COLUMN誰でもわかる!お役立ちコラム

ゼロトラスト支援コラム

AzureADの機能解説(シングルサインオン、多要素認証、認証認可など)

本コラムではMicrosoft社が提供しているID管理サービスであるMicrosoft Azure Active Directory(以降AzureADと称します)の主な機能について紹介していきます。

MicrosoftのHPには2022年2月現在、ライセンスごとに以下のようなAzureADの機能一覧ページを公開しています。
https://www.microsoft.com/ja-jp/security/business/identity-access-management/azure-ad-pricing

ただ、これだけだと各機能の内容が細かく記載されておらず、どんなことが実現できるのか不明瞭なところが多いように思われます。そこで、本コラムでは各機能のうち主要と思われるものをピックアップして紹介していきたいと思います。
このコラムを読むことで、AzureADはどういった機能を備えているのかを理解し、自社に置き換えた場合、AzureADを使うとどのようなソリューションができるか、そのためにはどのライセンスが必要になるのか、などが明確になれば幸いです。

AzureADの主な機能

AzureADの主な機能として、Microsoftはホームページ上で以下のものを挙げています(情報は2022年2月時点のものです)。
[table id=10 /]
参照:https://www.microsoft.com/ja-jp/security/business/identity-access-management/azure-ad-pricing

上記の項目について、主たる機能と思われるものを選んで紹介していこうと思います。今回のコラムでは「認証・シングルサインオン、多要素認証(MFA)」から「認可と条件つきアクセス」までを説明します。

AzureADで実現するスタイルズIDaaSサービスはこちら→

認証・シングルサインオン、多要素認証(MFA)

この機能は主に社外のクラウドサービスへサインインする際の認証に関する機能となります。

シングルサインオン

社外のクラウドサービスなどに対して、SAML認証でのシングルサインオンが可能となります(シングルサインオンの機能概要については別コラム参照)。この機能によりユーザはAzureADへ一度サインインすれば、他のクラウドサービスについてはサインインすることなく利用することができます。現在AzureADではクラウドサービスへのアクセス権が割り当てられているユーザであれば、数量制限なく無制限でシングルサインオンアクセスすることができます。

認証

ここでいう認証というのは、オンプレミスのActive DirectoryからAzureADへの認証方式になります。AzureADはAzure Active Directory Connect(以降AADCと称します)というツールを使うことで、Active DirectoryのディレクトリをAzureADに同期することができます。同期されたことにより、ユーザはActive Directoryのアカウント情報でAzureADにもシングルサインオンできるのですが、このサインインする際の認証方式が大きく分けて3つあります。

  • パスワードハッシュ認証
  • パススルー認証
  • ADFSフェデレーション

パスワードハッシュ認証というのは、オンプレミスであるActive Directoryのドメインユーザのパスワード情報をハッシュ化して、2分間隔でAzureADへ同期することでActive Directoryのアカウント情報でAzureADにもサインインできる認証方式のことです。現在AADCではこの認証方式が既定となっています。

パススルー認証は、パスワードハッシュ認証とは異なり、パスワード情報の同期はしません。認証の要求がユーザから送られてくるたびにパススルー認証エージェントがActiveDirectoryへ認証情報を確認する認証方式になります。
ADFSフェデレーションは上の2つとは異なり、ActiveDirectoryフェデレーションサービス(以降ADFSと称します)というサービスを使用した認証方式になります。以前は認証方式の異なるActiveDirectoryとAzureADを取り持つサービスとしてADFSを使用することも多かったようですが、現在はコストやメンテナンス面を考えると上の2つよりも非効率なため、あまり推奨はされていません。

多要素認証

多要素認証とは、クラウドサービスにサインインする際の認証方式を多要素にすることができる機能になります(多要素認証の機能概要については別コラム参照)。AzureADではモバイルデバイスを用いたSMSでの確認コードによる認証やMicrosoft社の認証アプリであるMicrosoft Authenticatorによる認証のほかに、ハードウェア・ソフトウェアのトークンによる認証なども設定できます。

パスワードレス

パスワードレスとは読んで字のごとく、パスワードを使わない認証方式になります。AzureADでは現在以下3つのパスワードレス認証を使うことができます。

  • Windows Hello for Business
  • Microsoft Authenticator
  • FIDO2セキュリティキー

Windows Hello for Business

Windows HelloはWindows10デバイスがサポートしている生体認証やPINコードを使用した認証になります。虹彩認証や指紋認証などの生体認証や、デバイスにPINコードを設定することで、AzureADにサインインする際にパスワードを使わずに設定した生体認証やPINコード情報を入力する形になります。

Microsoft Authenticator

Microsoft AuthenticatorはMicrosoftの認証アプリでこのアプリをパスワードレス認証に使用することができます。その認証方法は次の通りです。
まず、AzureADにサインインするアカウント情報を入力します。すると、Microsoft Authenticatorで認証を承認するよう求められ、画面上に数字が表示されます。数字が表示された後にMicrosoft Authenticatorのアプリを開くとアプリの画面に3つの数字が表示されるので、先ほど表示された数字と同じものをタップするとサイン要求が返され、問題なければそのままパスワードを入力することなくサインインが完了となります。

FIDO2セキュリティキー

FIDO(ファイド)2セキュリティキーはFIDOアライアンスが策定した生体認証規格であるFIDO2を搭載したセキュリティキーでの認証方式になります。

AzureADで実現するスタイルズIDaaSサービスはこちら→

アプリケーションアクセス

アプリケーションアクセスはクラウドサービスのアクセスに関する機能のことです。

SaaSアプリと先進認証

AzureADでは事前統合されたSaaSアプリをAzureADアプリケーションギャラリーと称しています。これらのアプリケーションはシングルサインオンやプロビジョニングのチュートリアルをMicrosoft側で用意しており、提示された手順に沿って設定するだけで容易にシングルサインオンやプロビジョニングを設定できます。
参照:https://www.microsoft.com/ja-jp/security/business/identity-access-management/integrated-apps-azure-ad

クラウドアプリ検出(Microsoft Defender for Cloud Apps)

クラウドアプリ検出というのは、各事業部門側が個別に契約し使っているクラウドサービス(いわゆるシャドーIT)などを検出する機能のことで、Microsoft Defender for Cloud Apps(旧称Microsoft Cloud App Security)というサービスを使って検出をします。Microsoft Defender for Cloud Appsはクラウドサービスの制御などを行う、いわゆるCASBとよばれるサービスになります。

認可と条件つきアクセス

認可・条件つきアクセスは、クラウドサービスにアクセス可能な利用者・デバイスなどに制限をかけて、管理者の許可した権限において利用を許可する機能です。

ロールベースのアクセス制御

ロールベースのアクセス制御とは、Azureのリソースやユーザ・アプリケーションの管理のために割り当てられたロールごとにアクセス制御をかけることができる機能です。AzureADについてはAzureADロールとよばれるロールがあります。たとえば、「ユーザー管理者」というロールを割り当てられたユーザは、ユーザとグループに関して管理できる権限を持つことができます。

このロールという機能は必要な権限を役割ごとにひとまとめにしたもので、ユーザごとに権限を一つずつ付与する手間を省くことができます。こうしたロールによるアクセス制御をRBAC(Role-Based Access Control)とよびます。

条件つきアクセス

条件つきアクセスは、ユーザがクラウドサービスなどにアクセスする際、許可するデバイスや場所、プラットフォームなどを設定することができる機能です。問題なく認証されたユーザについても、管理者が許可したデバイス・場所などの条件をクリアしない限りアクセスを制限することができます。

また、条件つきアクセスでは認可された後のサービスの利用についても監視することができます。たとえば特定のクラウドサービスについて、情報資産の持ち出しを防ぐため、データのダウンロードをブロックするといった機能も備えています(この機能は前述したMicrosoftのCASBであるMicrosoft Defender for Cloud Appsとの連携機能になります)。

ゼロトラストサービス一覧