前回は10年前の考えうる企業の一般的なIT環境と、クラウドを利用した現在のIT環境をマイクロソフトの製品とサービスで図示しました。今回から構成要素ごとに、過去と現在を比べてみましょう。今回の対象はクライアントデバイスを含めたID管理基盤です。

20年以上にわたり企業を支えてきたActive Directoryの今

企業のIT環境には、IDの認証とリソースへのアクセス許可を制御するためにID管理基盤が欠かせません。Windowsベースのネットワークの場合、20年以上前から「Active Directory」がその役割を担ってきました。Active Directoryは長年にわたって機能強化が行われてきましたが、最近は新機能が追加されていません。

最新のWindows Server 2022のActive Directoryでは、フォレストの機能レベルとドメインの機能レベルの最上位は「Windows Server 2016」です。つまり、Windows Server 2016以降、廃止された機能(「Windows Server 2003」機能レベルや「ファイルレプリケーションサービス」)はありますが、新機能は追加されていません。

  • Windows Server 2022のActive Directoryドメインコントローラー。フォレストおよびドメインの機能レベルの最上位は「Windows Server 2016」

    Windows Server 2022のActive Directoryドメインコントローラー。フォレストおよびドメインの機能レベルの最上位は「Windows Server 2016」

一方、Microsoft Azureでは、2013年2月から「Azure Active Directory(Azure AD)」を一般提供しています。サービスが正式版になった10年前は、まだ登場したばかりで存在感は薄かったと思いますが、ID管理基盤としての新機能の追加は継続的に行われています。

Azure ADに対して、オンプレミスで利用できた従来のActive Directoryは、「オンプレミスのActive Directory」や「Windows Server Active Directory」と呼ばれることもあります。

現在、サポート期間中のWindows 10およびWindows 11(Homeエディションを除く)は、「Azure AD参加(Azure AD Join)」をサポートしています。オンプレミスにサーバを持たない場合は、オンプレミスのActive Directoryなしで、Azure ADのクラウドサービスだけでID管理に必要な機能を利用することができます。

  • Windows 10/11はAzure AD参加をサポート

    Windows 10/11はAzure AD参加をサポート

例えば、「Microsoft 365(旧Office 365)」や「Windows 365 Cloud PC」(クラウドベースのVDI)は、Azure ADをID管理基盤として使用しつつ、Azure AD参加のWindows 10/11デバイスからシングルサインオン(SSO)で利用できます。また、Azure ADにより、Windows 10/11が備えるパスワードレス認証「Windows Hello for Business」(顔認証や指紋認証)や、「Microsoft Authenticator」アプリやSMS認証による多要素認証「Azure Multi-Factor Authentication(Azure MFA)」を利用できるようになります。

  • Azure MFAの多要素認証により認証を強化

    Azure MFAの多要素認証により認証を強化

Active Directory と Azure Active Directory の比較

ID管理基盤の移行は3つのシナリオで検討

現在の製品およびサービスで構築可能なID管理基盤について、3つのシナリオに分けて図に示しました。図の左は従来どおり、オンプレミスにWindows ServerのActive Directoryドメインコントローラーを設置し、デバイスをActive Directoryドメインに参加させ、オンプレミスだけでIDとアクセス管理を行うシナリオです。クラウドをまったく利用しない、あるいは利用が限定される場合に適しています。

  • マイクロソフト製品・サービスを用いたID管理基盤の構築シナリオ

    マイクロソフト製品・サービスを用いたID管理基盤の構築シナリオ

図の右はAzure ADのサービスだけで実現する「クラウドのみ」のシナリオです。オンプレミスをサーバレスにし、必要な場合はSaaSアプリやPaaSを利用する、IaaSの仮想マシンでサーバを構築します。Azure ADはクラウドアプリおよびAzure AD参加対応デバイス向けのID管理環境を提供します。オンプレミスのActive Directoryとは機能が異なるため、Kerberos認証やグループポリシー管理機能は提供しません。しかしながら、Azure仮想マシン(Azure VM)として動いているのなら、「Azure ADドメインサービス」を利用することで、管理不要(フルマネージド)なActive Directoryドメイン環境をAzure VMに提供することができます。Azure ADドメインサービスが提供するマネージドドメインには、Azure ADから一方向でディレクトリ同期が行われます。

しかし、既存のIT環境を持つ企業が、いきなりクラウドのみのシナリオに移行するのは無理があります。オンプレミスのID管理基盤を維持しながら、SaaSアプリも利用したい、クラウドへの移行も段階的に進めたいという場合は、図の真ん中で示したハイブリッドシナリオが適しています。

Azure ADはオンプレミスのActive Directoryと双方向でディレクトリ同期することができ、オンプレミスのIDによるSaaSアプリのSSOや、Azure MFAによる認証強化、パスワードレス認証など、クラウドのID管理機能が利用可能になります。ディレクトリ同期の方法には、現在、「Azure AD Connect同期」と「Azure ADクラウド同期」の2つの方法が用意されており、要件に基づいて方法を選択できます(両方を組み合わせることも可能)。「Azure ADクラウド同期」は比較的新しい方法であり、多くの企業に実績のある「Azure AD Connect同期」のほうが適しているでしょう。

以前は、ハイブリッドなID管理基盤を構築するために、「Active Directoryフェデレーションサービス(AD FS)」を導入する必要がありました。例えば、Azure MFAや証明書ベースの認証を必要とするパスワードレス認証などを行う場合などです。現在は、「Azure AD証明書ベースの認証(CBA)」が一般提供され、AD FSが必要な要件はほとんどなくなりました。例えば、オンプレミスにAzure AD参加に対応していないデバイス(Windows Serverなど)があり、そのデバイスからSaaSアプリをSSOで利用したい場合など、AD FSが必要になるケースは極めて限定されています。

マイクロソフトは、すでにハイブリッドID管理基盤を運用している企業や組織に対して、現在のAD FS認証から、AD FSを使用しないAzure AD認証に移行し、AD FSへの依存性を排除するように推奨しています。

アクセス・ID管理の製品ファミリー「Microsoft Entra」

最近、Azure ADに関連して「Microsoft Entra」という名称を目にしたことはないでしょうか。Microsoft Entraはアクセス管理やID管理の製品ファミリーで、「アクセス許可の管理(Microsoft Entra Permission Management)」、「検証済みID(Microsoft Entra Verified ID)」、「ワークロードID(Microsoft Entra Workload ID)」、「IDガバナンス(Identity Governance)」といったサービスで構成されます。

Azure ADは同サービスの一部になりました。しかしながら、これまでの機能が変更されることはありません。「Microsoft Entra管理センター」という新しいポータルも用意されていますが、Azureポータルにある「Azure Active Directory」ブレードも引き続き利用できます。