クラウド特捜部

Azure ADがクラウドのID管理を変える?

 先日、日本マイクロソフトから、サブスクリプションモデルのOffice 365において、Office 2016が9月23日以降にダウンロード可能になると発表があった。多くの企業がサブスクリプションモデルのOffice 365をすぐに採用するとは思えないが、普及していく大きなきっかけにはなるだろう。

 ただ企業においてOffice 365を導入する場合、大きな問題になるのが、社内のActive Directory(AD)のID管理と、Office 365のID管理が別々で存在することだろう。IT管理者としては作業が面倒になるし、その分コストがかかることになる。

 そこでMicrosoftからは、社内のADとOffice 365のID管理を連携させるAzure Active Directory(以下、Azure AD)が提供されている。これを利用すれば、社内のAD情報を簡単にOffice 365に反映させることができる。

 今回は、このAzure ADを紹介しよう。

Azure ADとはどんなサービス?

 今一つ実体が分かりにくいと感じるAzure ADだが、大ざっぱに言ってしまえば、オンプレミスのADをクラウド対応にするために用意されているサービスだ。Office 365だけのために作られたサービスではなく、クラウドとオンプレミスのハイブリッド環境におけるID管理を行うために、ADの機能を拡張している。

 サービス名から、オンプレミスのADをクラウドのAzure ADに置き換えてしまうものだと勘違いされやすいが、Azure ADはあくまで、オンプレミスのADを補完するものであり、今後も、オンプレミスのADは存在し続けるだろう。

Azure ADは、オンプレミスADと他社のサービスをシングルサインオンで利用できるようにする。これ以外にも、ADをクラウドに拡張するためのさまざまな機能を持っている
Azure ADは、Office365をSSOで利用するだけでなく、BoxやDropbox、Google Apps、Salesforceなど、他社のクラウドサービスにアクセスするためのIDをブリッジする

 またAzure ADでは、Office 365、Intune、Dynamics CRM OnlineといったMicrosoftのクラウドサービスだけでなく、業界標準のOAuthやOpenIDをサポートすることで、他社のクラウドサービス、例えばSalesforce、Google Apps、Box、Concur、Dropbox for Businessなどに対応している。日々サポートしているクラウドサービスは増えており、現在1000以上のサービスが連携しているという。

Azure ADでは、他社のクラウドサービスにSSOでアクセスできるようになる。代表的なクラウドサービスはほとんど網羅している
ユーザーがポータルにアクセスすると、利用できるクラウドサービスがパネルとして表示されている

 Azure ADを利用すれば、ADで認証されているユーザーは、他社のクラウドサービスを利用する場合に、いちいちIDやパスワードを入力しなくてもログインが可能になる。それぞれのクラウドサービスのIDやパスワードを、個々のユーザーが入力(管理)しなくてもいいのだ。

 IT管理者にとっても、複数のクラウドサービスのIDやパスワードを管理する必要がなくなる。例えば、あるユーザーが部署を変わり、Salesforceを利用する必要がなくなったなら、AD側でアクセス不能にすればOKだ。あるユーザーが会社を辞めた場合でも、ADからIDを削除すると、連動しているクラウドサービスにもアクセスできなくなる。

 なおAzure ADは、無償版(Free)、Basic、Premium、Office 365向けの4つのエディションが用意されている(Office 365向けには、Office 365ユーザーが使いやすいように、Premiumなどで用意されているいくつかの機能が入っている)。

Azure ADのエディション別機能表。これ以外に、Office 365向けが提供される

 Azure ADが分かりにくいのは、先ほど説明したクラウドサービスのシングルサインオン(SSO)機能だけでなく、Basic、Premiumとエディションのレベルが上がる都度に、さまざまな機能が入ってくることだろう。もちろん、Free、Basic、Premiumでサポートされるユーザー数の違いもある。

 例えば、Basicエディションでは、グループベースでのアクセス管理とプロビジョニング、クラウドユーザーが自分でパスワードをリセットする機能などが用意されている。

 Premiumエディションでは、多要素認証であるAzure Multi-Factor Authenticationに対応し、IDやパスワード以外の手段を取り入れ、認証レベルを向上させることが可能だ。

 このほかAzure ADでは、モバイルユーザーがクラウドからアクセスすることが前提になっているため、誰が、どういったデバイスでアクセスしているのかなど、詳細なレポートを見ることができる。

Windows 10との連携

 最新のクライアントOSであるWindows 10では、IDとパスワードといった認証方法だけでなく、Windows Helloという生体認証(指紋認証、顔認証、虹彩認証など)が使用できる。

 また、Microsoft Passportを使用することで、パスワード情報を直接、認証サーバーに送信するのではなく、デバイスのTPMに入っている秘密鍵にアクセスして、その秘密鍵でサインしたリクエストをAzure ADに送信する。これにより、パスワード情報がそのままインターネットに流れるのではなく、強力な暗号化を施した情報としてAzure ADに送られる。クラウドベースのサービスを多数利用する現在においては、非常に強力な認証システムといえるだろう。

 そして、Windows 10のAzure ADドメイン参加機能(Azure AD Domain Join)を利用すれば、モバイルデバイスでも、簡単にAzure ADにアクセスして、企業が用意しているクラウドサービスをSSO環境で利用することができる。Windows 10 Enterpriseでは、インストール時にAzure ADドメインへの参加を行うことがことが可能だ。

 現状では、タブレットやPCでの対応にとどまっているが、年末までにはスマートフォン向けのWindows 10 Mobileでも同じ仕組みが用意されるため、モバイル環境でもAzure ADドメインが利用しやすくなるだろう。

 ただ、Azure ADドメインと通常のADドメインは併存しないため、社内と社外で同じデバイスを利用するユーザーはドメインを切り替える必要がある。このままでは便利とはいえないので、現状では社外で使うデバイスと社内で利用するデバイスを分ける必要があるかもしれない。

Azure ADとAzure AD Connect

 Azure ADはさまざまな機能が用意されているため、Premiumエディションを100%活用するには、時間もノウハウも必要になる。

 しかし、Office 365のAD連携機能として使用するには、それほどハードルは高くない。Azure ADで提供されているAzure AD Connectというソフトを社内のADサーバーにインストールすれば、ADが持つ情報をクラウドとオンプレミスで同期させることができる。例えば、クラウドで変更したパスワード情報をオンプレミスのADに自動的に反映させる、といったことが可能だ。このAzure AD Connectを利用すれば、難しい設定をほとんど行わなくても、オンプレミスのADと同期することができる(Office 365の初期設定などは必要になる)。

 もちろん、自社が持つ独自ドメインを使用できるため、Office 365を独自ドメインで運用することも可能だ。メールサービスをクラウドのOffice 365に切り替えて、メールに関する運用の負担を減らすこともできる。

Azure AD Connectは、ADとADFS(Active Directory Federation Services)、Azure ADの設定を簡単に行えるようにしたツールだ
Azure ADはデータベースを使用するため、大規模なユーザー数をサポートするためにはSQL Serverが必要になる。少数でいいなら、Azure AD ConnectがSQL Server Expressをインストールする
Azure ADは、ADFSの機能を利用して構築されている
Azure AD側で、Azure AD Connectを使用できるように各種設定を行う
Azure AD Connectは、オンプレミスのADサーバーにインストールする
Office 365の場合は、Office 365用の管理ID(XXX@XXXX.onmicrosoft.com)をユーザー名使用する
ADの管理アカウントを入力する。これだけで、Azure ADとディレクトリなどの同期が自動的に設定される

******

 今後ADは、クラウドとの親和性をより高めていくことになるだろう。現状では、Azure ADのようにADを補完するサービスがAzure上で展開されているが、将来的にはAD自体がクラウドで運用できるようになるだろう。

 現状でも、AzureなどのIaaS上に仮想マシンとしてWindows Serverを立てて、ADを運用することができる。ただ、クラウド上のADを利用する場合は、クライアントからは仮想IPで接続する必要があるし、拠点からアクセスする場合は、拠点とAzureをVPN接続する必要がある。こういった運用を考えれば、Azure上のADはオンプレミスのADのバックアップとして使ったり、海外拠点に対するドメインコントローラをして使うことが前提になるだろう。

 現状ではこうした状況だが、将来的には、AD自体はクラウドへインプリされていくと思う。オンプレミスのADは、クラウドのADを管理する簡単なモノとなり、ADの多くの機能はクラウドが中心になっていくだろう。ただ、Windows Server 2016で全面クラウド化されるかといわれれば、まだまだそうはならないと考えている。

 大企業などは、自社で大規模なADを構築しているため、それを捨ててクラウドADに移行するには相当の作業が必要になるからだ。こういったことを考えれば、当面の間は、ハイブリッド環境をサポートすることになるだろう。

 しかし、より進化したADを使って行くには、クラウドが前提になっていく。

 現在提供されているAzure ADも、エディションが分かれているが、よりシンプルなエディションになっていくだろう。将来的には、機能別ではなく、ユーザー数で分かれていくのではないだろうか。

山本 雅史