「社内環境をクラウドに移行して、運用や管理コストを削減したい」 「SaaSアプリを活用して、業務のスピードアップを図りたい」 「リモートワークを推進して働き方改革を実現したい」
こんなご希望をお持ちの方には、Microsoft AzureやMicrosoft 365が強力なツールになります。しかし、導入を考えるうえでは「個人アカウント情報をどう管理するか」という課題に直面します。特にクラウドに移行しても現在の企業ドメインを引き続き使えるか、Active Directoryのドメイン情報がどうなるか気になるポイントかと思います。
そこで「AzureにおけるActive Directoryはどうなっているのか?」という疑問で、検索エンジンで「Azure Active Directory」で検索をすると、Microsoftの公式サイトでMicrosoft Entra ID (旧称 Azure Active Directory)というページが表示されます。
しかしこのページを見ても、オンプレミスのActive Directoryをクラウドに移行しようと考えていた方は「欲しい情報とは違う」と感じるかと思います。このページで紹介されているのは、Windows Server上でのドメイン情報を管理する「Active Directory」のAzure版ではなく、SaaSなどのクラウドサービスでアカウント管理を行う「Entra ID(旧 Azure AD)」の説明で別サービスの説明がされているからです。
そこで本記事では、Active DirectoryとEntra ID の違いを整理し、今後のクラウド化に向けたヒントをお届けいたします。
Active DirectoryとEntra IDの違いとは?
Active Directory (AD) と Entra ID (旧Azure AD) はどちらもユーザーアカウントの管理を行いますが、それぞれが利用される場面や技術的な違いがあります。以下で、両者の特徴を整理します。
Active Directory(AD)とは?
Active Directory(AD)は、オンプレミス環境でのユーザー管理とリソース管理を行うシステムです。Windows Server上で動作し、企業内ネットワークにおいてユーザー認証、アクセス制御、リソース(ファイル、プリンタなど)の管理を担います。
- 利用シーン: 企業の内部ネットワークにおけるユーザー認証、ドメイン参加PCの管理、サーバーアクセス制御など
- 認証プロトコル: Kerberos、LDAPなど
- 特徴: 主にオンプレミスの環境内で完結し、インターネットを介さない運用
Entra IDとは?
Entra IDは、クラウドベースのディレクトリサービスで、主にSaaSアプリケーション(Microsoft 365やその他のクラウドサービス)へのアクセス管理や認証を行います。オンプレミスのADとは異なり、インターネットを経由してクラウド上で動作します。
- 利用シーン: クラウドアプリケーションの認証(Microsoft 365、Azureポータル、Salesforceなど)、リモートワーク環境でのユーザー管理
- 認証プロトコル: SAML、OAuth 2.0、OpenID Connect
- 特徴: クラウドサービスやリモートワーク環境でのアクセス管理に特化
「Active Directory」と「Entra ID」はどちらもMicrosoftがユーザーアカウントを管理するために提供するサービスのため、同じ機能をもっていると誤解されがちですが、役割が異なります。
- Active DirectoryとEntra IDは管理対象が異なる
ADは企業内のPCやサーバーなどのデバイス、ファイルサーバーなどのリソース管理を行います。一方、Entra IDはクラウドアプリケーションへのアクセスや認証、ID管理が中心です。 - Active DirectoryとEntra IDは認証の仕組みが違う
ADは主にKerberosやLDAPというプロトコルを使って社内ネットワーク内の認証を行いますが、Entra IDはSAMLやOAuthなどのクラウド向けの認証プロトコルを使用します。この違いにより、両者は異なる用途で使われることが多いです。
Entra IDでできること
Entra IDは、クラウド上でのユーザー管理やアプリケーションへのアクセスを制御する強力なツールです。ここでは、Entra IDが提供する主な機能をご紹介します。
ユーザー管理
Entra IDは、ユーザーアカウントをグループ単位で管理し、各ユーザーが利用できるアプリケーションや認証情報の管理を簡単に行うことができます。たとえば、部署や役割に応じてアクセス権限を設定し、業務に必要なアプリケーションだけにアクセスできるように調整可能です。これにより、組織全体の効率を向上させつつ、セキュリティも強化できます。
アプリケーション管理
Entra IDでは、ユーザーごとにどのアプリケーションを利用させるかを細かく設定できます。クラウドアプリケーションを統合管理している場合でも、各職種や役割によって必要なアプリケーションは異なるため、グループ単位や個別ユーザーに合わせたアプリのアクセス権を設定することが重要です。たとえば、営業チームには営業用のアプリを、技術チームには技術系のアプリを提供するといった管理が容易に行えます。
シングルサインオン (SSO)
クラウド環境の大きな利点の一つは、複数のアプリケーションにシームレスにアクセスできる点です。Entra IDのシングルサインオン機能を使えば、ユーザーは一度のログインで複数のSaaSアプリケーションにアクセスでき、毎回の認証作業を省略できます。これにより、業務の効率化とユーザー体験の向上を実現するとともに、セキュリティリスクも軽減されます。
デバイス管理
Entra IDでは、社内やリモートからアクセスするデバイスの管理が可能です。従来のように社内のネットワークからのみアクセスできるわけではなく、社外のネットワークからも安全にアプリケーションを利用できるように、登録されたデバイスのみにアクセスを許可することができます。BYOD(個人端末の利用)も可能ですが、必要に応じてセキュリティレベルを高め、端末ごとの管理を徹底することが可能です。
多要素認証 (MFA)
Entra IDの多要素認証機能は、従来のユーザー名とパスワードだけでは不十分な場合に、セキュリティをさらに強化するために使われます。たとえば、許可されたデバイスからのアクセスでは多要素認証をスキップし、それ以外の端末では必ず多要素認証を要求する、といった柔軟な運用が可能です。これにより、セキュリティ要件を満たしつつ、ユーザーの利便性も確保できます。
柔軟なセキュリティ設定
Entra IDは、接続元のIPアドレスやデバイスの種類に基づいてアクセスを制御することもできます。たとえば、社内ネットワークからのアクセスは簡単に、社外からのアクセスは多要素認証を要求する、といった形で使い分けが可能です。この柔軟性により、リモートワーク環境でも安全にアプリケーションやデータにアクセスできる環境を構築できます。
オンプレミスのActive DirectoryとAzureの連携
Entra IDとオンプレミスのActive Directory(AD)を連携させることで、より統合的なアカウント管理が可能になります。
オンプレミスのActive DirectoryをEntra IDに連携する方法
Microsoft Entra Connectというサーバーをオンプレミス環境に構築することで、Active Directoryのユーザー情報をEntra IDに同期させることができます。この仕組みにより、クラウドとオンプレミス間で一貫したアカウント管理が実現できます。
ユーザー情報は基本的に、オンプレミスのADからEntra IDへの一方向で同期され、通常はオンプレミス側のユーザー情報がEntra ID側に反映されます。例えば、パスワードリセットなどの一部操作ではEntra IDからオンプレミスのADに情報を書き戻すことも可能です。
Microsoft Entra Connectを使用してADとEntra IDを連携させることで、ユーザーは個別にアカウントを管理する必要がなく、シームレスにリソースへアクセスできます。また、管理者側にとっても、オンプレミスとクラウドで別々にアカウントを運用する手間が省け、運用の効率化が図れます。
さとりファクトリではEntra IDの導入からその後運用まで、お客様のIT活用をサポートしています。ご興味があればお気軽にご連絡ください。
コメント