Microsoft 365 (旧Office 365)を導入する際、オンプレミスのAD環境のままではシングルサインオンが実行できません。シングルサインオンを実現するためには、ADFS・Azure AD・他社IDaaSいずれかの導入が必須となります。
さまざまな働き方に合わせてMicrosfot 365をより安全・安心に使用するためにも、オンプレミスとクラウドサービス両方におけるシングルサインオンの実現方法をマスターしましょう。今回はMicrosfot 365でシングルサインオンを導入する必要性や、実現方法を解説します。
Microsoft 365でシングルサインオンが必要な背景
Microsoft社が提供するMicrosoft 365は、時間や場所を問わずいつでも利用できる利便性の高さが人気のクラウドサービスで、今では多くの企業が積極的に採用しています。
しかし、自宅以外にもネットカフェをはじめとした公共施設など、不特定多数の場所からアクセスできる分、情報漏えいの危険性の高さも持ち合わせています。そこでシングルサインオンのサービスを導入すれば、アクセスコントロール機能により、社内などの決められた場所、もしくは社内で利用が認められた機器でしか、Microsfot 365へのアクセスができないように設定することができ、オンプレミス同様にセキュリティ性を高められるため、安全かつ快適に利用できるようになります。
またMicrosfot 365以外にも複数のクラウドサービスを利用している場合は、複数のパスワードを覚えなければいけないといった課題も生じ、適切に運用していなければ、パスワードを紛失または情報が漏えいしてしまう可能性があります。シングルサインオンでは、複数のクラウドサービスに同じパスワードでログインできるようになるため、複数のクラウドサービスをスムーズに活用できるようになり、生産性や利便性も向上します。このようにシングルサインオンの導入により、セキュリティ性と利便性の両方が高められることから、Microsfot 365にはシングルサインオンが必要であるという認識が広まりつつあります。
「シングルサインオン(SSO)とは何か?導入メリットから実現方法まで」もご参考にしてください。
方法1:ADFSを構築する
Microsfot 365にシングルサインオンを導入するには、3つの実現方法があります。1つ目の方法はADFSを用いる方法です。詳しい実現方法をご紹介します。
ADFSを用いた実現方法
ADFSを用いた実現方法では、すでに構築してあるオンプレミスADにADFSサーバを立てて、Microsfot 365に接続します。
はじめにActive Directory フェデレーションサービスをインストールし、適用可能なすべての更新プログラムをダウンロードしたのち、インストールを開始します。
次にサードパーティの証明機関 (CA) から証明書を取得します。Microsfot 365 を使用するにあたり、「このADFS サーバが信頼できるものである」という証明書が必要となるためです。
証明書の署名要求(CSR)を生成するには、フェデレーションサーバー名を[共通名] フィールドに追加しておくことが必要です。CSRファイルをサードパーティのCAに送信すると、CAが署名した証明書を返信してくれます。
次に「Certlm .msc」 を実行し、コンピューターの証明書ストアを開きます。ナビゲーションウィンドウから[個人][証明書] と順に展開し、証明書フォルダーを右クリックしたら、[インポート]をクリックしましょう。
続いてADFS を構成します。ここでは任意のアカウントをサービスアカウントとして使用できますが、パスワードが期限切れになった場合、ADFS は動作が停止するので注意しましょう。
次にMicrosfot 365 ツールをダウンロードします。[アクティブユーザー] を選択後、[シングルサインオン] 、 [セットアップ] とクリックします。
最後にMicrosfot 365 へのドメイン追加を行います。追加手順は以下のとおりです。
- https://admin.microsoft.com/の管理センターにアクセス
- [設定]→[ドメイン]へ移動
- [ドメインの追加]を選択
- 追加するドメイン名を入力し[次へ]をクリック
- ドメインの所有の確認方法を選択
- Microsfotでのドメイン使用のために必要なDNS変更の方法について、Microsfotによる自動構成か自分で追加するかを選択
- 自分で追加する場合は手順に従い、必要なレコードを選択
- [完了]を選択
そしてADFS を Microsfot 365 に接続すれば完成です。
ADFSが適する状況
ADFSを用いる際は、まず自社にADが導入済であることが前提条件となります。Microsfot 365を認証するには、正規の利用者が正しくアクセスしていることを伝達するため、ADによる認証が必要となるためです。ADFSが適している状況としては、オンプレミスのAD主体の運用をしたい場合が挙げられます。オンプレミスADではIDやパスワードのみでなく、デバイスや接続元IPアドレスの識別も行えるため、細かな制限ができます。そういったセキュリティポリシーを持つ企業にとってはオンプレミスのADが向いているため、ADFSによるSSOが適していると言えます。
また、ADFSを構築するためには、多数のサーバの導入と運用・管理が必要となるため、コスト面だけでなく、人的負担が大きくなりやすい一面もありますが、ADFS導入により、作業効率化やセキュリティレベルの強化につながるため、自社でサーバを運用・管理できるITスキルの高い大企業にはADFSが適しているでしょう。
方法2:Azure ADのSSO機能を用いる
2つ目の方法は、Microsfot 365に付属する「Azure AD」を用いた実現方法です。詳しい実現方法をご紹介します。
Azure ADによる実現方法
Azure ADは、Microsoft社が提供するクラウドの認証サービスであるため、オンプレミスADとは別物です。オンプレミスADには、クラウド上のSSOは装備されておらず、あくまでもローカルネットワーク上におけるSSOのみを担っています。そのため、認証基盤はオンプレミスなのに、クラウドサービスの利用によって全体のシステム環境はオンプレミスとクラウドが混在し、利便性やセキュリティ面を考えると、その環境は十分とは言えません。この問題を解決すべく、Azure ADをオンプレミスADに接続することにより、認証基盤とシステム環境をクラウドに統一することができます。
実現する手順を説明します。まず、Azure AD Connect用のサーバにサインインした後、認証基盤統合ツールであるAzure AD Connectをダウンロードしましょう。「Azure AD Connect.msi」を実行し、[簡単設定を行う]を選択すると、設定を自動で行ってくれ、パスワード同期が自動構成されます。
次に全体管理者権限を持つユーザーの情報、そしてEnterprise Admins権限を持つユーザー情報を入力すると、インストールが完了します。これでAzure ADからMicrosfot 365にログインできます。
なお、Azure AD Connectサーバの構築だけで接続ができます。
Azure ADが適する状況
Azure ADはWindows Server環境からの導入がスムーズであり、Windows10にはAzure ADへの参加機能が搭載されています。このため、Windows Server環境を所有する企業であれば、よりAzure ADの導入が適していると言えるでしょう。また、さまざまなクラウドサービスやアプリケーションを利用したい場合や社外からモバイル端末を利用したい場合でも、Azure ADがあれば、オンプレミスADでは実現できなかったクラウドサービスのアカウントを一括で管理できます。また、サーバ購入やデータセンターの費用が無料なので、費用を抑えつつクラウド上でのSSOを実現したい企業にはおすすめです。
方法3:他社IDaaSを用いる
3つ目の実現方法は、サードパーティが提供するIDaaSを用いるものです。IDaaSを用いた実現方法をご紹介します。
SSOサービスによる実現方法
他社のIDaaSを使用する際は、はじめに希望するIDaaSに申し込みを行います。選ぶIDaaSによっては、一部、対応機能制限がある可能性も考えられるため、事前に対応端末や内容をチェックしておき、他クラウドサービスの利用を検討している場合は希望するクラウドサービスが対応しているかも併せて確認しておくと安心です。
Microsfot 365からシングルサインオンへユーザー情報を取り込み、オンプレミスのADと連携します。次にシングルサインオンにユーザー情報を登録し、シングルサインオンからMicrosfot 365へログインします。新規作成する際は、ユーザーの権限に合わせて『管理ユーザー』または『一般ユーザー』を選択しましょう。
また、ユーザー情報登録してもMicrosfot 365ライセンスは未割当の状態であるため、必要に応じてMicrosfot 365ライセンスを付与しましょう。ライセンスの付与はMicrosfot 365管理画面から行えます。
次に自社の利用方法に合わせてセキュリティルールを編集したのちに、シングルサインオンのドメインを有効化します。これにより、Microsfot 365の認証サーバが、他社のIDaaSに切り替わります。
切り替わりには最長24時間ほどかかることもあり、この間は一時的にMicrosfot 365にサインインできないため注意しましょう。
実現完了後は、IDaaSからMicrosfot 365にリダイレクトされるようになります。
他社IDaaSが適する状況
シングルサインオンの導入を検討している方の中には、オンプレミスADの利用をディレクトリや端末の管理に絞り、シングルサインオンは別にしたいと考えている方も多いと思います。他社のIDaaSは、このようにオンプレミスADとあえて連携させたくない場合や、非Windows環境にあり、そもそもADを利用していない場合などに適しています。IDaaSだけを使用するのであれば、現在のオンプレミスADをそのまま継続して使い続けられるというのもメリットです。また、IDaaS固有の機能もあり、月額契約でリーズナブルな価格で利用できるなど、料金上のメリットも含まれます。
まとめ
シングルサインオンの実現方法は、企業のニーズに合った方法を選ぶことが第一ですが、利便性やコストの問題からIDaaSを検討する企業も増えつつあります。IDaaSはMicrosfot365と同じクラウドサービスであり、手軽に導入できるというメリットはとても大きいものでしょう。
HENNGEでは、Microsfot 365をはじめ、さまざまなクラウドサービスに対して包括的かつセキュアなサービスを実現する「HENNGE One」を提供しています。Windows、MacからiOS、Androidといったスマートデバイスなどマルチプラットフォームに対応しており、自由な働き方に合わせてセキュリティ対策を行います。求める機能に応じてコースを選ぶことができるため、企業のニーズに合わせて導入できるのも魅力です。Microsfot365をさらに活用するためにシングルサインオンの導入を検討している方は、ぜひHENNGEのセキュリティサービスを検討してみてはいかがでしょうか?
- カテゴリ:
- ID管理
- キーワード:
- セキュリティ対策