多くの企業で、クラウドへの移行が進んでいます。しかし、クラウドサービスを導入したものの、シングルサインオン(SSO)が実現できず、費用対効果を下げている場合があります。特に、多くの企業で使われているMicrosoft Entra ID(旧Azure AD)を有効活用できていないケースが多く見られます。今回は、Microsoft Entra ID(旧Azure AD)をIDaaSとして活用し、SSOを実現することのメリットや課題についてご説明します。
SSOやIDaaSについて詳しくはこちらの記事をご参照ください。
「シングルサインオン(SSO)とは何か?」今さら訊けないSSOの解説
「近年普及を見せるIDaaSとは?メリット、デメリットを解説」
※本記事は2021年12月16日に投稿した記事を再編集したものです。
目次
Microsoft Entra ID(旧Azure AD)とは
Microsoft Entra ID(旧Azure AD)はOffice365やMicrosoft365に付属するものです。そのため、Microsoft365を利用されている方はMicrosoft Entra ID(旧Azure AD)も利用できる環境になっています。しかし、Microsoft Entra ID(旧Azure AD)の機能をどのように活用すればよいでしょうか。まずは、オンプレミスのActive Directoryとの違いを比較しつつ、機能を見ていきましょう。
Microsoft Entra ID(旧Azure AD)とオンプレミスADとの違い
Microsoft Entra ID(旧Azure AD)とは、Microsoftが提供するクラウド型のActive Directoryです。しかし、オンプレミスのActive Directoryは社内にサーバーを設置・運用するものです。管理するアカウントも社内リソースを使用するための認証情報になります。
その一方で、Microsoft Entra ID(旧Azure AD)はクラウドサービスの認証情報を一括で管理するサービスです。SSOの機能を持っており、「SAML」や「Open ID Connect」などの認証プロトコルを用いて、認証しています。つまり、クラウドサービスの認証に使用することができるため、IDaaSの機能が揃っています。それぞれ役割が違うため注意が必要です。
認証プロトコル「SAML」の詳細はこちらの記事をご参照ください。
SSOの実現に必要な「SAML」とは?
Microsoft Entra ID(旧Azure AD)の機能
IDaaSとしてMicrosoft Entra ID(旧Azure AD)を活用する場合、利便性が向上する機能は他にも4つあります。いずれもセキュリティ対策としても重要です。機能を最大限活用し、万全な対策を講じましょう。ただし、ライセンスによる制限もあります。その点を考慮に入れ、検討する必要があります。
Microsoft Entra ID(旧Azure AD)のプラン比較はこちらの記事をご覧ください。
「Microsoft Entra ID(旧Azure AD)のプランを比較!詳しい機能も併せて解説」
ID管理
ユーザーの基本情報を管理するだけでなく、メンテナンスすることも可能です。Microsoft365だけでなく、SaaSアプリケーションなどのIDも管理・連携することができます。さらに、入退社や人事異動の際の権限付与も一括で実施できるため、ミスを減らすことも可能です。
多要素認証
多要素認証についても、詳しく設定することが可能です。SMS認証やFIDO2・Windows Helloを利用した生体認証などを利用できます。ライセンスによって、多要素認証の設定可能機能が大きく異なるため、ライセンスを確認しておく必要があります。
多要素認証の詳細についてはこちらの記事をご参照ください。
「多要素認証(MFA)とは|メリット、デメリットについて解説」
アクセス制限
Microsoft Entra ID(旧Azure AD)にアクセスした後(認証後)、「認可」の機能を使用できます。グループやユーザー単位で使用できるアプリケーションを指定し、権限のないアプリケーションにアクセスできないように設定できます。また、場所やデバイスなどによるアクセス制限も実施できます。但し、認可の機能を利用するためには、Microsoft Entra ID(旧Azure AD)P1(Microsoft365 Business PremiumやMicrosoft365 E3)以上のライセンスが必要です。
認証と認可の違いについて詳しくはこちらの記事をご参照ください。
「認証と認可の違いについて|セキュリティの強化について説明」
オンプレミスアプリケーションへのSSO
Microsoft Entraアプリケーション プロキシ(旧Azure AD アプリケーション プロキシ)を利用することで、SaaSだけでなく、オンプレのアプリケーションへのシングルサインオンやリモートアクセスを可能にします。4種類の認証方法によって、SSOを実現できます。
Microsoft Entraアプリケーション プロキシ(旧Azure AD アプリケーション プロキシ)の詳細はこちらの記事をご参照ください。
「Azure AD アプリケーション プロキシのメリットや欠点とは」
アプリケーションプロキシを活用することで、企業で使用するシステムにリモートアクセスできる環境を整備できます。これによって、働き方改革を進められると同時に、ゼロトラストを実現できるため、高いセキュリティ性が確保できます。但し、この機能を利用するためには、Microsoft Entra ID(旧Azure AD)P1(Microsoft365 Business PremiumやMicrosoft365 E3)以上のライセンスが必要です。
リモートアクセスの詳細はこちらの記事をご参照ください。
リモートアクセスサービス比較【VPN・DaaS・ZTNA】
Microsoft Entra ID(旧Azure AD)のメリット
Microsoft Entra ID(旧Azure AD)をIDaaSとして活用するメリットは大きく2つあります。それぞれについて詳しく説明します。
ユーザーの利便性向上・管理者の負担軽減
クラウド型のため、自社サーバーの構築が不要な点や必要に応じて、サーバーの拡大・縮小も簡単に行えるなど、SSOを実現することで、ユーザーの利便性が非常に向上します。特にMicrosoft製品であるオンプレADやMicrosoft365を利用している企業では、連携が容易にでき、非常に親和性が高いです。さらに、ユーザー管理を実現できるため、管理者の大幅な負担軽減につながります。以上の理由から、活用するメリットは十分にあると言えます。
セキュリティ性が高い
従来の認証だけでなく、多要素認証やアクセス制限、VPNに代わるリモートアクセスなどを活用できるため、セキュリティレベルを向上させることができます。他のIDaaSと比較しても、高いセキュリティ性が担保されています。特に脱VPNを考える企業には最適なソリューションだと言えるでしょう。
Microsoft Entra ID(旧Azure AD)の課題
ここまで機能やメリットを挙げてきましたが、もちろんMicrosoft Entra ID(旧Azure AD)を使う上での課題もあります。そこで、Microsoft Entra ID(旧Azure AD)が抱える課題やデメリットを見ていきましょう。
オンプレADとMicrosoft Entra ID(旧Azure AD)を同時に管理する手間
オンプレADとMicrosoft Entra ID(旧Azure AD)を併用する環境を「ハイブリッドAD」と呼びます。オンプレADとMicrosoft Entra ID(旧Azure AD)は似た名称ではあるものの、機能は大きく異なるため、両方の管理を同時に行うことは非常に大変な作業です。また、Microsoft社より「Microsoft Entra ID(旧Azure AD) Connect」が無償で提供されていますが、情報をコピーしているに過ぎず、ID管理を統合・連携することができません。そのため、ハイブリッド環境ではID管理の負荷が大きくなります。しかし、一気にオンプレADからMicrosoft Entra ID(旧Azure AD)に移行することは難しく、大きな負担にならざるを得ません。
Microsoft Entra ID(旧Azure AD)で障害が発生する
障害については、どのIDaaSについても共通することですが、Microsoft Entra ID(旧Azure AD)では特に注意が必要です。その理由として、Microsoft社がMicrosoft Entra ID(旧Azure AD)の他にも様々なサービスをクラウドで提供しているからです。実際、たびたび障害が発生しています。Microsoft Entra ID(旧Azure AD)をIDaaSとして活用する場合は、このような障害への対応手段を考えておくことも重要です。
まとめ
Microsoft Entra ID(旧Azure AD)をIDaaSとして活用し、SSOを実現することのメリット・デメリットをご紹介しました。特に、ユーザーの利便性やセキュリティ対策の充実度は高く、IDaaSとして活用するには、最適と言えます。しかし、Microsoft Entra ID(旧Azure AD)にも課題はありますので、自社に合ったソリューションを選ぶことをお勧めします。かもめエンジニアリングでは、Microsoft Entra ID(旧Azure AD)を中心に認証システムを構成したい方に最適なソリューションとして、ゼロトラスト接続サービスKeygatewayC1やID管理クラウドサービスKeyspiderを提供しております。ご興味ある方は、ぜひ以下よりお問い合わせください。
事業・商品・サービスに関するお問い合わせ
製品に関するお問い合わせはこちら
※フリーメールでのお問い合わせは受け付けておりません。