Azure Active Directoryと
セキュリティグループによる一括管理
Active Directory(アクティブディレクトリ)は、Windows Serverで複数のパソコンを一元管理するための仕組みとして2000年から搭載された機能です。クラウドサービスのAzure提供後は、統合的にIDを管理する仕組みとしてAzure Active Directory(以下、Azure AD)が利用されています。
Azure ADは、シングルサインオンや多要素認証を可能にします。クラウドの活用が拡大した現在、Azure Active Directoryの仕組みを知っておくことは重要です。今回は、Active Directory とは何かという基本知識から、Azure Active Directoryとの違い、そしてセキュリティグループのポイントを解説します。
目次
そもそもActive Directoryとは?
Microsoft 365、そしてWord、Excel、PowerPointなどのアプリケーションは、部門を問わずに議事録や提案書を作成するために欠かせないツールです。Microsoft 365 EnterpriseのサブスクリプションにはAzure ADが含まれ、ユーザー管理に使われています。
Microsoftによる認証などの管理機能は、Windows ServerのActive Directoryから、クラウドそしてオンプレミスまで包括的に扱うAzure ADに進化を遂げてきました。まず、Active Directoryとは何かを解説します。
ディレクトリ(Directory)は、一般的な英語では「住所録」を示します。IT用語としては、サーバーに保存されたファイルやデータが存在する場所です。その場所には、さまざまなファイルを置くことができ、ひとつの階層の下にさらに深い場所を作ることができます。
Windows Server標準機能のActive Directoryは、「ドメイン」によってユーザーが利用する場所を制限します。さらに、「ドメインコントローラー」というサーバー上のソフトウェアを使って認証や管理が可能になります。IDやパスワードを発行し、特定の情報などにアクセスの許可を行います。
USBメモリの利用やプリンタなどの周辺機器も、Active Directoryで管理できます。Active Directoryに関連したサーバーから操作のログ(記録)を収集し、どのマシンがいつログオンしたかというような利用状況の一部の記録も可能です。
Active Directoryには、ウィルス対策ソフトなどのアップデートを定められたグループで一括して実行し、許可されていないソフトウェアのインストールを禁止する機能もあります。セキュリティ強化はもちろん、効率的な管理に必要な機能といえるでしょう。
【認証管理完全ガイド2023】ハイブリッドワーク下でのSaaS利用における、ID一元管理の課題を徹底解説
Active DirectoryとAzure ADの違い
Active Directoryが社内に設置されたWindows Serverベースの管理専用であることに対して、Azure ADはクラウドベースの包括的な管理機能を提供します。Active DirectoryのAzure版がAzure ADといえますが、利用場面や提供する認証方法が異なります。
Azure ADのようなクラウドベースのID管理は「IDaaS」と呼ばれています。クラウドの利用拡大によって、社内のWindows ServerやプライベートクラウドとAzureの両方を利用するハイブリッドクラウドの環境を構築する企業が増加しました。Azure ADによる包括的な管理によって、認証や権限の設定がスムーズになります。
Azure ADのメリットを挙げると、Windows ServerのActive Directoryはサードパーティーのソリューションを用いなければ、モバイルデバイスを管理できません。しかし、Azure ADでは、Microsoft Intuneを使うことによって、モバイルデバイスの管理が可能になります。
また、SaaSのアプリケーションの利用に関しても、Active Directoryでは認証連携(フェデレーション)のシステムが必要です。Azure ADでは、利用するSaaSがOAuth2、SAML、WS-*をサポートしている場合、認証を統合できます。
ラインオブビジネス(LOB)というあらゆる経営を管理する考え方をベースに、最新の基幹業務アプリケーションが登場しています。このような環境を構築するときにも、フェデレーションを使わずにAzure ADで認証を統合することが可能です。
さらにAzure ADは、多要素認証によってセキュリティを強化します。多要素認証は、ユーザーがサインインするときに、通常のユーザーIDやパスワードの認証に加えて、スマートフォンにSMSを送信したり、アプリを併用したりすることで、セキュリティを強化する方法です。現在のSaaSではデファクトの認証方法といえるでしょう。
セキュリティグループを作るときのポイント
Azure ADでは、セキュリティポリシーを定めてグループ管理ができます。Azure ADの概要を解説する前に、なぜセキュリティグループを作らなければならないか、簡単に理由とセキュリティグループを作るときのポイントを整理します。
なぜセキュリティグループを作るのか
企業や組織では、部門や役職などによってアクセスできるファイルやデータなどを制限し、閲覧、削除、コピーなどの禁止を行う必要があります。内部不正を防ぐとともに、誤ってファイルを削除するような人的ミスの対策にも効果的です。
テレワークの普及によって、オフィス以外でもモバイル端末やパソコンを使用する勤務形態が多様化した現在、端末の紛失や盗難を防ぐためのデバイス管理がより重要になっています。ユーザーをグループ化して、同一の部署や役割でユーザーとデバイスを紐付けて管理することにより、管理負荷の軽減とセキュリティ対策の漏れをなくします。
指紋などを使った生体認証、多要素認証を組み合わせると、さらにセキュリティを強化できます。
セキュリティグループはどのように作るか
セキュリティグループを作成してアクセス管理を行うとき、まず必要なことは組織と管理項目全体の把握です。
全体設計なしにグループ化を行うと、運用に支障をきたす可能性が高まります。次のように組織、役職、役割などのグループ化する要素を多角的に検討し、図面で可視化して確認するとよいでしょう。
第一に、組織の全体像の把握です。多くの企業ではツリー状の階層で組織体制を可視化していますが、全体を把握するようにしておきます。
第二に、役職を把握します。部門によって役職の階層が異なる場合には、階層の粒度を揃える必要があります。経営陣だけがアクセスするデータやファイルがある場合には、クラウド上の保存場所も含めてリストアップします。
第三として、組織図や役職の階層や構造では処理できないグループが存在する場合があります。たとえば全社を横断したプロジェクトが該当しますが、例外の有無、将来的に発生する可能性を検討します。
このようにグループ化の要素を洗い出した後、具体的には、個別のユーザーレベルから階層を積み上げていく方法がベストです。というのは大きなカテゴリーからグループを作ろうとすると、階層下のユーザーに、漏れ、重複、該当なしなどの生じる可能性があるからです。
Azure ADセキュリティグループとは
続いて、Azure ADの基本的なグループの概要を解説します。
Azure ADで作成できる基本グループには、大きく分けて「セキュリティ」と「Microsoft 365」があります。このうち、セキュリティに関するグループを取り上げます。
セキュリティグループを設定すると、グループのメンバーが利用するクラウドとオンプレミスのアプリケーションのアクセスを一括管理できます。ただし、オンプレミスのActive Directoryによって同期されたグループは、Active Directoryの管理に制限されます。ExchangeやMicrosoft 365のみ管理可能なグループもあります。
グループ管理の難点は変更が生じたときですが、Azure ADのセキュリティグループでは、動的グループを作成できます。
動的グループを利用すると、ユーザーのデバイスやプロパティに変更が加えられたとき、組織内すべてのルールに変更が反映されます。動的グループにおけるルールは、Azure portalに備えられているルールビルダーによって作成や更新が可能です。
Azure ADのユーザーとグループの作成は、Microsoft 365 管理センターやAzure Active Directory管理センターのGUIによって作成できます。また、PowerShellも利用できるため、PowerShellのコマンドに慣れている管理者は効率的にグループ化が行えます。
まとめ
ここまででご紹介した通り、Azure Active Directoryはグループを用いた多様なアクセス制御が可能なためセキュリティ強化に大きく寄与します。
一方でこれらのセキュリティ機能の多くは有償提供となり、必要な機能とコストのバランスを考慮しながら検討する必要があります。
機能とコストのバランスという点ではHENNGE Oneのようなサードパーティー製ソリューションも選択肢となります。HENNGE OneはAzure Active Directoryと同じくIPアドレス制御などの多要素認証が可能なほか、パスワードレス認証にも対応しています。また、Azure Active Directoryにはないメール誤送信対策機能まで含んで月額500円〜提供されておりコストパフォーマンスに優れています。クラウドサービスのセキュリティ対策に検討してみてはいかがでしょうか。
