Azure ADの読み方と基本的な概要
はじめに
Microsoft社が提供しているクラウドサービスの一つである「Azure」。またそのAzure内で利用できる機能の一つに「Azure AD」というものがあります。
今回はそれらの読み方という基本的なことからどういった機能を持ち、利用できるのかを簡単にご紹介致します。
Azure ADとは
非常に基本的なことですが、Azureの読み方として「アジュール」となります。そのAzure上でクラウドベースの「認証」と「認可」の機能を提供しているサービスを「Azure AD」正式には(Azure Active Directory)という読み方になります。
「認証」と「認可」とはどういう事なのか。今までの企業内システムでは一般的に社内に構築されたサーバーに存在する全ての企業情報が管理されており、会社へ出社し社内のPCからそれらのデータベースにアクセスを行い、業務を行っていました。そこへ必要不可欠なシステムが[AD(Active Directory)]です。
ADを使用することによって社内の様々なサーバーへのアクセスを、社員一人ひとりにアクセス権を付与したり管理せずとも一括で管理を行うことが出来ます。これによって許可されたユーザーはサーバーごとにログインをし直す必要はなく、一度ログインしてしまえばドメインに参加している全ての対象サーバーへアクセスが可能となり、[SSO(Single Signe On):シングルサインオン]が可能となりました。
しかし、様々なクラウドサービスの普及によって従来のオンプレミス(自社運用)だけではなく、AzureやAWSなどのクラウドサービスを利用する環境も増えたことによりオンプレミス環境とクラウド環境が混同してしまうことになります。それらが混同することで従来のシングルサインオンの実装が困難になりました。そこで開発されたのが両者のシングルサインオンを実現する「Azure AD」(Azure Active Directory)になります。
Azure ADを利用する利点
従来のADの利用だけではなく、クラウドサービス上でもシングルサインオンを利用する目的と利点についてご説明いたします。
①パスワード管理が簡単に行える
AzureのみならずAWS(Amazon Web Services )などのクラウドサービスは業務内容や用途によって複数で使い分けをするケースが増えてきています。
その際に重要視されるのが複雑なパスワードを異なるクラウドサービスごとに設定する点です。全て共通の同一パスワードを設定した場合、なんらかの理由によりパスワードが流出した時点で流出したサービス以外のサービスへも容易にアクセスすることは出来てしまい、セキュリティレベルが低下してしまいます。
そのため、ユーザーは常に異なるパスワードで各クラウドサービスを管理する必要があります。しかし異なるクラウドサービスへログインする度に認証作業を行う必要があり、非常に大きな手間が生じます。そこに「シングルサインオン」機能が実装されていればどうでしょうか。一度のログイン作業だけで複数のシステムが利用可能となるため、これほど効率的なものはありません。
クラウドサービスのセキュリティレベル向上
先程も述べましたが複数のクラウドサービスを利用し、そのサービスの種類が増えるに応じてセキュリティリスクが増大します。悪意のある攻撃者は日々セキュリティの穴を探り、こちらの情報を盗む機会を窺っています。
そういった点でもシングルサインオンが活用されています。1つのパスワードでサービス全体にアクセスが可能となれば、定期的なパスワードの変更も一度で済むうえに複雑で長いパスワードを設定する必要がある場合でも、利用している各サービスごとに管理する事とたった一つの管理する事とでは天と地の差があります。
Azure ADの具体的な機能
ではさらに内容を掘り下げてAzure ADにはどのような機能が備わっているかを簡単にご紹介致します。
①ユーザー・グループ管理
基本的な機能で、ユーザーやグループを管理するためにAzure ADで認証や認可を制御するためのベース機能になります。
②アプリケーション管理
Azure ADで認証されたユーザーに対して特定のソフトウェアやアプリケーションへのアクセスを制御・管理するための機能になります。しかし全てのアプリケーションが対象となるわけではなく、Azure ADが対象とするものだけになります。しかしその対象も数千種類に登りますのであまりに特殊な例を除いて対象外はありません。
さらにMicrosoft Azure内のサービスに作成したWebサイトやオンプレミス環境で公開しているWebサイトへのアクセスに対してもAzure ADを介して行うことが出来ます。
③デバイス管理
ユーザーが使用しているデバイス機器を登録し、許可した機器からのアクセスのみ許可を行うという機能になります。この機能を活用することで管理者やユーザーが意図していない機器からのアクセスを遮断し、セキュリティ強化を図ることが出来ます。
アクセスログ
Azure AD経由で行った認証やユーザーが利用しているサービスへのアクセスログを記録する機能があります。これによってWebを通していつでもアクセスログを確認することが出来るため、不正なログに対して迅速に確認することが出来ます。
多要素認証
パスワードリスト攻撃などの不正アクセスに対して、電話認証やSMS、ワンタイムパスワード等の二段階認証方法を矯正することで防御する機能になります。
最後に
よく目にする「Azure」。私も読み方を「アズール、アズール」と読んでおり、ふと「アジュールだよ」と指摘される機会がありまして非常に恥ずかしい思いをしました。私のような失敗をしないためにも非常に基本的な読み方から、Azure ADとは何かという概要までをこの記事で確認してくだされば幸いです。ここまで読んでくださってありがとうございました。
