Azure ADとは？機能やサービスなど、わかりやすく解説

目次 Azure ADとは Azure ADが注目される背景 Azure ADのメリット Azure ADのデメリット Azure ADの機能 Azure ADで提供されるサービスの一例 Azure ADのライセンス 多機能なAzure AD活用にはＪＢＣＣの「EcoOne」 まとめ

Azure ADはAzure上で提供される、クラウドベースのユーザー管理サービスです。クラウドサービスの認証・認可だけではなく、オンプレミスのActive Directoryとも連携できる点が特徴です。SSOや多要素認証など、多彩な機能がありIT部門の業務効率化と、セキュリティ向上、ユーザーの利便性向上が期待できます。
本記事ではAzure ADのメリットやデメリット、基本的な機能やサービスなど、初心者の方でもわかりやすく解説します。

Azure ADとは

Azure ADはクラウドによる認証・認可の一元管理サービスです。正式名称を「Azure Active Directory」といいます。Microsoft Azureの1つのサービスとして提供されています。2022年6月からは総合的なアクセス管理ソリューションである「Microsoft Entra」の一部としても提供されている機能です。

Active Directoryとは Active Directoryはシステム上にあるリソース（サーバーやデータ）の、認証・認可を一元管理する仕組みです。Azure ADがクラウドベースであるのに対し、オンプレミスで提供される点が一番の違いです。 ユーザーがアクセスできる範囲を「ドメイン」と呼び「ドメインコントローラー」でそのアクセスを制御します。 オンプレミスとの違い オンプレミスのActive DirectoryとAzure ADの違いは、クラウドか否か以外にもいくつかあります。それは使用されるプロトコル（ルール）です。Active Directoryでは、ユーザー認証にKerberos（ケルベロス）、ディレクトリへのアクセスにLDAPというプロトコルを使用します。 一方、Azure ADではユーザー認証にSAML、WS-Federation、OpenID Connect、OAuthといった複数のプロトコルが利用可能です。ディレクトリへのアクセスにはRESTful APIという仕組みを使用します

【関連記事】 Microsoft Azure（アジュール）とは何が出来る？わかりやすく解説【初心者向け】

Azure ADが注目される背景

Azure ADが注目を集める背景について、3つ解説します。

ハイブリッドワークの浸透 働き方改革の推進や、コロナ禍の影響を受け、リモートワークとオフィスワークをミックスさせた「ハイブリッドワーク」が急速に浸透しました。 パーソルキャリア株式会社が2022年8月に発表したアンケート調査によると、同社が運用する「doda」に掲載されているハイブリッドワーク可能求人は、2021年6月から2022年6月の1年間で約5.6倍に増加。ハイブリッドワークを導入済、または導入予定である企業の割合は56.5％と半数を超えています。 クラウドを活用し、社外でワークすることがあたり前になったため、オンプレミスを中心とした認証・認可の仕組みだけでは対応できなくなってきているのです。 セキュリティリスクの高まり ワークスペースの急激な拡張やクラウドの乱立は、サイバー攻撃によるリスクを高めることにもつながっています。VPNやリモートデスクトップの脆弱性を突いた攻撃や、従業員へのフィッシング詐欺、認証情報の使いまわしによる情報漏えいなどです。 そのためクラウドをベースとしたユーザー管理の仕組みの構築が、急務となっているのです。

IT部門における業務負荷の増加

急激な環境変化は、IT部門の負荷も高める結果となりました。オンプレミスを中心にシステムを運用している場合は、機器の設置や設定、増設など環境構築や保守のために、追加の工数やコストが必要になります。

また、慣れない在宅での業務に関して、パスワード忘れやアクセスできないといったユーザー部門からの問い合わせ対応も増加しました。

Azure ADをうまく活用することで、これらの課題の解消につなげることが可能です。

Azure ADのメリット

Azure ADのメリットを具体的に見ていきましょう。

ハイブリッドワークに対応できる Azure ADはクラウドベースであるため、ハイブリッドワークにも対応できます。ユーザーはSSO（シングル・サイン・オン）を使って、Microsoft 365はもちろん、SalesforceやSlack、boxといったサードパーティーのクラウドにもログイン可能です。 またAzure ADでは、オンプレミスのActive Directoryと連携できる、Azure AD Connectというサービスが提供されています。これにより、クラウドとオンプレミスの両方のIDを連携し管理できます。

クラウド化によるコスト削減

Azure ADはクラウドサービスとしてサブスクリプション形式で提供されます。サーバー構築などの初期費用や、機器の増設や保守にかかるコストを削減可能です。管理するユーザーが増えた際に、機能を拡張することも容易です。

IT部門の業務負荷の軽減

上述のとおり、Azure ADはクラウドサービスとして提供されるため、金銭的コストのみならず、IT部門の保守・運用にかかる業務負荷を抑えることが可能です。

またAzure ADにはエンドユーザーセルフサービスという機能が備わっています。これはユーザー自身がパスワードをリセットできる機能です。パスワード忘れに関して、ユーザーがIT部門に問い合わせをする必要がなくなります。

Azure ADのデメリット

Azure ADにはメリットだけでなくデメリットもあるので、注意が必要です。

プラットフォーム停止のリスク

なんらかの理由でAzure ADが停止してしまった場合、経由していたすべてのリソースにアクセスできなくなってしまうリスクがあります。オンプレミスのActive Directoryであれば、冗長化など企業側で対応できる部分もありますが、クラウドサービスであるAzure ADそのものが停止してしまうと、基本的には復旧を待つほかありません。

ユーザー環境へ与える影響

Azure ADを導入る際のデメリットとして、ユーザー環境の変化が挙げられます。業務環境が変わることで、一時的にIT部門への問合せが増えることなどが想定されます。マニュアル等をあらかじめ用意するなどの対策が必要です。

Azureに関する一定の知識が必要

Azure ADやAzureに関する一定の知識が必要となる点も注意が必要です。プランや機能などが豊富なので、どのような構成がよいのかわからなくなるケースも少なくありません。また初期設定に一定の工数が必要である点もデメリットの1つです。

Azure ADを導入だけでなく、運用も担ってくれるサービスを活用するのも有効です。

【関連記事】 企業が抱えるクラウドセキュリティ対策とは？Azureを利用した解決策

Azure ADの機能

Azure ADで実現できる代表的な機能について解説します。

認証 Azure ADはクラウドベースの認証機能を提供します。SSOに対応しているため、Azure ADでの認証後は、連携しているサービスであれば追加の認証は不要です。多要素認証にも対応しているため、セキュリティを向上できます。 Microsoftはパスワードレスを推奨しており、Azure ADはWindows Helloなどの生体認証にも対応しています。

アプリケーション制御

ユーザーやグループごとにアクセスできるアプリケーションを制御できます。使用権限のないアプリケーションはユーザーには表示されません。

認可と条件付きアクセス

アプリケーション制御をさらにきめ細かく制御する機能が、条件付きアクセスです。シグナルに基づき、認可の与え方まで制御します。シグナルとは、具体的には下記です。

• ユーザー
• IPアドレス
• 端末情報
• 使用するアプリケーション
• リアルタイムリスク（ユーザーの挙動など）

上記を基に、下記のような制御を行います。

• アクセスのブロック
• 多要素認証によるアクセスの許可
• 許可されたデバイスによるアクセス
• アクセスの許可

デバイス管理

デバイスIDを使用して、クラウドまたはオンプレミスの端末のアクセスを管理します。Microsoft Intuneという機能と統合されており、ノートパソコン、スマートフォン、タブレットなどのデバイスを管理できます。

エンドユーザーセルフサービス

ユーザー自身がパスワードをリセットできる機能です。他にも、端末の追加や多要素認証の設定、アカウントのログイン状況の閲覧などが可能です。ユーザーはAzure ADのセルフサービスポータルを経由してさまざま設定を行います。

ユーザー自身が対応することで、IT部門への問合せを最小限にできるとともに、セキュリティ意識の向上にもつなげられます。

ハイブリッドクラウド

Azure ADはAzure AD Connectというサービスを使うことで、オンプレミスとActive Directoryとの連携が可能です。具体的にはそれぞれのシステムで使用する共通のID（ハイブリッドID）を設定することで、認証・認可を行います。

同じ認証情報でオンプレミスとクラウド、両方のリソースにアクセスできるため、ユーザーの利便性が向上すると同時に、管理者の負担も減らせます。

【関連記事】増え続ける不正アクセス！ID管理の徹底や多要素認証が求められる

Azure ADで提供されるサービスの一例

Azure ADで提供される代表的なサービスを5つ、ご紹介します。

Azure AD Connect

Azure AD Connectは、オンプレミスのActive DirectoryとAzure ADを連携させるサービスです。Azure AD Connectを活用することで、ユーザー側が1つの認証情報で、クラウドとオンプレミスの両方にアクセスできるようになります。

Azure AD Connect Healthという機能を追加でインストールすることで、オンプレミス上のアカウント情報の監視も可能です。

Azure ADに含まれるため、無料で利用可能です。
※Azure AD Connect Healthには、後述のAzure AD Premium P1 ライセンスが必要。

Azure AD B2C

Azure AD B2Cは顧客向けの認証基盤を構築するための、 IDaaS （Identity as as Service）です。Webアプリケーションを利用するユーザーに対して、Microsoftアカウントはもちろん、TwitterやFacebook、Googleなどのアカウントを使ったアカウントの登録やSSOを実現します。料金はMAUによる従量課金制です。

Azure AD Identity Protection

Azure AD Identity ProtectionはIDごとのリスクを、MicrosoftのビッグデータとAI技術を用いて検証するサービスです。なりすまし、不正アクセスなどのリスクを抑制できます。具体的には下記のような挙動などをリスクある行動として検知します。

• 匿名IPアドレスの使用
• マルウェアにリンクしたIPアドレス
• パスワードスプレー
• 漏えいした認証情報

利用するにはAzure AD Premium P2 ライセンスが必要です。

Azure AD Multi-Factor Authentication

Azure AD Multi-Factor Authenticationは、Azure ADで多要素認証を実現するためのサービスです。多要素認証とは、ログインの際に2つ以上の認証情報を組み合わせる手法です。代表的なものとして、パスワード（知識情報）と生体認証、パスワードと物理トークン（カード型やUSB型）などが挙げられます。

Azure AD Multi-Factor Authenticationでは、下記のような認証情報を追加で設定可能です。

• Microsoft Authenticator アプリ
• Windows Hello for Business
• FIDO2 セキュリティ キー
• OATH ハードウェア トークン （プレビュー）
• OATH ソフトウェア トークン
• SMS
• 音声通話

Azure ADの基本ライセンスで利用できますが、セキュリティをカスタマイズする場合には、Azure AD Premium P1や、Azure AD Premium P2のライセンスが必要です。

Azure Active Directory Domain Services

Azure Active Directory Domain Services は、Azure上で提供されるドメインコントローラーです。ドメインコントローラーをAzure上に置くことで、保守などの工数を削減できるほか、Azure AD Connectとあわせて活用することで、ハイブリッドクラウド環境にも対応できます。

料金は時間単位の従量課金制です。

Azure ADのライセンス

Azure ADには無料のAzure Active Directory Free、Office 365の他に、Azure Active Directory Premium P1、Azure Active Directory Premium P2という有料のライセンスがあります。

	Azure Active Directory Free	Office 365	Azure Active Directory Premium P1	Azure Active Directory Premium P2
SSO、多要素認証、パスワードレス	○	○	○	○
SaaSアプリ認証	○	○	○	○
デバイス管理	○	○	○	○
認可（ロールベース）	○	○	○	○
条件付きアクセス			○	○
Azure AD Connect同期			○	○
Azure AD Connect Health			○	○
エンドユーザーセルフサービス	○	○	○	○
エンドユーザーによるパスワードリセット			○	○
ログ管理	○	○	○	○
Identity Protectionによるリスク検証				○
条件付きクセスによるMFA			○	○
特権ID管理				○

※機能は一部です。
※2022年8月21日現在です。詳細および最新の情報は公式ページをご確認ください。
https://www.microsoft.com/ja-jp/security/business/identity-access/azure-active-directory-pricing?rtc=1

premium P1とP2でできること

Azure Active Directory Premium P1でできることは主に下記です。

• 条件付きアクセスによるきめ細かいセキュリティポリシーの策定
• エンドユーザーによるパスワードリセット/変更/ロック解除

Azure Active Directory Premium P2は、上記にさらに機能が追加されています。

• Azure AD Identity Protectionによるセキュリティ強化
• Azure AD Privileged Identity Management による特権ID管理

多機能なAzure AD活用にはＪＢＣＣの「EcoOne」

Azure ADを活用することによって、ハイブリッドワーク化でのユーザー管理を効率化できます。またSSOによって、ユーザーの業務効率化も期待できるでしょう。しかしながら、Azure ADはプランや機能が複雑で、運用するには一定の知識が必要です。そのため、Azure ADの導入から運用までをワンストップで提供するサービスも数多く提供されています。
ＪＢＣＣが提供する「EcoOne」もそのようなサービスの1つ。さまざまなクラウドサービスを組み合わせて、最適な業務環境を実現する運用付きクラウドサービスです。面倒な初期設定もＪＢＣＣが代行します。

運用付きクラウドサービス「EcoOne」の詳細を見る

まとめ

Azure ADはクラウドベースのユーザー管理サービスです。オンプレミスとの連携も可能で、IT部門の業務負荷を減らせると同時に、SSO等によってユーザーの利便性も向上します。ただし、実現できる機能が多く、Azureに関する一定の知識が必要になりますし、初期設定に手間がかかるというデメリットがあるのも事実です。

ＪＢＣＣの「EcoOne」はこれらのデメリットを解消できる、運用付きクラウドサービスです。導入や運用の負担を押さえながら、Azure ADのメリットをしっかりと生かせます。クラウドのID管理に課題を感じている企業は、ぜひ一度ご検討ください。

▼▼▼クラウドのID管理に課題を感じている方は、「クラウド（IaaS）相談会」でお気軽にご相談ください▼▼▼

ＪＢＣＣ株式会社 ＪＢＣＣ株式会社は、企業のデジタル・トランスフォーメーション（DX）を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 お客様の環境に合わせた最適なITシステムを、クラウド、超高速開発、セキュリティ、データ連携等を活用し、企業のDX実現と経営変革に貢献します。