連載
» 2016年04月12日 05時00分 公開

ハイブリッド環境でのセキュリティとコンプライアンスの問題を一掃――Azure Active Directoryの新機能Microsoft Azure最新機能フォローアップ(14)(2/2 ページ)

[齋藤公二,@IT]
前のページへ 1|2       

プレビュー公開中のAzure AD Premiumの新機能、新サービス

 Microsoft Azureの新しい機能やサービスは、一定のプレビュー(Public Preview)公開期間を経て、正式公開(General Availability:GA)されます。Azure AD Premiumにおける新機能や新サービスの更新情報は、以下のAzureのWebサイトでその一部が公開されています。

Azure Active Directory B2B collaboration

 Dvir氏が最初に紹介したのが、2015年9月にプレビューとなった「Azure Active Directory B2B collaboration」です(図2)。

図2 図2 「Azure Active Directory B2B collaboration」の概要(出典:マイクロソフト)

 「取引先やパートナーを自社のADに招待して、ディレクトリやユーザーを管理する機能です。こうした仕組みを構築するにはコストが掛かるため、利用は大規模な企業に限られることが多かったと思います。Azure AD B2B collaborationは、それをシンプルかつ無料で利用できるようにします。シームレスな参加が可能で、異動や退職に伴うアカウント失効なども簡単に管理することが可能です」

 参加する取引先やパートナーは、Azure AD Premiumのアカウントは必要ありません。既に写真サービスのコダック アラリス(Kodak Alaris)が採用し、同社の業務アプリケーションにパートナー3000社がアクセスできるようにしているとのことです。

Azure Active Directory Identity Protection

 次に、Dvir氏が紹介したのは、エンタープライズ環境の監視や保護に関連する機能です。中でも、特に詳しく説明したのが、2016年3月にプレビューとなった「Azure Active Directory Identity Protection」でした(画面1)。

画面1 画面1 不審なサインインや特権IDの付与状況、多要素認証の不使用ユーザーによる潜在的な脆弱性などの情報を提供する「Azure Active Directory Identity Protection」(出典:マイクロソフト)

 Azure AD Identity Protectionは、「アイデンティティードリブン」なセキュリティを実現するためのサービスです。デバイスやユーザーは使用する場所や環境によって条件が変わるため、保護対策もその都度増えていく傾向があります。ID(アイデンティティー)を適切に管理、保護することで、デバイスやアクセス環境の変化や増加に柔軟に対応できるようになります。ただ、その際には、IDがなりすましの被害を受けていないか、怪しい行動を行っていた場合にどうやって見つけるかなどが課題になります。

 「Azure AD Identity Protectionは、不審なサインインや特権IDの付与状況、多要素認証の不使用ユーザーによる潜在的な脆弱性などに関する統合的な情報を提供します。また、Azureの機械学習や振る舞い検知技術を使って、ポリシーを自動制御することが可能です。画面もシンプルで見やすく、必要なものをドリルダウンしで詳しく分析することもできます」(Dvir氏)

 既にAzure AD Premiumの多要素認証は、アプリケーション、電話、テキストメッセージといった認証手段に対応しており、サードパーティー製アプリでもさまざまな多要素認証を簡単に利用できることがメリットになっています。また、オンプレミス環境のIDに関する脅威検知については、EMSのコンポーネントとして提供されるAdvanced Threat Analytics(ATA)が担当します。Azure ADの多要素認証をオンプレミス環境に統合することも可能とのことです。

 特権ID管理については「Azure Active Directory Privileged Management」が提供されており、例えば「2時間だけ特定のユーザーに特権IDを与える」といった柔軟な運用も可能になるようです。

Azure Active Directory Domain Services/Azure Active Directory B2C

 続いて、オンプレとクラウドの包括管理という観点から、2015年10月にプレビューとなった「Azure Active Directory Domain Services」と、2015年9月にプレビューとなった「Azure Active Directory B2C」を紹介しました。

 Azure AD Domain Servicesは「サービスとしてのドメインコントローラー」というべきもので、Azure仮想マシンをドメインに参加させる機能です(図3)。LDAP、Active Directoryドメイン参加、NTLM、Kerberos認証を利用できます。

図3 図3 「Azure Active Directory Domain Services」の概要(出典:マイクロソフト)

 「アプリケーションの書き換えが不要で、既存資産のAzureへの移行が簡単にできるようになります。例えば、IDの要件を考慮することなく、Azure仮想マシンにSharePointやSQL Serverを使用するアプリケーションをデプロイできます。これにより運用コストも削減できます」(Dvir氏)

 Azure AD B2Cは、コンシューマー向けサービスのIDをAzure AD上で管理するための機能を提供します(図4)。

図4 図4 「Azure Active Directory B2C」の概要(出典:マイクロソフト)

 「iOS、Android、Windows、Webアプリケーションなどで顧客がサインアップに使う、何千万ものID情報を一元的に管理することができます。FacebookやGoogleの認証サービスもサポートしています」(Dvir氏)

 Dvir氏はセッションの最後に「アイデンティティーはエンタープライズモビリティの中核です。オンプレミスとクラウドにあるギャップを埋めるのがAzure AD Premiumです」とあらためて説明。これからもユーザーの生産性やセキュリティ、成長を支援するため、Azure AD Premiumの機能改善に努めていくことを強調しました。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。