ActiveDirectoryとAzureADの違いって何？

本コラムではActiveDirectoryとAzureADの違いを説明していきます。日ごろから多くの企業で使われているActiveDirectoryですが、AzureADについても名前は知っているという方もいらっしゃると思います。ただ、AzureADが何であるのか、ActiveDiretoryとの違いが何かわからず、使いたくてもうまく使えない、または使うのをためらっているという方もいらっしゃるかもしれません。このコラムではそうした疑問を解消し、AzureADを活用できるきっかけにしていただければ幸いです。

AzureADで実現するスタイルズIDaaSサービスはこちら→

そもそもActiveDirectoryとは？

現在多くの企業で使用されているActiveDirectoryですが、主な機能としてはユーザやデバイスの管理や認証・認可機能になります。そのユーザがどの部署でどういった権限を持っているのかを管理したり、ファイルサーバへのアクセス権限を判断したりといった機能を持っています。
また、ActiveDirectoryは基本的にはオンプレミスでの使用を前提としているため、社内に接続されたサーバやシステムについてはアクセス権限の管理やシングルサインオンなどの機能が使えますが、社外のサーバやシステムについては対応していません。

AzureADでできる機能

社内向けのActiveDirectoryに対して、AzureADはどのような機能を持っているのでしょうか。AzureADは社外のクラウドサービスを利用するユーザやデバイスなどの管理機能や、シングルサインオン・多要素認証といった認証機能、条件つきアクセスによりクラウドサービスへのアクセス制御を行うといった認可機能、サービスへの認証や管理作業のログを取得する機能などがあります。ActiveDirectoryに比べると、AzureADは社外のクラウドサービスを利用する際に活用すると便利な機能を持っていると言えます。

ActiveDirectoryとAzureADの違いは？

上記で簡単に説明したActiveDirectoryとAzureADですが、主な違いはどういった点になるのでしょうか。ここからは両者の異なる点に焦点を当てて説明いたします。

管理する対象が異なる

まず大きく異なる点としては「管理対象が異なる」という点です。

【ActiveDirectory】

ActiveDirectoryは基本的に社内で使用することを前提としているため、社内ネットワークで利用するIDやデバイスなどを管理します。

【AzureAD】

AzureADはクラウドサービスなどインターネットを介して使用するIDを管理します。

デバイスの管理方法が異なる

次にあげられる相違点としては「デバイス管理方法の差異」です。

【ActiveDirectory】

オンプレミスのActiveDirectoryではグループポリシー（GPO）を使ってアプリケーションの機能制限やパスワードポリシーなど事前に設定したポリシーをデバイスに適用させることで端末を管理します。

【AzureAD】

AzureADにはグループポリシーのような管理方法はありません。その代わりにMicrosoft Intuneというアプリケーションを使ってデバイスのポリシー適用を行います。Microsoft Intuneにはモバイルデバイス管理（MDM）の機能も有しているので、モバイルデバイスのアプリ管理や紛失時のデータ消去といった機能もあります。Microsoft Intuneの認証基盤はAzureADであり、AzureADのエディションによってはMicrosoft Intune側にデバイスを自動登録できるので、管理も容易にすることが可能です。

認証方式が異なる

ActiveDirectoryとAzureADでは認証方式も異なります。

【ActiveDirectory】

ActiveDirectoryではKerberos認証とよばれる方式で認証を行います。

【AzureAD】

AzureADではSAML（Security Assertion Markup Language）やOpen ID Connectといった方式で認証を行います。

アクセス許可の単位が異なる

【ActiveDirectory】

ActiveDirectoryではユーザ・グループ単位でアクセス可否を判断します。 それ以外にもIPアドレスやホスト名でのアクセス制御も可能です。

【AzureAD】

AzureADはユーザ・グループ単位でのアクセス可否、IPサブネット単位やデバイス単位でのアクセス制御はActiveDirectoryと同様に可能です。それ以外にも独自のポリシーを定めることができ、たとえばふだんアクセスしてこないIPや国を検知してブロックしたり、パスワードスプレー攻撃と思われるアクセスをブロックするなどといった機能も備えています（サインインリスクポリシー）。また、闇サイトに漏洩されてしまった資格情報でサインインしてきた場合にも一時的にブロックする機能もあります（ユーザリスクポリシー）。

アクセスログの確認方法や監視機能が異なる

【ActiveDirectory】

ActiveDirectoryではイベントビューアを使用してログの確認などを行います。

【AzureAD】

AzureADではインターネット上にあるAzureADのポータルサイトからサインインログや監視ログの確認を行えます。 また、AzureADではIdentity ProtectionやCloud App Discoveryといった有償プランに含まれているサービスを使うことで、許可されていないクラウドサービスの検出や攻撃者からと思われる不正アクセスの検知・アクセスブロックなどの監視機能を実現することができます。

サービスを利用するためのコストが異なる

【ActiveDirectory】

ActiveDirectoryは基本的にオンプレミス環境で運用することが主だと思われますので、そのためにはサーバの調達やライセンスの購入、設置するデータセンターの費用やアンチウイルス対策の運用ソフトの導入などが必要になります。
また、先ほどActiveDirectoryは社外システムへのシングルサインオンについて対応していないと述べましたが、ActiveDirectoryでもActiveDirectoryフェデレーションサービス（以下ADFSと称します）というサービスを利用することで実現できます。しかし、このサービスを使うためにもADFS用のサーバを構築しなければなりません。

【AzureAD】

AzureADはクラウドサービスのため、新規にサーバ等を調達する必要はありません（AzureADConnectを使ってActiveDirectoryとAzureADを同期させる場合などは除きます）。コストとしても、有償プランを使用した場合にサブスクリプションのコストが従量課金制でかかりますが、オンプレサーバの場合は発生するハード障害やパッチ適用等の運用にかかるコストはかかりません。

AzureADで実現するスタイルズIDaaSサービスはこちら→

まとめ

以上、ActiveDirectoryとAzureADの機能とその違いについて述べてきましたが、両者がどう違うのか理解できましたでしょうか。AzureADについて、クラウド版ActiveDirectoryであると思われていた方もいらっしゃるかもしれませんが、今回のコラムでその違いについて少しでも理解できましたら幸いです。
また、コラムの途中でも名前が出てきましたが、AzureADConnectというツールを使ってActiveDirectoryのデータをAzureADへ同期することもできます。さらにはActiveDirectoryを残したまま、AzureADを活用するような並行利用も可能です。次回のコラムではActiveDirectoryを残したままAzureADを活用する方法について説明していきたいと思っています。