Azure Active Directoryを活用してクラウドサービスも含めたID統合環境を実現!

企業でのクラウドサービスの利用が急激に拡大しています。
Microsoft社が提供するAzureというクラウドサービスに於いて、Azure Active Directoryというサービスがあります。
みなさんは、「Active Directory」と聞けば、「知っているよ。」、「うちのWindows Server環境で使っているよ。」とお答えされるでしょう。
それでは、Azureが先頭についた「Azure Active Directory」ではどうでしょうか?
「名前も大体同じだし、そのクラウド版じゃないの」とお考えではないでしょうか。
確かに単語2つは全く同じなので、そのように考えてしまいがちですが、実は、全く違うものなのです。

Active DirectoryとAzure Active Directoryの違いは?

Azure Active Directory(以下、Azure ADと略)とは、クラウドベースのID(ディレクトリ)管理サービスになります。 Microsoft社の提供するAzureというクラウドサービスで利用することの出来る1つのサービスです。
Active Directory(以下、ADと略)と名前は非常に近いですが、こちらはオンプレミスにおけるWindows Serverを利用するためのID(ディレクトリ)管理機能となります。
似て非なるもので、これら2つのサービスと機能は、使用の目的も大きく異なっていますし、実装しているプロコトル等も全く違っています。

Active Directoryとは?

ADは、2000年に発表されたオンプレミスで稼働させるWindows 2000 Serverの目玉機能として登場してきました。今ではみなさんが利用して普通の機能になった、「ユーザー認証機能」が実装されていました。また、その機能が搭載されている事によって、「シングル・サインオン」(以下、SSOと略)が実現され、ユーザー視点では、システムス毎のログオンを都度実施することなくアプリケーションを利用できるようになりました。
これらの機能は、オンプレミスにあるWindows Serverの1つの機能として提供されていました。
では、ADをそのままクラウドサービスに利用できないのか?と考えますが、残念ながらそのままでは利用することができません。そこで、クラウドサービス用にMicrosoft社が新たに開発したのがAzure ADとなります。

Azure ADの機能

現在の情報システムは、煩雑さを極めている時代なのかもしれません。
クラウドサービスという新たな環境へ、既存の資源を全てクラウドサービス側に一気に移行できるわけでは無く、オンプレミスの環境も維持しながらクラウドサービスを取り込み、更にSaaSによるサービスにも対応しながら、情報セキュリティの高度化も実現しなければならない。情報システム管理者にとっては本当に体が幾つあっても足りないかもしれません。
クラウドサービスを適用範囲としているAzure ADの機能は、次の通りです。

  • ユーザー・グループ管理:Azure ADにて認証・許可を制御するためのベースの機能
  • アプリケーション管理:Azure ADで認証されたユーザーに対して特定のアプリケーションへの制御を実施します。Azure AD経由でSSOが可能なSaaSアプリケーションは、2000種類以上です。
  • デバイス管理:ユーザーが実施に利用するデバイス(スマートフォンやタブレット等も含む)を登録して認可されたデバイスからアクセスだけを許可します。
  • 多要素認証:ユーザーIDとパスワードだけでなく、電話やSMS、ワンタイムパスワードなど複数の認証で情報セキュリティを強化できる機能です。
  • アクセスログ:認証やサービスへのアクセスをログとして記録し、不正アクセスに関するレポートも同時に確認することができます。

クラウドサービスを利用するために必要な機能が追加・拡張されたのがAzure ADになります。

ADとAzure ADの連携方法

ここでは、もう少し具体的にオンプレミスのADとクラウドサービスのAzure ADとの連携方法に関してご説明させて頂きます。
前提として以下のような状況を想定します。

  • Windows7からWindows10へのパソコンの入れ替えがようやっと終わった
  • MS Office製品もOffice365へと移行した。
  • Azure AD OFFICE365アプリ エディションが利用できたので、とりあえずオンプレミスのAD情報を入れてみた(ADとAzure ADでのID情報は同じ)

ADとAzure ADを連携してシングル・サインオン環境を拡張

企業におけるユーザーが、社内システムだけでなくクラウドサービスを利用するようになる。その一番身近なアプリケーションは、Office365の利用ではないでしょうか。社内システムは、ADによってSSOが実現されていますが、同じ情報をAzure ADに連携できれば、クラウドサービスまでも社内システムと同じようにSSO環境を構築することが出来ます。
オンプレミスにある、ADからAzure ADへのディレクトリの同期とフェデレーションができれば、運用負担無しで、認証領域をオンプレミスからクラウドサービスまで拡張することが出来ます。

ディレクトリ同期:Azure AD Connect

Azure Active Directory Connect サーバーを設置することで、ADとAzure ADに対してユーザーやグループ情報を同期させることができます。
これだけではまた、ドメインに参加する際に、ADにログオン。クラウドサービス利用する際には、Azure ADにログオンをする必要があるので、情報は同じですが、2度のログオンが発生してしまいます。

フェデレーション:Active Directory Federation services

さらに、Active Directory Federation Servicesサーバーを設置することで、ADでの認証結果をAzure ADと連携することが出来ます。
ドメインに参加する際に、ADにログオン。クラウドサービスを利用する際には、Azure ADに対して発行済トークンを使って認証をスキップできるため、これでSSO環境が実現出来ます。

Azure ADの料金体系とエディションに関して

Azure ADの料金体系は、基本的にはユーザー単位となります。利用するユーザー数によって課金されます。
また、Azure ADには利用する内容によって次の4つのエディションがあります。

  • FREE
  • OFFICE365アプリ
  • PREMIUM P1
  • PREMIUM P2

FREEは名前の通り課金は必要なく、お試し版となっています。Azureを申し込む事によって利用する事が出来ます。
またOFFICE365アプリは、Office365に料金が含まれたエディションです。Microsoft社の推奨としては、企業での利用に関しては、PREMIUMのP1かP2を選択ください。となっておりますが、まずは一番ベーシックな所から利用できれば良い場合には、OFFICR365アプリのエディションから利用をはじめられても良いと思います。

オンプレミスADをできるだけそのままAzure上に構築(移行)する!

オンプレミスADとAzure ADは、名前こそ似ていますが実装されている機能は違う、と説明させて頂きました。
そのためまずはADの運用方法をできるだけ変更しないことを目的として、ADそのものをまずはクラウド上に“Lift”する(構築する)というステップを最初に行うことも可能です。

この構成を取る場合には次のような点に注意する必要があります。

ADサーバーの配置:ネットワーク障害による影響を最小限になるように設置する

Azureに接続するネットワークに障害が発生した場合にはAzure上のADには接続できないため、たとえばローカル側にもADを残して連携させるなどの考慮が必要です。

ストレージ構成に注意:書き込みキャッシュをオフにする(通常はオンになっている)

Azure上で作成する仮想マシンではOSディスクのキャッシュがオンになっています。このディスクにADのデータベースやSYSVOLなどを配置すると仮想マシンに障害が発生した際にデータ不整合などが起こる可能性があります。

IPアドレスを固定にする
仮想ネットワークのDNS設定に注意する

Azure上で作成する仮想マシンは既定ではAzureのDNSサーバーを参照します。既定で設定されている名前解決先を、ADの名前解決ができるDNSのIPアドレスへ変更する必要があります。

定期的なサーバー停止を行う運用では注意

仮想マシンのADサーバーはVM-GenerationIDを見ていますので、たとえば課金を削減するために夜間にサーバーを停止するような運用では、課金されないようにサーバーを停止するとVM-GenerationIDは変更されることに注意しましょう。これらのステップを経て、ADの主環境がクラウドサービス側に移行出来できた暁には、Windows10搭載デバイスであれば、Azure ADに直接参加(サインイン)することが出来ます。

しかしながら、現在でもWindows10搭載デバイスであれば、Azure ADに直接参加(サインイン)することができるなど、今後Azureを利用する場合にはクラウド側のAzure ADをメインとしたSSO環境が中心となってくると思われます。将来的にクラウドを主として利用することを検討されていて、かつ特別な事情が無い限りは、次のステップとしてAzure ADへの移行も検討しましょう。

まとめ

ADは、ユーザー認証機能を司っているために、サーバー環境の中にあっては非常に重要な役割を担っており、障害等によって停止しないように、インフラサイドでの二重化等を考慮して実装する必要がありました。
クラウドサービスに於ける、Azure ADは、PaaSサービスとなるため、インフラの設計をほとんど気にする事なくサービスを利用することが出来ますので、煩雑さを極めた時代だからこそ、任せられる所はクラウドサービスに任せて限りある人的資源の有効活用が出来るようになればと思います。

移行準備段階で知っておくべきMicrosoft Azureの
サービスを学び、具体的にクラウド検討を考える!

ネットワークからクラウドまでトータルサポート!!
NTT東日本のクラウド導入・運用サービスを確認してください!!

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る