【第2回】Azure Active Directoryとは~クラウドとハイブリッド環境におけるID・アクセス管理を見る~

  1. 認証 (Authentication) と承認 (Authorization) の関係性
  2. Azure Active Directory(Azure AD)とは
  3. クラウドにおけるID・アクセス管理を、いかに効率的にこなすか
  4. この記事の執筆者
Twitter
Facebook
Hatena
【第2回】Azure Active Directoryとは~クラウドとハイブリッド環境におけるID・アクセス管理を見る~

認証 (Authentication) と承認 (Authorization) の関係性

AzureサービスによるID・アクセス管理の話に入る前に、ITにおける「認証」と「承認」という基本的な概念について、理解する必要があります。

なぜなら認証と承認は、ID・アクセス管理において絶えず発生するプロセスだからです。ID・アクセス管理領域において、認証と承認という概念を理解しておくことは、必須といえるでしょう。

認証とは

認証とは、一言でいえば「ユーザのIDを確認する工程」です。ユーザ、あるいはサービスが、確かに提示した資格情報どおりの存在であるかどうかを確認します。

承認とは

通常、認証のあとに承認が行われます。認証によって「A」というユーザが「A」であると確認がとれた場合、今度はどの範囲まで「A」がアクセスできるかを確認します。この「アクセス権のレベルを確認する工程」が承認です。

Azure Active Directory(Azure AD)とは

Azure Active Directory(以下Azure AD)とは、クラウドにID・アクセス管理の仕組みを用意するサービスです。

Azure ADとActive Directoryの違い

Azure ADの機能を紹介する前に、Azure ADとActive Directoryの違いを簡単に理解しておきましょう。

Active Directoryとは、ID・アクセス管理の仕組みをオンプレミスに用意してくれるサービスです。Active DirectoryはKerberos(ケルベロス)というプロトコルを利用して社内に閉じた環境でドメイン間での認証を行い、社内ネットワーク内でのアカウント管理を行います。そのため、社内のサービスではなくクラウドサービスを利用するには、認証プロトコルが異なるため、利用したいサービスごとにID認証を行わなければなりません。

Azureでは、「Azure VPN」と呼ばれるサービスを利用すれば、オンプレミスとクラウドのネットワークを直接つなぐことができます。それぞれをつなぐことで、Azure上の仮想マシン(VM)にActive Directoryでアクセスすることができますが、それはあくまでVMを利用した話であり、Microsoft 365のようなSaaS型クラウドサービスの場合、やはり毎回ID認証を行う必要があります。

Azure ADはクラウドにおける認証に特化しています。シングルサインオン(SSO)機能により、Azure ADにてID認証するだけで、連携されたSaaS型・PaaS型のクラウドサービスでは認証の必要がなくなります。

Azure ADの主な管理機能

Azure ADが提供する管理機能としては、大きく以下が挙げられます。

・ユーザ/グループ管理

各リソースにアクセスするためのユーザ認証を実行します。

・アプリケーション管理

ユーザごとにアクセスできるアプリケーションを管理します。単純に利用できる・できないという制限をかけるものではなく、たとえば、あるサービスへのアクセスは会社からのみ許可するといった、細かい設定も可能です。

・デバイス管理

ユーザが利用するデバイスを登録・管理することで、デバイスによるアクセス許可・制限を実行できます。

そのほかの多彩な機能

SSOは前述のとおりですが、Azure ADでは多要素認証機能なども採用されています。

Azure ADとActive Directoryの連携

Active Directoryはオンプレミスに認証の仕組みを用意し、Azure ADはクラウドに認証の仕組みを用意すると説明してきました。つまり、どちらか片方だけでは、ハイブリッド環境においては、あるいは段階的なクラウド移行時においては、結局ID・アクセス管理が最適化されないということです。

Azure ADとActive Directory両者を連携して、両環境でID・アクセス管理を効率化するには「Azure AD Connect」と呼ばれるサービスを利用します。
Azure AD Connectを利用すれば、Active DirectoryのID情報をAzure ADに簡単に同期できます。結果、ユーザは同一の資格情報で、オンプレミス、クラウド両方を自由に行き来することができるのです。

クラウドにおけるID・アクセス管理を、いかに効率的にこなすか

Azure ADを利用すれば、クラウド環境構築において最初のネックとなる「認証」と「承認」を、よりスムーズにすることができます。

ID・アクセス管理を効率化することは、結果的にユーザエクスペリエンスを向上させ、よりよいサービスを生み出すきっかけになります。特に、複雑化しやすいハイブリッド環境ではなおさらです。

クラウド活用が当たり前になる中では、Azure ADのようなID・アクセス管理ツールを実装することは必要不可欠といえるでしょう。

次回は、もう一歩セキュリティに踏み込み、セキュリティ診断や保護、脅威を検出・評価するAzure Security Centerを紹介していきます。

こちらもあわせてご覧ください
【第1回】Microsoft Azureとは~Azureの基本性能と全体像を見る~
【第3回】Azure Security Centerとは~セキュリティの診断や保護、脅威の検出を見る~

富士ソフト Microsoftソリューションのご紹介

富士ソフトのMicrosoft ソリューション



 

まずはお気軽にご相談ください

 

この記事の執筆者

山本 祥正
山本 祥正Yoshimasa Yamamoto

執行役員
ソリューション事業本部 副本部長

クラウド 仮想化 Vmware Tanzu
詳しくみる