Azure Active DirectoryとActive Directoryについて

【キーワード】
ディレクトリ：コンピュータ上のファイルを整理・分類され一覧できる保管場所、階層型のフォルダ
リソース：ビジネスための資源、資産。CPUやメモリの必要領域。例）ヒト、モノ、カネ、時間など
シングルサインオン：１回のログインによって様々なリソースにアクセスできるようになる仕組み
フェデレーション：外部クラウド・ウェブサービスでシングルサインオンが可能な関係性
ドメイン：リソース同士の関係性を表す領域、シングルサインオンできる範囲、ネット上の住所
ドメインコントローラー：ネットワーク上の範囲（ドメイン）内でユーザーのアクセス権限を一元的に管理、利用者認証を行うサーバコンピュータ
プロトコル：コンピューター同士の通信の手順・規格

Active Directoryについて

マイクロソフト社から2000年にリリースされた、Windowsの機能・ユーザー情報を管理するためにWindows Serverに設けられたオンプレミスのディレクトリサービスです。これによって、パソコンに関する情報・状態の一括管理が可能となります。

Active Directoryが提供するサービス

ドメインサービス

情報の一元管理機能

・人事システム、アクセス権限管理
Active Directoryに人事情報を登録することで、役職や部署名などより細かなアクセス制限を行う機能

・認証機能
通常のユーザー名・パスワードによるサインインの他にも様々な認証方法が用意されています。２段階認証（秘密の質問、電話番号、ワンタイムパスワードなど）、生体認証（顔、指紋など）、スマートカード（認証用ICチップが埋め込まれたカード）など

・アカウント、IDとパスワードの管理
複数サーバーのユーザー情報を一元的に管理可能にすることによって、管理しなければならないIDとパスワードを減らしセキュリティ対策につなげることができる。

・フォルダ管理

・「信頼関係」機能
複数のActive Directoryをひとつに結びつけ両方のドメインにシングルサインオンできる機能

ライトウェイトディレクトリサービス

ディレクトリデータベース機能

証明書サービス

証明書の作成と管理を行う証明機関サービス

フェデレーションサービス

クラウドサービスを連携し組織間のシングルサインオンを可能にする機能

Right Managementサービス

特定ファイルの暗号化・アクセス制御・権限管理など不正使用から情報を守るための機能

Azure Active Directoryについて

マイクロソフト社の提供するクラウドベースでID管理と認証のためのユニバーサルプラットフォーム、Active Directoryのクラウド版

・認証機能
通常のユーザー名・パスワードによりサインインの他にも複数の認証方法が用意されています。（２段階認証、生体認証、スマートカード、デバイス情報による認証など）メリット：セキュリティ強化

・シングルサインオン（SSO）
Azure Active Directoryのアカウントとアプリケーションのアカウント情報の紐付けを行うことによって１度の認証で両方にアクセス可能となる機能、メリット：認証、パスワード管理の簡略化

・様々なクラウドサービスのアカウント管理
Active Directoryにクラウドサービスをを登録することで、まとめてサービスのアカウントを管理することができる。管理できるサービスはマイクロソフトが提供するサービスの他にもGoogle、AWS、Workplace、など様々なサービスに対応しています。登録したサービスはいつでもどこからでもシングルサインオンでアクセスが可能になります。

・ID保護機能
機械学習により怪しいサインインを検出・ブロックする

・ユーザー管理
ユーザーごとにグループ単位での管理やアクセス可能なサービス・アプリケーションの制限、認証情報の管理を行う機能

・アプリケーション管理
Azure Active Directoryに登録されたユーザー/グループ/職種等によりアプリケーションの利用権限を設定する機能、利用権限のあるアプリケーションのみがAzure Active Directoryの「Myappsポータル」に表示され使用することができる

・オンプレミスActive Directoryとの連携機能
オンプレミス環境のActive Directoryに「Azure AD Connect」を構築することで、Azure Active Directoryへデータを同期できる機能。同期を行うことで両方を管理する必要がなくなり、ひとつのユーザー名・パスワードでオンプレミスActive DirectoryとAzure Active Directoryにサインインすることが可能になります。

・各種デバイスに対応
Windows、MacOS、iOS、Androidなど

・Azure Active Directoryにおける「信頼関係」機能
「Azure AD B2B」Azure Active Directoryの場合複数のActive Directory全体を結びつけるのではなく、外部ユーザーと自社ドメインからアクセス可能なアプリケーションを関連付けます。

オンプレミスActive DirectoryとAzure Active Directoryの違い

・利用目的の違い
そもそもActive DirectoryとAzure Active Directoryでは利用目的の違いがあることが第一に挙げられます。Active Directoryはオンプレミス環境のサーバーに対する認証の基盤として組織単位で社内ネットワークで利用されるのに対し、Azure Active Directoryはクラウドサービスに対するアカウント認証の基盤であり、クラウドのサービスを利用することが目的で利用されます。

・認証プロトコルの違い
Active Directoryでは、kerberosプロトコルを利用した認証を行っており、ファイルサーバーなどのディレクトリ へのアクセスはLDAPを使用しますが、Azure Active Directoryでは複数のクラウド用プロトコル認証に対応（SAML、WS-Federation、OpenID Connect、OAuth）しており、プロトコルに対応するサービスであればシングルサインオンが利用可能です。ディレクトリへのアクセスはRESTベースのAPIを使用します。また、Azure Active Directoryのデータセンターにパスワードをキャッシュすることでセキュリティ面でも高い安全性を得ることが可能です。

・アクセス許可の違い
Active Directoryではユーザー・グループ単位でアクセス許可を行いますが、Azure Active Directoryではユーザー・グループ単位に加えて、IPサブネット単位、デバイス単位など様々な単位で管理が可能です。

・デバイス管理方法の違い
Active Directoryではポリシー機能により会社のルールに沿ったポリシーを適用しまとめてデバイスを管理します。Azure Active Directoryの場合、Azure Active DirectoryとIntuneを併用して登録したデバイス管理を行います。

・機能追加の違い（アプリケーション管理）
Active Directoryでは、新たに機能追加・拡張を行う場合そのサービスが動作するサーバの構築が必要になるため費用・時間がかかりますが、Azure Active Directoryで新たに機能追加・拡張を行う場合、クラウド上に存在するサービスを有効化するだけで安易に追加可能なため、オンプレ環境に比べて費用・時間の削減となります。

・費用の違い
費用についてはそもそもオンプレミス環境とクラウド環境という大きな違いがあるため、Active Directoryではサーバーの購入やデータセンターの運用など初期費用がかかります。しかしAzure Active Directoryの場合、クラウド環境のため費用は従量課金制となっており時間・コスト削減にもつながります。機能追加・利用料金の変更なども定期的に更新される点も大きく違います。