COLUMN誰でもわかる!お役立ちコラム

ゼロトラスト支援コラム

AzureADの機能解説(IDプロビジョニングなど)とエディション別導入ケース例

本コラムではMicrosoft社が提供しているID管理サービスであるMicrosoft Azure Active Directory(以降AzureADと称します)の主な機能について紹介していきます。

MicrosoftのHPには2022年2月現在、ライセンスごとに以下のようなAzureADの機能一覧ページを公開しています。
https://www.microsoft.com/ja-jp/security/business/identity-access-management/azure-ad-pricing

前回のコラムでは「認証、シングルサインオン、多要素認証(MFA)」から「認可と条件つきアクセス」までの主要な機能を説明しました(前回のコラムはこちら)。今回のコラムでは「管理とハイブリッドID」以降の機能について、主要であると思われるものをピックアップして紹介していきたいと思います。
このコラムを読むことで、AzureADはどういった機能を備えているのかを理解し、自社に置き換えた場合、AzureADを使うとどのようなソリューションができるか、そのためにはどのライセンスが必要になるのか、などが明確になれば幸いです。

AzureADの主な機能

前回のコラムでも載せましたが、AzureADの主な機能として、Microsoftはホームページ上で以下のものを挙げています(情報は2022年2月時点のものです)。
[table id=10 /]
参照:https://www.microsoft.com/ja-jp/security/business/identity-access-management/azure-ad-pricing

上記の項目について、今回は「管理とハイブリッドID」以降の機能を紹介していこうと思います。

AzureADで実現するスタイルズIDaaSサービスはこちら→

管理とハイブリッドID

この機能はAzureADで実現できるID管理に関する機能になります。

ユーザとグループ管理

「ユーザとグループ管理」は、クラウドサービスを利用するユーザやグループを一元管理できる機能のことです。異なるクラウドサービスのID管理をAzureADで一括して管理することができます。

ディレクトリ同期

ディレクトリ同期は「AzureAD Connect」というツールを使って、オンプレミスのActiveDirectoryのディレクトリをAzureADに同期することができる機能です。この機能により管理者はたとえActiveDirectoryとAzureADを併用して使っていても、2つのディレクトリをまとめて管理することができます。ActiveDirectoryの情報がAzureADへ同期されるので、基本的に管理者はActiveDirectoryの管理をすることになります。

グローバルパスワード保護と管理

グローバルパスワード保護とは、既知の脆弱なパスワードやそのバリエーションを検出してブロックする機能になります。この機能を使うことで、一般的によく使われる脆弱なパスワードや侵害されたパスワードなどをAzureADが検出してユーザがそのパスワードを使用できないようにしてくれます。
この機能はAzureADに直接追加されたユーザに使うことができますが、上記のディレクトリ同期機能により、ActiveDirectoryから同期されたユーザについても、AzureAD Premium P1以上のライセンスであれば使用できます。また、グローバル禁止パスワードリストに独自のカスタマイズを設定して追加することも可能です。たとえばパスワードとして自社の社名を使わせたくない場合は、禁止パスワードリストに自社名を設定することでパスワードとして使用するのを防ぐことができます。

エンドユーザーセルフサービス

エンドユーザーセルフサービスとは、従来管理者が実施していた作業の一部をエンドユーザー自身で行ってもらうようにできる機能になります。たとえば、あらかじめメールアドレスや認証アプリなどをセキュリティ情報として登録しておけば、パスワードを忘れた場合でも自身でパスワードリセットすることができるセルフサービスパスワードリセットといった機能があります。
他にも特定のグループの管理機能をエンドユーザーに付与して管理業務を委託する機能もあり、管理者でなくても一部ユーザに管理機能を付与することで管理業務を軽減させることができます。

IDガバナンス

IDガバナンスは、IDや権限などの管理を効率的に行う機能のことで、これにより不要なユーザや権限を監視することができ、不正利用のリスクを軽減することができます。

プロビジョニング

プロビジョニングとは、源泉となるサービスからユーザ情報などを各クラウドサービスへ同期・反映させる機能のことです。従来クラウドサービスごとに行っていたユーザ情報の追加・削除・変更作業を、源泉となるサービスのみ情報を変更すれば他のクラウドサービスにも変更情報を反映させることができます。これにより、情報変更作業を短縮できるだけでなく、不要なユーザ情報を漏れなく削除することができ、不正アクセスといったリスクを軽減することができます。

PIM(AzureAD Privileged Identity Management)

PIMとはAzureAD Privileged Identity Managementの略称で、重要なリソースへのアクセスを管理、制御、監視することができる機能です。たとえば、ある管理者権限などをユーザへ一時的に付与したい場合などに利用できます。永続的ではなく期限を設定できるので、権限の管理なども容易になりますし、不必要になった権限による不正アクセスのリスクを軽減することができます。

イベントログとレポート

AzureADはサインインログや権限付与のログなど利用状況や、それらのログをもとに検出された潜在的リスクのレポートを得ることができます。

監査ログ

監査ログはテナント内で実行されたタスクの履歴を記載したものになります。たとえば、ユーザやグループの変更情報や、どのアプリケーションが追加・削除されたのか等がすべてログとして保存されます。ログの保存期間については、Freeエディションは7日間、P1、P2ライセンスであれば30日間保存されます。

サインインログ

サインインログはユーザのサインインに関するログになります。ユーザのサインインにどのようなパターンがあるか、どれだけのユーザがサインインを実施したのか等がこのログを見ることで明らかになり、監査ログに残されたタスクを誰が実行したのかを知ることができます。ログの保存期間については、監査ログと同様にFreeエディションは7日間、P1、P2ライセンスであれば30日間保存されます。

Identity Protection

Identity Protectionは様々なリスクの検出、修復、調査などを行うことができるツールです。リスクの検出というのは、たとえばあるユーザがいつもと異なるIPでサインインをしてきた場合や匿名IPを使ってサインインを試みている場合など、通常とは異なるケースでのサインインに対して、一時的にブロックして多要素による認証を求めたりすることができます。

また、AzureADのアカウント情報が闇サイトに漏洩していると判断された資格情報に対しては、サインイン時にパスワードの変更を要求したりすることもできます。

現場担当者

「現場担当者」とまとめられた機能は、フロントラインで作業する担当者や外部のワーカーなどのユーザ・デバイス管理に関する機能群になります。
ユーザ管理の話であれば、従来はヘルプデスクや情報システム部門などのIT管理者が行うようなパスワードリセットや電話番号の登録といった機能を現場担当者に委任できます。
また、SMSサインインという機能もあり、これを使うことで現場のワーカーは自らの携帯番号を登録しておけばSMSを介して送信されたワンタイムパスワードを使用することで、ユーザIDやパスワードを使うことなくアプリケーションにシングルサインオンできます。
ほかにも共有デバイスを使っている現場向けの機能もあります。この機能を使うことで共有デバイスからサインアウトすれば簡単にすべてのアプリから安全にサインアウトすることができて、情報などのデータをクリアすることができ安全にデバイスを共有することができます。

AzureADで実現するスタイルズIDaaSサービスはこちら→

AzureADライセンスの違い

以上がAzureADの主な機能紹介になります。
また、AzureADにはライセンスがFree、Office365、AzureAD Premium P1(以降P1と称します)、AzureAD Premium P2(以降P2と称します)と4つあります。そして4つのライセンスによって使用できるサービス内容に違いがあります。前回・今回と2回に分けて紹介した主な機能でも、使用できる機能に一部差異があります。使用できる機能の違いについてはコラム冒頭にあるMicrosoftの機能一覧ページをご参照ください。

企業としてAzureADを使うにはどのライセンスがよいのか

ここからは各ライセンスの説明と、どういった方にそのライセンスを使ってのAzureAD導入が望ましいかを説明していきます。ここでは機能の中からシングルサインオン、多要素認証、認可・条件つきアクセスにしぼってライセンスを比較していきたいと思います。

AzureAD Free

AzureAD Freeは無料のライセンスエディションです。
シングルサインオン機能は使用できますが、ユーザごとに設定しなくてはなりません(グループごとの設定は不可)。
多要素認証は設定できますが、一部ユーザ・サービスのみ設定するといったことはできません。また、認証方式もMicrosoftの認証アプリであるMicrosoft Authenticatorのみになります。
条件つきアクセスは設定できません。
そのため、すべてのユーザ・サービスに対して多要素認証設定を行いたい、シングルサインオン設定はユーザごとに設定でもかまわないといった方はFreeでも機能実現できます。

Office365

Office365はOffice 365 E1、E3、E5、F1、F3 のサブスクリプションに含まれているライセンスになります。上記サブスクリプションに含まれる機能ですので料金は発生しません。基本的にはAzureAD Freeと機能は変わりませんが、異なる点としては「ユーザごとに多要素認証を設定できる」点と「多要素認証方式についてMicrosoft Authenticator以外の方式も使用できる(SMSによる認証など)」点が挙げられます。
ただ、AzureAD Freeと同様、AzureADと連携しているクラウドサービスにはすべて多要素認証が必要になり、条件つきアクセスも設定できません。ですので、Office365の機能が含まれているサブスクリプションを既にお使いで、AzureAD Freeとほぼ同等の機能のみでよいという方向けのライセンスエディションになります。

AzureAD Premium P1(P1)

P1は有料のライセンスになります(2022年4月現在1ユーザ税抜650円)。P1ライセンス単体のほか、Microsoft 365 Business Premium
やMicrosoft365 E3といったサブスクリプション内にもP1が含まれています。

P1はFreeやOffice365と異なり、条件つきアクセスが使えるので、クラウドサービスごとに多要素認証やアクセス制御を設定できます。
また、シングルサインオンの設定などもグループごとに設定することができるので、部署や役職での設定が容易に可能です。
コラム内では紹介していませんが、SLAの観点でもP1以上は99.99%以上 の可用性を保証しているため、企業で使用するケースとしてはP1以上のライセンスを使うことをおすすめします。

AzureAD Premium P2(P2)

P2はP1の機能からさらにセキュリティ面や利便性を強化した有料ライセンスになります(2022年4月現在1ユーザ税抜980円)。P2もライセンス単体での購入のほかに、Microsoft365 E5などのサブスクリプションにも機能が含まれています。

P1との大きな違いとしては本コラムでも紹介しましたが、Identity Protectionというツールを使える点です。これによりいつもと異なるIPでのサインインや匿名IPを使ってのサインインをブロックするといったリスクベースでのアクセス制御が可能になります。不審なサインインを自動検出して対処してくれるためセキュリティは強化されますが、ライセンス料はP1よりも高くなるため、コスト面とセキュリティ面を考慮してライセンスを選択する必要があります。

ゼロトラストサービス一覧