企業のID管理基盤、クラウド＆Windows 10時代の3つの選択肢：企業ユーザーに贈るWindows 10への乗り換え案内（7）（2/3 ページ）

[山市良，テクニカルライター]

選択肢その2：「Azure ADのディレクトリ環境」の場合

　「Azure Active Directory（Azure AD）」は、Microsoft Azureのサービスの1つであり、クラウド環境向けのID管理サービスを提供します。AD DSとは異なり、Kerberos認証やグループポリシー管理機能は提供しません（Azure ADドメインサービスとしてIaaS環境に提供することは可能）。

　Azure ADは、SAML 2.0やWS-Federation 1.2、OAuth 2.0／OpenID Connect 1.0といった、Webアプリ／サービス標準の認証プロトコルをサポートするものです。Office 365やMicrosoft Intuneのサービスは、Azure ADをID管理のためのディレクトリとして利用しています。

　Azure ADでは、次のような機能が社内クライアントやさまざまなモバイルデバイスからオンラインサービス上で利用可能です。なお、Azure ADの基本的な機能を提供する「Azure AD Freeプラン」は無料ですが、Azure Multi-Factor Authentication（Azure MFA）のように料金が発生するものもあります（Azure AD Premium以上プランや個別サービスの料金）。

• ユーザーID、グループの作成と管理（Office 365やMicrosoft Intuneと統合）
• パスワードのリセットやIDのロック
• Office 365やMicrosoft IntuneのID認証
• Azureの各種サービスのためのID認証
• SaaSアプリのシングルサインオンアクセス
• ID使用状況のレポート
• Windows 10のAzure AD参加（このデバイスをAzure Active Directoryに参加させる）
• Windows 10のワークプレース参加（職場または学校への接続）
• Windows 10のWindows Hello for Business（旧称、Microsoft Passport for Work）
• Azure MFAの多要素認証によるID認証の強化
• Azureの各種サービスやOffice 365に対する条件付きアクセス

　Azure ADは、オンプレミスにサーバを持たない（持ちたくない、撤去したい）中小規模の企業に適しているといえます。また、社内の情報共有基盤としてOffice 365サービスを利用する場合は、後述するハイブリッド環境を構築しない限り、Azure ADだけを利用することになります（画面3）。

画面3　Azure ADの管理ポータル。Office 365やMicrosoft IntuneのためのID管理やライセンスの割り当てもここから行える

　Azure ADは、Windows 10で導入されたさまざまなID機能に対応している点に注目してください。Windows 10はオンプレミスのAD DSにドメイン参加する代わりに、Azure ADのIDを使用して「Azure AD参加（Azure AD Join）」という方法でデバイスとIDをひも付け、Azure ADに参加させることが可能です（画面4）。

画面4　Azure ADのIDとパスワードを使用したWindows 10のAzure AD参加。参加時にはショートメッセージサービス（SMS）、電話、またはモバイルアプリによる本人確認が要求される

　ユーザーは、Azure AD参加デバイスからAzure ADのIDを使用してWindowsへのサインイン（ログオン）し、シングルサインオンでOffice 365などのサービスを利用できます。また、生体認証を使用した「Windows Hello」によるサインインも可能です（画面5）。Azure ADのIDでのWindows Helloのセットアップと使用を、Microsoftアカウントで利用可能なWindows Helloに対し、「Windows Hello for Business」（旧称、Microsoft Passport for Work）と呼びます。

画面5　顔認証や指紋認証を使用した、Windows Hello for Businessによるサインイン

　Microsoft AzureのIaaS環境（仮想マシン環境）でActive Directoryドメインが必要な場合、IaaS環境の同じネットワーク上にAD DSを実行するドメインコントローラーを仮想マシンとして配置するのが1つの方法です。オンプレミスの社内ネットワークとサイト間接続している場合は、オンプレミスのネットワークの延長として、追加のドメインコントローラーをIaaS側に仮想マシンとして配置して、トラフィックを最適化することができます。

　もう1つ、Azure ADの機能の1つである「Azure ADドメインサービス」を利用するという方法があります。Azure ADドメインサービスは、Azure ADのディレクトリと統合されたフル機能のActive Directoryドメイン環境（ドメイン参加、Kerberos認証、グループポリシー管理など）をサービスとして提供するもので、複数台のドメインコントローラーのデプロイと更新は自動化されています（サービスに含まれます）。一部の特権レベルの管理機能は制限されますが、システム要件によってはこちらを利用した方が、管理コストを含め、低コストで導入できる場合があります。

　また、Azure ADを導入すると、Microsoft Azureの次のID関連の有料サービスを導入できるようになります（Azure AD Premium以上の有料プランや個別サービスの料金）。

• Azure AD Privileged Identity Management（PIM）による特権アクセス管理
• Azure AD Identity ProtectionによるID不正使用の防止
• Microsoft Cloud App SecurityによるシャドーITの検出
• Azure Information Protectionによる情報漏えい対策

　これらAzure ADが提供するサービスにより、不正アクセスのリアルタイム検出や不正利用のブロックなどで、IDの保護を強化したり、情報漏えいを防止したりできます。例えば、「Azure Information Protection」（旧称、Azure Rights Management）は、もともとはAD RMSのクラウド版として登場しましたが、最新のサービスではラベル付けによる保護設定や、条件に基づいた自動保護または推奨提示、透かしの設定、Officeドキュメント以外のテキストや画像、PDFの保護、保護されたドキュメントのマップ上での追跡と公開の停止、Windows 10 Enterpriseのセキュリティ機能であるWindows Information Protection（旧称、Enterprise Data Protection：EDP）との連携など、AD RMSにはない機能が利用できます。