ハイブリッド環境でのセキュリティとコンプライアンスの問題を一掃――Azure Active Directoryの新機能:Microsoft Azure最新機能フォローアップ(14)(2/2 ページ)
日本マイクロソフトが15周年を迎えた「Active Directory」を記念してイベントを開催。このイベントに来日した米マイクロソフトのEran Dvir氏が「Azure Active Directory」の最新機能を紹介しました。
プレビュー公開中のAzure AD Premiumの新機能、新サービス
Microsoft Azureの新しい機能やサービスは、一定のプレビュー(Public Preview)公開期間を経て、正式公開(General Availability:GA)されます。Azure AD Premiumにおける新機能や新サービスの更新情報は、以下のAzureのWebサイトでその一部が公開されています。
Azure Active Directory B2B collaboration
Dvir氏が最初に紹介したのが、2015年9月にプレビューとなった「Azure Active Directory B2B collaboration」です(図2)。
「取引先やパートナーを自社のADに招待して、ディレクトリやユーザーを管理する機能です。こうした仕組みを構築するにはコストが掛かるため、利用は大規模な企業に限られることが多かったと思います。Azure AD B2B collaborationは、それをシンプルかつ無料で利用できるようにします。シームレスな参加が可能で、異動や退職に伴うアカウント失効なども簡単に管理することが可能です」
参加する取引先やパートナーは、Azure AD Premiumのアカウントは必要ありません。既に写真サービスのコダック アラリス(Kodak Alaris)が採用し、同社の業務アプリケーションにパートナー3000社がアクセスできるようにしているとのことです。
- Public preview:Microsoft Azure Active Directory B2B collaboration[英語]
- Azure AD B2B コラボレーション プレビュー:簡単で安全なクラウド パートナー統合
Azure Active Directory Identity Protection
次に、Dvir氏が紹介したのは、エンタープライズ環境の監視や保護に関連する機能です。中でも、特に詳しく説明したのが、2016年3月にプレビューとなった「Azure Active Directory Identity Protection」でした(画面1)。
画面1 不審なサインインや特権IDの付与状況、多要素認証の不使用ユーザーによる潜在的な脆弱性などの情報を提供する「Azure Active Directory Identity Protection」(出典:マイクロソフト)
Azure AD Identity Protectionは、「アイデンティティードリブン」なセキュリティを実現するためのサービスです。デバイスやユーザーは使用する場所や環境によって条件が変わるため、保護対策もその都度増えていく傾向があります。ID(アイデンティティー)を適切に管理、保護することで、デバイスやアクセス環境の変化や増加に柔軟に対応できるようになります。ただ、その際には、IDがなりすましの被害を受けていないか、怪しい行動を行っていた場合にどうやって見つけるかなどが課題になります。
「Azure AD Identity Protectionは、不審なサインインや特権IDの付与状況、多要素認証の不使用ユーザーによる潜在的な脆弱性などに関する統合的な情報を提供します。また、Azureの機械学習や振る舞い検知技術を使って、ポリシーを自動制御することが可能です。画面もシンプルで見やすく、必要なものをドリルダウンしで詳しく分析することもできます」(Dvir氏)
既にAzure AD Premiumの多要素認証は、アプリケーション、電話、テキストメッセージといった認証手段に対応しており、サードパーティー製アプリでもさまざまな多要素認証を簡単に利用できることがメリットになっています。また、オンプレミス環境のIDに関する脅威検知については、EMSのコンポーネントとして提供されるAdvanced Threat Analytics(ATA)が担当します。Azure ADの多要素認証をオンプレミス環境に統合することも可能とのことです。
特権ID管理については「Azure Active Directory Privileged Management」が提供されており、例えば「2時間だけ特定のユーザーに特権IDを与える」といった柔軟な運用も可能になるようです。
Azure Active Directory Domain Services/Azure Active Directory B2C
続いて、オンプレとクラウドの包括管理という観点から、2015年10月にプレビューとなった「Azure Active Directory Domain Services」と、2015年9月にプレビューとなった「Azure Active Directory B2C」を紹介しました。
Azure AD Domain Servicesは「サービスとしてのドメインコントローラー」というべきもので、Azure仮想マシンをドメインに参加させる機能です(図3)。LDAP、Active Directoryドメイン参加、NTLM、Kerberos認証を利用できます。
「アプリケーションの書き換えが不要で、既存資産のAzureへの移行が簡単にできるようになります。例えば、IDの要件を考慮することなく、Azure仮想マシンにSharePointやSQL Serverを使用するアプリケーションをデプロイできます。これにより運用コストも削減できます」(Dvir氏)
Azure AD B2Cは、コンシューマー向けサービスのIDをAzure AD上で管理するための機能を提供します(図4)。
「iOS、Android、Windows、Webアプリケーションなどで顧客がサインアップに使う、何千万ものID情報を一元的に管理することができます。FacebookやGoogleの認証サービスもサポートしています」(Dvir氏)
Dvir氏はセッションの最後に「アイデンティティーはエンタープライズモビリティの中核です。オンプレミスとクラウドにあるギャップを埋めるのがAzure AD Premiumです」とあらためて説明。これからもユーザーの生産性やセキュリティ、成長を支援するため、Azure AD Premiumの機能改善に努めていくことを強調しました。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
マイクロソフトとレッドハットがクラウドで提携
米マイクロソフトと米レッドハットはクラウドサービスに関して提携すると発表した。.NETに関して協業することも明らかにした。
レッドハット、Cloud FormsでAzureやDockerも管理可能に
米レッドハットは、クラウド管理ツールの最新版「Red Hat CloudForms 4」の提供を開始すると発表した。Microsoft Azureに対応した他、コンテナをサポートし、セルフサービスと操作性を向上させた。
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する
前回は、オンプレミスのActive Directoryから「Office 365」(Azure Active Directory)へ、アカウント情報を同期するためのツールを紹介した。今回は、最新のディレクトリ同期ツール「Azure Active Directory Connect」の特徴や具体的な実装方法を解説する。