「Microsoft Entra ID」(旧名称:Azure AD)とは、Microsoftによるクラウドの認証サービスです。シングルサインオンや多要素認証、条件付きアクセスなど多数の機能を備えており、さまざまな企業で利用されています。本記事ではその特徴や機能、オンプレミスとの違いやメリットなどについて解説します。
Microsoft Entra ID(旧名称:Azure AD)とは?
「Microsoft Entra ID」とは旧名称「Azure AD」のことです。2023年7月からMicrosoft社が提供するID管理サービス「Microsoft Entra」の機能のひとつにまとめられ、Microsoft Entra IDと名称も変更されました。
Microsoft Entra IDは、Azure ADと同様、Microsoftがクラウドベースで提供する、認証・認可の一括管理サービスです。アカウント認証だけでなく、シングルサインオンの環境構築にも活用でき、オンプレミス環境のActive Directoryとも連携が可能です。
上記の通り、認証機能はシングルサインオン(SSO)に対応しているため、一度のログインで複数のクラウドサービスにアクセスが可能です。
ログインの際は多要素認証や条件付きアクセス、パスワードレス認証などを活用することにより、セキュアに接続してデータを保護できます。
またユーザーやグループによってアプリケーションを制限できる機能もあり、ハイブリッドIDを設定すればクラウドだけでなくオンプレミスの環境にアクセスすることも可能です。こうした機能を活用することにより、ユーザーの利便性を高めて業務の効率化を実現できるだけでなく、企業のIT担当者の負担も軽減できます。
Microsoft Entra IDとActive Directory(オンプレミスAD)の違いとは?
Microsoft Entra IDとWindows Serverに使われているActive Directory(オンプレミスAD)は、どちらも認証基盤ではあるものの、利用用途が異なります。
オンプレミスADは、社内のネットワークに接続する際に使われる認証基盤です。一方Microsoft Entra IDはクラウドサービスの認証基盤です。
それぞれ用いられているプロトコルや管理方法も異なります。
オンプレミスADでは、社内の閉じたネットワークにのみアクセスするため、「Kerberos」というプロトコルでの認証が基本です。Kerberos認証では一度目の認証で有効期限付きのキーを発行し、シングルサインオンを実現します。
一方、Microsoft Entra IDはインターネットを介して接続するため、SAMLやOpenID Connect、OAuthなどさまざまな認証プロトコルを使用します。
またデバイスの管理も、オンプレミスADでは企業のポリシーを適用するのに対し、Microsoft Entra IDでは「Intune」というツールを併用し、両者を連携させることによりアクセスできるデバイスを管理します。
Microsoft Entra IDと似ている言葉との違い
Microsoft Entra IDとMicrosoft Azure
Microsoft Entra IDと似た名称として「Microsoft Azure」という存在がありますが、双方の間に直接的な関係はありません。AzureはMicrosoftが提供するクラウド型のプラットフォームで、クラウド上でサーバーやネットワークといったITインフラを提供しています。そのため、同じクラウドサービスであってもMicrosoft Entra IDとAzureでは役割が異なります。また、Microsoft 365と契約した際に、自動的にMicrosoft Entra IDを作成されてしまうケースがよくありますが、これはAzureとは関係なくライセンスが付与されています。
Microsoft Entra IDとADFS
続いてよく同じ意味で扱われやすいMicrosoft Entra IDとADFSですが、どちらもオンプレミスADとクラウドとの間でシングルサインオンを実現するソリューションであることに変わりはありません。また、アクセス制御機能に関しても大きな差はないといえるでしょう。
しかしサーバー構築においては、両者には歴然とした違いがあります。シングルサインオンを実現するために、ADFSの場合は複雑なサーバー構築が必要ですが、Microsoft Entra IDは同期のためのサーバー1台で実現可能です。そのためMicrosoft Entra IDでは導入・運用にまつわるコストを抑えられます。
Microsoft Entra IDを認証基盤に設定するメリット
セキュリティ性を高められる
クラウドサービスを利用する上で一番の懸念は、オープンなインターネットを介することによるセキュリティ面の不安です。Microsoft Entra IDではゼロ・トラストの概念に基づき、多要素認証や条件付きアクセス、サインインログの監視などを活用して、幾重にもセキュリティ対策を講じられます。
また、グループを作成してユーザー権限やアクセス管理を一元的に行えるため、ヒューマンエラーも予防でき、高いセキュリティ性を維持できます。
管理者の負担を軽減できる
クラウドサービスであるMicrosoft Entra IDでは、トラブルの際のメンテナンスやソフトウェアのアップデートといった運用・保守に関わる作業はベンダー側が行ってくれます。
また、組織IDの管理機能を活用して従業員やユーザー、取引先などのアクセス制御を細かく設定することで、ログインのたびに管理者が対応せずとも一元管理が可能です。さらに最近ではセルフパスワードリセットの機能も追加され、管理者の負担は大幅に軽減できるようになりました。
さらにシングルサインオンでオンプレミスとクラウド、Microsoft Entra IDと他社のクラウドサービスを柔軟に横断できることにより、管理者だけでなく従業員全体の利便性を高め、作業効率を向上できます。
コストの削減につながる
Microsoft Entra IDに備わった機能をオンプレミスで準備しようとすると、サーバー構築のための初期費用だけで相当なものになります。しかしクラウドサービスなら初期費用に加え、メンテナンスなどの運用にかかる費用も削減できます。
ただし、デバイスやアプリケーションごとのアクセス制限や、サインログの閲覧といった機能は有料プランでなければ利用できないので注意しましょう。
Microsoft Entra IDでSSOを実現させるには?
Microsoft Entra IDを用いてシングルサインオンを実現するには、クラウド・オンプレミスADの2つの方法があります。
Microsoft 365と他社のクラウドサービスのシングルサインオンを行いたい場合は、Microsoft Entra IDのシングルサインオン機能に登録するだけで実現できます。SAMLやOpenID Connectでは、企業間でパスワード代わりにチケットと呼ばれる情報をやり取りする、フェデレーション方式が活用されており、シンプルな操作でシングルサインオンが可能です。
一方、Microsoft Entra IDでMicrosoft 365とオンプレミスADのシングルサインオンを実行するには、「Azure AD Connect」を使ってMicrosoft Entra ID・オンプレミスAD双方の連携を行わなければなりません。
SSO環境の具体的な構築方法について、詳しく知りたい方は以下のサイトをご覧ください。
関連記事はこちら
まとめ
テレワークなど柔軟な働き方が普及しつつある現在、どこからでも社内システムやネットワークにアクセスできることが重要なのはもちろんのこと、セキュリティ対策は必須です。 Microsoft Entra IDはシングルサインオンに対応できるだけでなく、多要素認証や条件付きアクセスなどさまざまなセキュリティ機能を備えており、多様な働き方により業務効率化を目指す現代の企業活動に即したソリューションと言えるでしょう。
「HENNGE One」のようなサードパーティ製のIDaaSを利用すれば、より安価に二要素認証機能を備えたシングルサインオン環境の構築が可能となります。また昨今、連絡や問い合わせの主な手段になっているメールについても、誤送信対策や監査対応など、幅広いセキュリティ対策を備えています。
テレワーク時代のセキュアなクラウド環境に興味をお持ちの方は、「HENNGE One」も選択肢のひとつとして検討してはいかがでしょうか。
