ADとAzureADについて
本記事を閲覧いただきありがとうございます。
今回は自身の解釈を交えてAzure ADの概要と機能性、また用語の説明をみていきます。
ADとAzure ADについて
AD(Active Directory)とは複数のパソコンのユーザ情報等を一元管理できることを指します。
Azure ADはマイクロソフト社が提供するクラウドベースのID/アクセス管理サービスであり次のリソースへのサインインとアクセスを支援します。
次のリソースとなるものは以下のものが挙げられます。
ADとAzure ADの違い
ADとAzure ADは言葉自体は同じように見えます。実は内部的な動作は異なり、接続経路と認証プロトコルの2つが別物になります。通常、ADは社内ネットワークからADを経由してAPサーバーからログインにしますが、Azure ADではインターネットからAzure ADを経由してMicrosoft 365からログインする形式となっています。
簡単にまとめると・・・
AD:オンプレミスで社内ネットワークだけで完結させたい人向け
Azure AD:クラウドで仕事形態の幅を重視する人向け
といった感じになります。
Azure ADの使用者となるケース
IT管理者
自社のアプリやリソースに対して多要素認証のアクセス制御が可能となる。既存のWindows Server ADやクラウドアプリ(Office 365)に対してユーザープロビジョニング(AD上のユーザー追加、変更、削除を検出し自動反映すること)を自動化することができる。
アプリ開発者
Azure ADを経由することでシングルサインオン(1つのID・パスワードで複数サービスへのログイン)を利用できる。
サブスクライバーからの利用
Azureをサブスクライブしている方であればAzure ADを利用可能です。
機能面の例
アプリケーション管理
アプリケーションプロキシ、シングルサインオン(※1つのIDとパスワードで様々なサービスにサインインすることができる機能)、マイアプリポータル(アクセスパネル)、サービスとしてソフトウェア( SaaS )アプリを使用して、クラウドおよびオンプレミスのアプリを管理します。
認証の管理
デバイス、アプリケーション、サービスへサインインする際の資格情報への認証を設定・管理します。
例:セルフサービス パスワード リセット、Azure Multi-Factor Authentication、パスワード(変更・保護ポリシーなど)をオンプレミス環境との連携、パスワードの認証
マイクロソフトIDプラットフォーム(開発者向け)
マイクロソフトIDやソーシャルアカウントを利用してサインインできるアプリケーションを構築します。
以下のユーザーでも利用することが可能です。
企業間(B2B)
External Identitiesと呼ばれる機能によって、顧客やパートナーのゲストユーザーをセキュリティで保護して管理します。また、ゲストユーザーに対して多要素認証を適用することも可能です。追加機能として、組織外のユーザーへの接続許可機能も提供されています。
企業|消費者(B2C)
消費者である顧客は、ソーシャル、エンタープライズなどのアカウントIDを使用してアプリケーションやAPIにシングルサインオンが可能になります。
ハイブリッドID
オンプレミス・クラウド環境下にある全てのリソースに対して有効できる共通ユーザーIDです。
また、前述してあるアプリケーション管理のシングルサインオンを活用して、自動的なサインインが可能となっています。
エンタープライズユーザ
グループと管理者に対して、ライセンスの割り当てやアプリアクセスの権限を設定できます。また、管理の委任も行えます。
ドメインサービス
ドメインコントローラー(ネットワーク上の利用者を範囲ごとで管理する側のこと)を使用せずにAzure仮想マシンを参加させることができます。
ここに記載した機能はまだ一部になります。大体の概要として抑えておいて問題ありません。
まとめ
近年、テレワークの活発化にあたり、地盤環境を変えるためオンプレミスからクラウドへ移行する方も増えているそうです。そのため、ADからAzure ADへ移行するのですが、大抵の場合はシステム面の大きな違いから容易であるとは言えません。そこでハイブリッドAzure ADという手があります。決められたものをAzure ADを使って管理することになるので、ハイブリッドAzure ADを成し得るには各部署との緻密な連携が必須といえるでしょう。状況が複雑化しますが完成後は状況に応じた動き方が出来るため、初動さえ乗り切れば働きやすい環境が生まれるのではないでしょうか。