多くの企業で、クラウドへの移行が進んでいます。しかし、クラウドサービスを導入したものの、シングルサインオン（SSO）が実現できず、費用対効果を下げている場合があります。特に、多くの企業で使われているAzure ADを有効活用できていないケースが多く見られます。今回は、Azure ADをIDaaSとして活用し、SSOを実現することのメリットや課題についてご説明します。

SSOやIDaaSについて詳しくはこちらの記事をご参照ください。
「シングルサインオン（SSO）とは何か？」今さら訊けないSSOの解説
「近年普及を見せるIDaaSとは？メリット、デメリットを解説」

Azure ADとは

Azure ADはOffice365やMicrosoft365に付属するものです。そのため、Microsoft365を利用されている方はAzure ADも利用できる環境になっています。しかし、Azure ADの機能をどのように活用すればよいでしょうか。まずは、オンプレミスのActive Directoryとの違いを比較しつつ、機能を見ていきましょう。

Azure ADとオンプレミスADとの違い

Azure ADとは、Microsoftが提供するクラウド型のActive Directoryです。しかし、オンプレミスのActive Directoryとは全く異なります。オンプレミスADは社内にサーバーを設置・運用するものです。管理するアカウントも社内リソースを使用するための認証情報になります。
その一方で、Azure ADはクラウドサービスの認証情報を一括で管理するサービスです。SSOの機能を持っており、「SAML」や「Open ID Connect」などの認証プロトコルを用いて、認証しています。つまり、クラウドサービスの認証に使用することができるため、IDaaSの機能が揃っています。

認証プロトコル「SAML」の詳細はこちらの記事をご参照ください。
SSOの実現に必要な「SAML」とは？

Azure ADの機能

IDaaSとしてAzure ADを活用する場合、利便性が向上する機能は他にも4つあります。いずれもセキュリティ対策としても重要です。機能を最大限活用し、万全な対策を講じましょう。ただし、ライセンスによる制限もあります。その点を考慮に入れ、検討する必要があります。

Azure ADのプラン比較はこちらの記事をご覧ください。
「Azure ADのプランを比較！詳しい機能も併せて解説」

ID管理

ユーザーの基本情報を管理するだけでなく、メンテナンスすることも可能です。Microsoft365だけでなく、SaaSアプリケーションなどのIDも管理・連携することができます。さらに、入退社や人事異動の際の権限付与も一括で実施できるため、ミスを減らすことも可能です。

多要素認証

多要素認証についても、詳しく設定することが可能です。SMS認証やFIDO2・Windows Helloを利用した生体認証などを利用できます。ライセンスによって、多要素認証の設定可能機能が大きく異なるため、ライセンスを確認しておく必要があります。

多要素認証の詳細についてはこちらの記事をご参照ください。
「多要素認証（MFA）とは｜メリット、デメリットについて解説」

アクセス制限

Azure ADにアクセスした後（認証後）、「認可」の機能を使用できます。グループやユーザー単位で使用できるアプリケーションを指定し、権限のないアプリケーションにアクセスできないように設定できます。また、場所やデバイスなどによるアクセス制限も実施できます。但し、認可の機能を利用するためには、Azure AD Premium P1（Microsoft365 Business PremiumやMicrosoft365 E3）以上のライセンスが必要です。

認証と認可の違いについて詳しくはこちらの記事をご参照ください。
「認証と認可の違いについて｜セキュリティの強化について説明」

オンプレミスアプリケーションへのSSO

Azure AD アプリケーション プロキシを利用することで、SaaSだけでなく、オンプレのアプリケーションへのシングルサインオンやリモートアクセスを可能にします。4種類の認証方法によって、SSOを実現できます。

Azure AD アプリケーション プロキシの詳細はこちらの記事をご参照ください。
「Azure AD アプリケーション プロキシのメリットや欠点とは」

アプリケーションプロキシを活用することで、企業で使用するシステムにリモートアクセスできる環境を整備できます。これによって、働き方改革を進められると同時に、ゼロトラストを実現できるため、高いセキュリティ性が確保できます。但し、この機能を利用するためには、Azure AD Premium P1（Microsoft365 Business PremiumやMicrosoft365 E3）以上のライセンスが必要です。

リモートアクセスの詳細はこちらの記事をご参照ください。
リモートアクセスサービス比較【VPN・DaaS・ZTNA】

Azure ADのメリット

Azure ADをIDaaSとして活用するメリットは大きく2つあります。それぞれについて詳しく説明します。

ユーザーの利便性向上・管理者の負担軽減

SSOを実現することで、ユーザーの利便性が非常に向上します。特にMicrosoft製品であるオンプレADやMicrosoft365を利用している企業では、連携が容易にでき、非常に親和性が高いです。さらに、ユーザー管理を実現できるため、管理者の大幅な負担軽減につながります。以上の理由から、活用するメリットは十分にあると言えます。

セキュリティ性が高い

従来の認証だけでなく、多要素認証やアクセス制限、VPNに代わるリモートアクセスなどを活用できるため、セキュリティレベルを向上させることができます。他のIDaaSと比較しても、高いセキュリティ性が担保されています。特に脱VPNを考える企業には最適なソリューションだと言えるでしょう。

Azure ADの課題

ここまで機能やメリットを挙げてきましたが、もちろんAzure ADを使う上での課題もあります。そこで、Azure ADが抱える課題やデメリットを見ていきましょう。

オンプレADとAzure ADを同時に管理する手間

オンプレADとAzure ADを併用する環境を「ハイブリッドAD」と呼びます。オンプレADとAzure ADは似た名称ではあるものの、機能は大きく異なります。そのため、両方の管理を同時に行うことは非常に大変です。また、Microsoft社より「Azure AD Connect」が無償で提供されていますが、情報をコピーしているに過ぎず、ID管理を統合・連携することができません。そのため、ハイブリッド環境ではID管理の負荷が大きくなります。しかし、一気にオンプレADからAzure ADに移行することは難しく、大きな負担にならざるを得ません。

Azure ADで障害が発生する

障害については、どのIDaaSについても共通することですが、Azure ADでは特に注意する必要があります。その理由は、Microsoft社がAzure ADの他にも様々なサービスをクラウドで提供しているからです。実際、たびたび障害が発生しています。Azure ADをIDaaSとして活用する場合は、このような障害への対応手段を考えておくことも重要です。

まとめ

Azure ADをIDaaSとして活用し、SSOを実現することのメリット・デメリットをご紹介しました。特に、ユーザーの利便性やセキュリティ対策の充実度は高く、IDaaSとして活用するには、最適と言えます。しかし、Azure ADにも課題はありますので、自社に合ったソリューションを選ぶことをお勧めします。かもめエンジニアリングでは、Azure ADを中心に認証システムを構成したい方に最適なソリューションとして、ゼロトラスト接続サービスKeygatewayC1やID管理クラウドサービスKeyspiderを提供しております。ご興味ある方は、ぜひ以下よりお問い合わせください。