Microsoft Entra ID(旧Azure AD)とは?機能概要とActive Directory Domain Servicesとの違いを紹介
技術者が語るMicrosoft Azure
クラウド環境におけるセキュリティやアクセス管理は、多くの企業にとって重要な課題となっています。
Microsoft Azureにおいても、利用するには認証と認可を行う必要があり、適切な利用者だけが使用できる必要があります。
今回は、Microsoft AzureのID管理サービスであるMicrosoft Entra IDの概要について紹介します。
※Azure Active Directory(Azure AD)は2023年末までに随時Microsoft Entra IDに名称変更されます。
1.Microsoft Entra IDとActive Directory Domain Servicesの違い
Microsoft Entra IDと Active Directory Domain Services(以下AD DS)は、両方ともマイクロソフト社が提供する認証とアクセス管理のサービスですが、異なる用途と機能を持っています。
使用目的の範囲の違い
Microsoft Entra IDはクラウドサービス利用における認証やアカウント管理を目的とするクラウドベースのサービスであり、インストールや展開は不要です。
Microsoft Azure クラウド上にサービスが提供され、利用するためにはAzureサブスクリプションが必要です。
一方、AD DS は社内ネットワーク内の認証やアカウント管理を目的とするオンプレミスのディレクトリサービスで、Windows Server の一つの機能です。
使用されるプロトコルの違い
Microsoft Entra IDはインターネット環境で使用されるパブリッククラウドサービスであるため、「OpenID Connect」「WS-Federation」「SAML」などのさまざまなインターネット標準プロトコルで認証を行います。
AD DSは社内ネットワークで使用されるため、「Kerberos」というプロトコルで認証を行い、ファイルサーバーなどへのアクセスはLDAPを使用しています。
2.Microsoft Entra IDの主な機能
Microsoft Entra IDにはさまざまな機能があり、利用できる機能はエディションにより異なります。
ここでは主な機能について紹介します。
オブジェクトの管理
ユーザーやグループなどを管理する最も基本的な機能で、作成されたユーザーやグループは、認証や認可を行うために使用されます。
また、登録したデバイスとユーザーを紐づけることも可能です。
多要素認証(MFA)
セキュリティを高めるため、ユーザー名とパスワードだけではなく本人のみが使用可能なセキュリティ情報を追加して認証することができる機能で、具体的には、以下の形式が追加可能です。
・音声通話
・SMS
・Microsoft Authenticatorアプリ
・OATHハードウェアトークン
条件付きアクセス
設定したポリシー条件に一致するユーザーやデバイスだけにアクセスを許可できるアクセス制御機能で、選択した対象がどのような条件を満たしていたら許可または拒否するかを設定できます。
セルフサービスパスワードリセット
ユーザーがパスワードを忘れた時にユーザー自身でパスワードをリセットする機能で、管理者によるパスワードリセット対応が不要となります。
3. おわりに
今回はMicrosoft Entra ID(旧Azure AD)の概要について紹介しました。
Microsoft Entra IDを利用することにより、Microsoft 365、Azureサービス、Microsoftの他のクラウドベースのアプリケーションとの一貫性が保たれるため、クラウド環境における認識とアクセス管理が容易になります。
また、Microsoft Entra ID Connectを利用して、すでにオンプレミスで利用しているAD DSの認証情報を同期することにより、同じIDやパスワードでクラウドサービスの認証を行うことも可能です。
Microsoft Entra IDの利用は、Microsoft製品との一貫性、クラウド環境の認識管理の容易性、オンプレミスのAD DSとの連携による統一した認証など、さまざまなメリットがあり、セキュリティ面でも優れた機能が提供されているため、非常にメリットの多いサービスです。
Azureへの移行をご検討の際には、システムエグゼまでお気軽にご相談ください。
