ようこそゲストさん

  • 会員限定
  • 2022/12/02 掲載

Azure ADとは何か? その機能や料金、新サービス「Microsoft Entra」を解説

連載:ここがポイント! Azure活用術

記事をお気に入りリストに登録することができます。
Azure ADは、マイクロソフトが提供するクラウドベースの認証・ID管理サービス(IDaaS:Identity as a Service)です。そのネーミングからAzureの付随機能とし捉えられがちですが、実際はAzure ADの上にAzureを始めとしたMicrosoft 365(Office 365)などのクラウドサービスが乗っており、マイクロソフトのクラウドサービスの根幹をなすサービスと言えます。本稿では、AzureにとってのAzure ADの理解を目指し、その機能や料金、同社の新サービス「Microsoft Entra」を解説します。

執筆:NTTデータ先端技術 Microsoft技術センター 原田 幸太郎

執筆:NTTデータ先端技術 Microsoft技術センター 原田 幸太郎

photo
Azure ADの基礎を解説、「Azure ADとは」から「AzureにおけるAzure ADの理解のポイント」まで
(Photo/Getty Images)


Azure ADとは

 Azure AD(Azure Active Directory)とは、Microsoft Azureの中で「認証」と「認可」の機能を提供するサービスです。公式ドキュメントでは下記のように記載されています。

Azure Active Directory(Azure AD)は、クラウドベースの認証・ID管理サービス(Identity as a Service:IDaaS)です。 このサービスは、従業員が Microsoft 365、Azure portal やその他のさまざまな SaaS アプリケーションなどの外部リソースにアクセスするのに役立ちます。 さらに Azure Active Directory は、会社のイントラネット ネットワーク上のアプリなどの内部リソースと、自分の組織向けに開発されたクラウド アプリにアクセスするのにも役立ちます。

 さらに同じページにある「Azure AD で利用できる機能」から注目すべき機能を抜き出してみましょう。

アプリケーション管理 認証 開発者のための
Azure Active Directory
企業間 (B2B) 企業-消費者間 (B2C) 条件付きアクセス
デバイスの管理 ドメイン サービス エンタープライズ ユーザー
ハイブリッド ID Identity Governance Identity Protection
Azure リソースの
マネージド ID
Privileged Identity
Management (PIM)
レポートと監視

 Azure ADが認証・ID管理を中心としたサービスであることに間違いはありませんが、その周辺を固めるようにデバイス管理やオンプレミス連携機能がラインナップされていることに特徴があります。

 またIDaaSは一般的には他サービスとの連携が利用ケースの大きな割合を占めますが、Azure ADは単体でも利用可能なケースを提供しているのも特徴だと言えるでしょう。

 このあたりは純粋なIDaaSとしてみた場合には良し悪しありますが、筆者はマイクロソフトの設計思想・設計指針と言った類のものだと理解しています。

 さてAzure ADにはAzureとの関係性やActive Directoryとの差異についての議題が付いて回りますので、次の章で解説します。

Azure ADはAzureでもActive Directoryでもない

 本稿最大のキーワード、それは「Azure ADはAzureでもActive Directoryでもない」です。

・Azureとの関連性
 冒頭で記載しましたが、Azure ADはAzureの付随機能ではなく、むしろ主従関係を逆転させAzure ADの上にAzureが乗っているとの理解がより正しいと言えるでしょう。

 確かに当初は付随機能だったかもしれませんが、その後Microsoft 365などのサービスが合流し、図のようにその立ち位置が大きく変わりました。

画像
Azure ADの上にAzureが乗っている
(出典:マイクロソフト

 このような経緯もありAzure ADとAzureは明確に分けて理解することをお勧めします。「Azureのこと教えて」という話を聞いて「パブリッククラウドのAzureですか? それともIDaaSのAzure ADですか?」と聞き返すのはよくある話です。

・Active Directoryとの差異
 Azure ADとActive Directoryも似て非なるもので、「Azure AD はActive Directoryのクラウド版」と言う認識はあまり正確とは言えません。

 以前顧客から「リモートアクセス用の端末にグループポリシーで〇〇〇を制御」という話を聞いたので、状態を紐解いてみると、Active Directoryの事例をそのままAzure ADでも適用できると言う認識から出てきたものだということがわかりました(Azure ADではまだグループポリシーは使えない旨をお返ししたところ要件自体が自然消滅してしまいました)。

 このような認識から誤った方向性で検討を進めてしまうというのもまたよくある話です。

 実際、共通で利用できる機能はディレクトリ同期とシングルサインオンくらいで、その他の機能はコンセプトこと同一ですが実装はかなり異なっているものが多いです。

 マイクロソフトには、Azure ADとActive Directoryの比較情報がありますが、難解で蛇足な情報になりかねませんので、こちらではリンクで紹介するのみにします。

 また、Azure ADとAzure AD Domain Servicesもまた似て非なるものだということも、頭の片隅に入れておいておいた方がよいでしょう。

 Azureのアクセス制御機能であるIAMは、誰(プリンシパル)が何(スコープ)に対してどのような権限(ロール)が使えるかを制御するものですが、Azure ADではこのうちのプリンシパルの管理のみを行いスコープとロールは行いません。これらはAzureのリソースマネージャ上で管理されます。

画像
Azureアクセス制御との関係

 この機構の理解は非常に重要で、理解しておくとAzureサブスクリプションのディレクトリ変更(=Azure ADの変更)を行った際の挙動がよくわかります。

 詳しくは記載しませんが、プリンシパルがすべて「吹っ飛ぶ」ことになりますので既存のアクセス制御はほぼすべてが無効化されます。このプリンシパルにはサービスプリンシパルやマネージドIDが含まれますので、その瞬間サービスが停止するということも起こり得る操作です。

 ちなみにAWSの場合はプリンシパル・スコープ・ロールのすべてがアカウントの中で管理されますので根本的に構成が異なります。筆者はこれはAzureとAWSと最大の差異だと認識しています。

Azure ADの機能

 Azure ADの機能のうちよく使われるものを説明欄に要約して紹介します。

 機能についてはLearnにも記載がありますが、実はエディションの比較情報が一番よくまとまっていて見やすいです。

カテゴリー 機能 説明
認証 クラウド認証 Azure・Microsoft 365 などMicrosoftクラウドサービス向け認証機能。
フェデレーション 各種サービス(Salesforce・ServiceNow など)向け認証機能。
シングルサインオン デバイスの情報で各種サービスヘのサインインを自動的に行う機能。
多要素認証 SMS・仮想トークンアプリなどによる認証を付加する機能。
アプリケーション SaaSアプリ SAML・OAuth 2.0対応機能。
Azure AD アプリケーションプロキシ オンプレミスのWebアプリケーションインターネットに公開する機能。
認可 RBAC Azure AD内の認可機能
条件付きアクセス ソースIP・デバイスの状態・対象サービスなどの条件の組み合わせでアクセス制御を行う機能。
ハイブリッドID ディレクトリ同期 Active Directoryとのユーザー同期機能。
エンドユーザー
セルフサービス
パスワード変更 エンドユーザーにてパスワード変更・パスワードリセットを行う機能。
IDガバナンス Privileged Identity Management 特権IDの管理機能、特権IDの取得にワークフローや有効期限を組み込むことができる。

 この中でAzureとの連携においては下記に上げられる管理者向け機能がメインになります。

認証を強化したい 多要素認証
オンプレミスのユーザー・グループを使って管理したい ディレクトリ同期
接続元の拠点を限定したい 条件付きアクセス
特権IDを管理したい Privileged Identity Management

 エンドユーザー向けの機能はB2CやB2B用途においては相手側にもアカウントが必要になるため、利用へのハードルが高い印象です。「Microsoft 365導入済みの企業がAzure上で社内システムを構築」というケースが多いのではないでしょうか。

【次ページ】Azure ADの料金

関連タグ

あなたの投稿

関連コンテンツ

Amazon DynamoDBとは何かをわかりやすく図解、どう使う?テーブル設計の方法とは

非常にわかりやすくまとまった良い記事ですが、技術的な誤りがあるので指摘させていただきます。

こちらについては恐らくDynamo論文(Dynamo: Amazon's Highly Available Key-value Store)を参考に記述されていると思われますが、Dynamo論文で説明されているDynamoと、今AWSで提供されているDynamoDBは名前を引き継いでいるだけで全く別のDBMSです。
DynamoDBはDynamoやSimpleDBS3、S3の知見をもとに開発されています。
https://www.allthingsdistributed.com/2012/01/amazon-dynamodb.html

今年公開されたDynamoDBの論文に記述がある通り、Multi-Paxosでリーダーの選出、合意形成を行う仕組みであり、leader replicaのみが書き込みを受け付けます。
(つまりパーティション単位に単一障害点が存在します)
https://assets.amazon.science/33/9d/b77f13fe49a798ece85cf3f9be6d/amazon-dynamodb-a-scalable-predictably-performant-and-fully-managed-nosql-database-service.pdf
> The replication group uses Multi-Paxos [14] for leader election and consensus. Any replica can trigger a round of the election. Once elected leader, a replica can maintain leadership as long as it periodically renews its leadership lease.
>Only the leader replica can serve write and strongly consistent read requests. Upon receiving a write request, the leader of the replication group for the key being written generates a write-ahead log record and sends it to its peer (replicas).

PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます