目次:
ビデオ: Введение в Active Directory Microsoft Azure (10月 2024)
マイクロソフトは何十年もの間、いくつかのコアITカテゴリで業界のリーダーであり、効果的な制約がある企業の1つはオンプレミスネットワークディレクトリです。 Windows Server Active Directory(AD)は世界中の企業や政府によって使用されており、企業内のエンタープライズID管理(IDM)のゴールドスタンダードです。 高度な機能と世界で最も人気のあるオンプレミスディレクトリとの緊密な統合に加えて、Microsost Azure ADの価格設定はIdentity Management-as-a-Service(IDaaS)スペースで非常に競争力があり、無料の階層、1ドルの基本階層を提供しますユーザーあたり月額、およびそれぞれ月額6ドルと9ドルで実行される2つのプレミアムレベル。 高度な機能、主要なオンプレミスIDMプラットフォームとの緊密な統合、そして新しくて使いやすい価格がすべて組み合わされて、Azure ADはOkta Identity Managementと並んでIDaaSスペースのエディターズチョイスに昇格しました。
オンプレミスADを使用したセットアップと接続
明らかな理由から、Azure ADの最も一般的な使用法は、既存のオンプレミスADドメインをクラウドで実行されているアプリケーション、さらにはインターネット経由で接続するユーザーと統合することを検討している企業です。 オンプレミスのADとAzure ADをつなぐ勇気を提供するための最も一般的なMicrosoftソリューションは、Microsoftから無料で入手できる同期ツールであるAzure AD Connectです。 多くの競合他社は、IDaaS製品をオンプレミスADドメインに接続するための同様の同期ツールを提供していますが、Azure AD Connectはそれを正しく行う方法の良い例です。 Azure AD Connectと他の同期ツールの最大の違いは、Azure AD Connectが安全なパスワード同期を提供することです。これにより、企業ADに対して検証されるユーザーの資格情報ではなく、Azure AD内で認証プロセスを実行できます。 Azure AD Connectと他の同期ツールの最大の違いは、Azure AD Connectが既定でパスワードを同期し、企業ADに対して検証されるユーザーの資格情報ではなく、Azure AD内で認証プロセスが行われることです。 多くの組織では、パスワードハッシュをクラウドに同期することに関するポリシーの問題があるため、Azure AD Connectのパスワード同期が潜在的な問題になっています。
Azure ADは、Active Directoryフェデレーションサービス(ADFS)の使用もサポートしています。 従来、外部アプリまたは外部サービスに認証機能を提供するために使用されていたADFSは、ローカルADを使用して認証要求を強制的に実行しますが、独自の要件と構成手順があり、同様の認証機能を備えた競合製品よりもはるかに複雑になります。 理想的なオプションは、Ping IdentityのPingFederateのラインに沿ったものであり、最小限の構成でIDフェデレーションを提供しますが、フェデレーションプロセスのあらゆる側面を微調整できます。
ADとAzure ADを統合する最新のオプションでは、引き続きAzure AD Connectエージェントが使用されますが、フェデレーションオプションが提供されます。 大企業でのAzure ADに関する一般的な不満の1つは、Azure AD Connectを使用した同期とADFSを使用したフェデレーションとの間の中間点がないことです。 パススルー認証では、Azure AD Connectを使用して、ADのIDへのフェデレーションアクセスへのシンプルなパスを提供します。 理論的には、パススルー認証は両方の長所を提供し、IDと認証をオンプレミスに保ちますが、ADFSは不要です。 ADFSに対するパススルー認証の追加の利点は、接続がエージェントベースであり、ファイアウォールルールやDMZ内に配置する必要がないことです。 この機能は、Okta、OneLogin、Bitium、Centrifyなど、Azure ADの競合の多くとほぼ一致しています。 パススルー認証は現在プレビュー段階にあり、今後数か月以内に一般公開される予定です。
ディレクトリ統合
Microsoft IDaaSソリューションがADと緊密に統合されることを期待するのは安全なようであり、Azure ADは失望しません。 属性の同期はAzure AD Connectで構成でき、後で個々のSoftware-as-a-Service(SaaS)アプリ構成内でマッピングできます。 また、Azure ADは、Microsoft Office 365またはAzure ADユーザーポータルで発生したパスワード変更をADに書き戻すこともサポートしています。 この機能は、OneLoginやエディターズチョイスの受賞者であるOkta Identity Managementなどの競合他社で利用できますが、追加のソフトウェアまたはデフォルトの同期ポリシーの変更が必要になる場合があります。
Azure ADのもう1つの主要な統合ポイントは、メールサービスにMicrosoft Exchangeを使用しているお客様、特に、メールサービスのすべてまたは一部がオンでホストされるハイブリッドクラウドシナリオでExchangeまたはExchange OnlineをOffice 365と組み合わせて使用しているお客様向けです-その他のリソースはクラウドでホストされます。 インストール時に、Azure AD ConnectはExchangeのインストールを示す追加のスキーマ属性を認識し、これらの属性を自動的に同期します。 Azure ADには、Office 365グループを配布グループとしてADに同期する機能もあります。
Windows 10は、Azure ADと統合するための新機能も提供します。 Windows 10は、企業ADの代替として、Azure ADへのデバイスの参加をサポートしています。 ただし、デバイスをAzure ADに接続する場合と従来のオンプレミスADにデバイスを参加させる場合とでは機能が大きく異なるため、注意してください。 これは、Azure ADに接続すると、Windows 10デバイスがグループポリシーではなく、Azure ADとMicrosoftのモバイルデバイス管理(MDM)ツールを介して管理されるようになるためです。 Azure ADユーザーの大きな利点は、ユーザーがデバイスに対して既に認証されているため、ユーザーポータルへの認証がシームレスであり、メールやカレンダーなどのWindows 10アプリがOffice 365アカウントが利用可能で自動的に構成されているかどうかを認識することです。 ログインプロセスは、Microsoftアカウントの詳細を要求するWindows 8のデフォルトのログインスタイルに非常に似ています。
Microsoft Identity Manager
大企業がアイデンティティの単一ソースに依存することはほとんどありません。 Active Directoryと人事(HR)システムの組み合わせ、複数のActive Directoryフォレスト、またはビジネスパートナーとの関係など、大企業ではさらなる複雑さが避けられません。 複数のIDプロバイダーを統合するためのマイクロソフトのソリューションは、Microsoft Identity Managerです。 別個のソフトウェアパッケージですが、クライアントアクセスライセンスはAzure AD Premium層に含まれています。 Azure AD B2B Collaboration(Azure AD B2B)は、ビジネスパートナーに企業アプリへのアクセスを提供する手段を提供します。 現在プレビュー中ですが、Azure AD B2Bはビジネスパートナーとのコラボレーションを促進し、Active DirectoryまたはActive Directoryの信頼でユーザーアカウントを作成する必要なく、アプリへのアクセスを提供します。
パスワード同期またはパススルー認証を使用する場合、Azure ADを使用して、ディレクトリ資格情報を使用した真のシングルサインオン(SSO)サポートがサポートされるようになりました。 以前は、ADFSのみがこの機能を提供していました。 ユーザーは、技術的な要件(ドメインに参加しているWindowsコンピューター、サポートされているブラウザーバージョンなど)を満たしていることを前提に、資格情報を提供せずにAzure ADとSaaSアプリを認証できるようになりました。 企業のデスクトップユーザー向けのSSOも現在プレビュー中です。
消費者IDM
Azure AD B2Cは、Microsoftの消費者向けIDMです。 ユーザーは、GoogleやFacebookなどの他のクラウドサービスで既に確立している既存の資格情報を使用して、サービスまたはアプリに対して認証することができます。 Azure AD B2CはOAuth 2.0とOpen ID Connectの両方をサポートし、Microsoftはサービスをアプリまたはサービスと統合するためのさまざまなオプションを提供します。
B2Cオファリングの価格は、標準のAzure AD層とは異なり、認証ごとに格納されているユーザーの数と認証の数によって分類されます。 保存ユーザーは最大50, 000ユーザーまで無料で、認証あたり0.0011ドルから最大100万までです。 1か月あたり最初の50, 000件の認証も無料で、認証あたり100万ドルまで0.0028ドルで開始されます。 Azure AD B2Cでは多要素認証も利用可能で、認証ごとに標準の0.03ドルが実行されます。
ユーザープロビジョニング
Azure ADは、SaaSアプリへのアクセスを割り当ててプロビジョニングするためのユーザーとグループのセットアップに関して、ほとんどのIDaaSベンダーに同様の機能セットを提供します。 ユーザーとセキュリティグループの両方をAzure AD Connectを使用して同期するか、ユーザーとグループをAzure AD内で手動で追加できます。 残念ながら、Azure ADでユーザーまたはグループを非表示にする方法はないため、特定のユーザーまたはグループに移動するには、大企業の顧客が頻繁に検索機能を利用する必要があります。 Azure ADでは、高度なルールと呼ばれる機能(現在プレビュー中)を使用して、属性ベースのクエリに基づいて動的グループを作成できます。
Azure ADは、SaaSアプリでのユーザーの自動プロビジョニングをサポートし、Office 365展開で非常にうまく機能するという明確な利点があります。 可能であれば、Azure ADは、Google Appsの場合と同様にこのプロセスを簡素化します。 簡単な4ステップのプロセスで、Azure ADはGoogle Appsログインのプロンプトを表示し、自動ユーザープロビジョニング用にGoogle Appsを構成する許可を要求します。
シングル・サインオン
マイクロソフトのエンドユーザーポータルは、競合他社の多くに類似しており、ユーザーをSSOアプリに誘導するアプリアイコンのグリッドを提供します。 管理者が選択した場合、Azure ADユーザーポータルは、パスワードのリセット、アプリのリクエスト、グループメンバーシップのリクエストや承認などのセルフサービスアクションを許可するように構成できます。 Office 365サブスクライバーには、Office 365アプリメニューにSSOアプリケーションを追加できるという追加の利点があり、Outlookまたは他のOffice 365製品内から重要なビジネスアプリへの便利なアクセスを提供します。
Azure ADは、個々のアプリに関連付けられたセキュリティポリシーをサポートしているため、多要素認証(MFA)を要求できます。 通常、MFAには、セキュリティデバイスまたは何らかの種類のトークン(スマートカードなど)、またはログイン前に存在する必要があるスマートフォンアプリが含まれます。 Azure ADは、個々のユーザー、グループ、またはネットワークの場所に基づいてMFAをサポートできます。 Okta Identity Managementは、セキュリティポリシーを同じ方法で処理します。 一般に、セキュリティポリシーを分離して複数のアプリに同じポリシーを適用できるようにすることをお勧めしますが、少なくとも複数のポリシーを構成することができます。
MicrosoftがAzure AD Premiumで提供するユニークな機能の1つは、組織で既に使用されているSaaSアプリの識別を開始するのに役立ちます。 Cloud App Discoveryはソフトウェアエージェントを使用して、SaaSアプリに関するユーザーの行動の分析を開始し、組織で最も一般的に使用されるアプリに注目し、エンタープライズレベルでそれらの管理を開始します。
IDaaSソリューションの従来のシナリオでは、オンプレミスのディレクトリから取得した資格情報を使用して、クラウドアプリに対してユーザーを認証します。 Azure ADは、ユーザーがAzureを介してアプリに安全に接続できるようにするエージェントを使用するアプリケーションプロキシを使用して、オンプレミスアプリへの認証を有効にすることにより、これらの境界を押し広げます。 アプリケーションプロキシで使用されるエージェントベースのアーキテクチャのため、内部の企業アプリへのファイアウォールポートを開く必要はありません。 最後に、Azure ADドメインサービスを利用してAzureに含まれるディレクトリを提供し、Azureでホストされる仮想マシンに対してユーザーを認証するための従来のドメイン環境を提供できます。 Azure ADアプリケーションプロキシは、条件付きアクセスポリシーを使用して、特定の条件が満たされたときに追加の認証ルール(MFAなど)を適用するように構成することもできます。
Azure ADは、毎日13億件以上の認証を処理しています。 この膨大な規模により、Microsoftは現在競合できるIDMソリューションがほとんどない少なくとも1つのサービスを提供できます。これがAzure AD Identity Protectionです。 この機能は、Microsoftの幅広いクラウドサービス(Outlook.com、Xbox Live、Office 365、およびAzure)と機械学習(ML)を使用して、Azure ADに格納されているIDに比類のないリスク分析を提供します。 マイクロソフトはこのデータを使用して、各ユーザーおよび各サインインのリスクスコアを計算できるパターンと異常を検出します。 マイクロソフトは、資格情報に関連するセキュリティ侵害も積極的に監視し、侵害されている可能性のある組織内の資格情報についてこれらの侵害を評価します。 このリスクスコアが計算されると、管理者はそれを認証ポリシーで活用でき、MFAやパスワードリセットなどの追加のサインイン要件に取り組むことができます。
報告
MicrosoftがAzure ADで提供するレポートセットは、サービスレベルによって異なります。 無料の基本的な階層でさえ、基本的なセキュリティレポートを提供します。これは、基本的なアクティビティと使用ログを示す定型レポートです。 プレミアムサブスクライバーは、Azureの機械学習機能を活用する高度なレポートセットにアクセスして、繰り返し失敗した後の認証試行の成功、複数の地域、または疑わしいIPアドレスからの成功など、異常な動作に関する洞察を提供します。
Azure ADは完全なレポートスイートを提供していませんが、プレミアムユーザーが利用できる既定のレポートは、競合他社が提供するものよりもはるかに洗練されています。 最終的に、Azure AD Premiumの定型レポートで得られる洞察のレベルが本当に好きでした。スケジュール設定やカスタムレポートの欠如と比較しても重かったです。
価格
Azure ADの価格設定は、最大500, 000個のディレクトリオブジェクト(この場合はユーザーとグループを意味します)およびユーザーあたり最大10個のシングルサインオン(SSO)アプリをサポートする無料利用枠から始まります。 Azure ADの無料版は、Office 365サブスクリプションに自動的に含まれます。この場合、オブジェクトの制限は適用されません。 ユーザーあたり月額1ドルの小売価格で、Azure ADの基本層は非常に競争力があります。 Basicサービスは、ユーザーポータルのブランド化やグループベースのSSOアクセスやプロビジョニングなどの機能を追加するため、SaaSアプリでユーザーアカウントを自動的に作成するには、Basic層が必要です。
基本層では、ユーザーごとに10個のアプリの制限が保持されますが、アプリケーションプロキシを使用してオンプレミスアプリをサポートする機能が追加されます。 Azure ADのPremium P1およびP2層は、ユーザーが所有できるSSOアプリの量から制限を取り除き、ユーザーあたり月額6ドルと9ドルでセルフサービスとMFA機能を追加します。 両方のAzure AD Premium層には、Microsoft Identity Manager(以前のForefront Identity Manager)のユーザークライアントアクセスライセンス(CAL)も含まれています。これは、データベース、アプリ、他のディレクトリなどのIDを同期および管理するために使用できます。 プレミアム層は、条件付きアクセスおよびIntune MDMライセンスをテーブルにもたらし、セキュリティ機能を大幅に向上させます。 Premium P1と比較したPremium P2層の主な利点は、ID保護と特権ID管理であり、どちらも業界をリードするセキュリティ機能として認定されています。
もう1つの価格上の考慮事項は、Azure ADとは別にAzureのMFAサービスのライセンスを取得できることです。これには2つの利点があります。ケース)、MFAを使用したBasicサービスの総コストをユーザーあたり2.40ドルにします。 次に、ユーザーベースのサブセットに対してのみMFAを有効にすることを選択できます。これにより、毎月かなりの金額を節約できます。
Azure ADは、IDaaSプロバイダーで探しているコア機能の大部分をカバーしています。 Microsoftのような会社に期待するエンタープライズレベルのツールをいくつか紹介します。 アプリケーションプロキシやID保護などの機能は、クラス最高の機能の1つであり、まったく単純に競合するものはありません。 価格は非常に競争力があり、Office 365や他のマイクロソフト製品やサービスとの統合は堅実で、常に進化しています。 Azure ADは、IDaaSカテゴリのエディターズチョイスとしてOkta Identity Managementに参加します。
