure上の認証サービスです。ADはActive Directoryの略であり、読み方は「アジュールアクティブディレクトリ」です。Active Directoryは複数のWindows PCユーザーの認証情報やアクセス権限を一元管理できる機能であり、Azure ADはそのクラウド版という位置付けです。

しかし、ただクラウド化しただけではなく、クラウド特有の多く新機能やメリットが存在しています。本記事ではこのAzure ADについて提供される機能やメリットなどをわかりやすく解説していきます。

クラウドエンジニアを目指す方必見！Azureを分かりやすく紹介！

前述したようにAzure ADは従来のActive Directoryのクラウド版という位置付けですが、実態として異なる点がいくつかあります。まず、従来のActive Directoryはオンプレミスでサーバー本体を施設内に設置するのに対し、Azure ADはクラウド上のサーバーを利用するという点が大きく異なります。

また、使用目的として、従来のActive Directoryが施設内にあるため、社内のローカルネットワークに接続されているサービスのみを対象としていました。一方、Azure ADはクラウド上に構築されるため、社内外問わずクラウドサービス全般を対象とすることができます。

ほかにも、認証プロトコルについてActive Directoryが「Kerberos」と「LDAP」を使用するのに対し、Azure ADでは「SAML」や「WS-Federation」など様々なプロトコルに対応しているという違いもあります。

気になる料金体系はどうなっているのでしょうか。Azure ADには下記の4つのプランが用意されています。

Free

AzureやDynamics 365などの他のサブスクリプションを契約すると自動的に付加されるプランです。

Office 365

Office 365のE1、E3、E5、F1、F3プランを契約すると自動的に付加されるプランです。Freeプランに対してユーザーによるセルフサービスパスワードリセット機能などが追加されています。

Premium P1

Azure及びOffice 365ユーザーが追加プランとして購入することができ、1ユーザーにつき毎月6ドルとなっています。高度なセキュリティ機能である「Azure AD 条件付きアクセス」を利用することができます。

Premium P2

Azure及びOffice 365ユーザーが追加プランとして購入することができ、1ユーザーにつき毎月9ドルとなっています。P1よりもさらに高度な「リスク ベースの条件付きアクセス」を利用することができます。

参考：Azure ADの料金体系

Azure ADでできること

クラウドに対応したActive DirectoryであるAzure ADでは実際にどのようなことができるのでしょうか。下記で具体例を見ていきましょう。

Azure ADの主たる機能はクラウドサービスのアカウントを一元管理できることです。対象のサービスはMicrosoftが提供するものに限らず、「Box」や「Google Workspace」などの他社製品に対しても管理することができます。

さらに、あるサービスへのログインで使用した認証情報を利用し、他のサービスへログイン作業を不要化する「シングルサインオン」も適用することも可能です。従来、社内でしか適用できなかったActive Directoryの機能を社外のクラウドサービスに利用できるようになるイメージでしょう。

クラウドサービスを利用するユーザーの認証情報を管理できるだけでなく、Azure ADはアクセスも管理することができます。ユーザー単位もしくは属性ごとにアプリケーションへのアクセス権を設定できるため、情報漏洩リスク低減や効率的なユーザー管理を期待できます。「Azure AD 条件付きアクセス」で知られる本機能は有料のPremiumプランでないと使用できない点に注意しましょう。

Azure ADの管理者はサインインログと呼ばれるアクセスログを閲覧することも可能です。このログを閲覧することで、

・ユーザーのサインインにどのようなパターンがあるか

・1週間で何人のユーザーがサインインを行ったか

・何が原因でサインインエラーが発生したか

などを把握することができ、不正アクセス検出の役に立ちます。こちらの機能もアプリケーションごとのアクセス制限と同様に有料のPremiumプランでないと使用できないことには注意しましょう。

参考：Azure ADの料金体系

Azure ADではユーザーごとに認証情報を管理できるだけでなく、接続するデバイスごとで管理することも可能です。これはデバイスIDと呼ばれるオブジェクトによってどのようなデバイスが接続できるのかを管理している形です。

「Azure AD登録」と呼ばれる方法を用いれば、社内のADドメインに参加していない個人所有のデバイスもAzure ADにて管理できるようになります。本機能もまた有料のPremiumプランでないと利用できない点に注意しましょう。

参考：Azure ADのデバイス管理

Azure AD導入のメリット

Azure ADでは様々なことができることが分かりました。次に実際に導入することでどのようなメリットがあるかを見ていきましょう。

Azure ADでは従来のオンプレミスのActive Directoryと異なり、実際にサーバーを設置する必要がありません。そのため、システム規模を拡張したい場合にサーバー増築が不要となり、スピーディーな対応が可能となります。管理しなければならないユーザーやデバイスが短期間で急激に増加した場合もAzure ADの管理画面上で設定を変更するだけで対応することができるということです。

前述のようにAzure ADではクラウド上のサーバーで認証サービスが提供される形であるため、自社内にサーバーを構築する必要がありません。そのため、サーバー構築のための初期費用や外部委託費用などが一切不要です。

また、サーバー本体がないことでの運用費用もかからないこととなります。さらにAzure ADのサブスクリプション費用自体もユーザー数に応じた月額費用なため、必要な分だけ支払うという形である点も注目です。

Azure ADのメリットで忘れてはならないのは、管理者の負担が軽減されることです。まず、従来のActive Directoryでサポートされていなかったセルフパスワードリセットの機能が追加されたため、管理者が対応に時間をとられることがなくなりました。また、Office365との連携も容易になっているほか、従来のActive Directoryとの連携も後述するAzure AD Connectを利用することで非常に容易に行うことができます。

ログイン時の認証方法について、Azure ADは多様な方式を提供していることもメリットです。2段階認証や多要素認証だけでなくパスワードを覚えなくてもよいパスワードレス認証についても対応しており、Microsoft Authenticatorアプリケーションによる認証や生体認証を利用することが可能です。

参考：Azure ADのパスワードレス認証

便利な追加サービスを紹介

Azure ADにも他のAzure関連サービスと同様に追加サービスが用意されています。追加料金を支払わなければならないものもありますが、いくつかピックアップして紹介しています。

従来のActive DirectoryとAzure ADを併用した場合にアカウント情報が混在してしまい、管理が煩雑になることが考えられます。そこでAzure AD Connectを使用すれば、両方のサービス上のアカウント情報を同期することができるようになり、非常に効率的に管理することが可能となります。本追加サービスはAzure ADを契約していれば無料で使用することが可能です。

Azure AD B2Cは顧客へ向けたアプリケーションの内部で使用するID管理システムを構築するサービスです。自社システムではなく顧客向けのアプリケーションが対象となるため、他のAzure ADのサービスとは少々毛色が異なります。

Azure ADにおける認証サービスがベースとなっているため、シングルサインオンを提供するなど強力かつ容易に認証システムを導入できる点が特徴です。価格は毎月の利用ユーザー数で変動する形となっています。

参考：Azure B2C

Active Directoryで提供されていたドメイン接続について、Azure上で作成した仮想マシンをドメイン参加させることで再現することができます。これに使用するサービスがAzure ADDS（Active Directory Domain Services）です。従量課金制でコストはかかりますが、Azure ADでドメインサービスをすぐに利用したい場合に非常に便利なサービスと言えるでしょう。

参考：Azure ADDS

Azure ADを利用してクラウド認証を効率化しよう

Azure ADはクラウドベースの認証サービスであり、Windowsにもともと搭載されていたActive Directoryのクラウド版という位置付けです。Office365をはじめとした様々なクラウドサービスのアカウント管理を一元化できるだけでなく、導入・運用コストも低減することができるため非常にメリットがあります。特に、Active Directoryからの移行はスムーズにできるように図られていますので、試してみる価値はあるでしょう。