Microsoft Entra ID、現時点はAzure Active DirectoryもしくはAzure ADの方がピンとくる方が多いかもしれません。
Microsoft 365 利用の認証基盤であり、既にMicrosoft Entra IDも“利用はしている”というケースをよく耳にします。
ただし、その設定は「その場しのぎ」または「最小限」の機能を導入したままではないでしょうか。
このような急激なクラウド化による脆弱性をターゲットにした攻撃や意図せぬ情報漏えいのニュースもめずらしくありません。
Microsoft 365 や Microsoft Azure の利用に不可欠なMicrosoft Entra IDの多種多様なセキュリティ機能を
無駄なく使いこなすべく、当社の構築サービスが推すMicrosoft Entra IDの機能5点を解説します。
目次
1. シングルサインオン(SSO)の実装
2. セキュリティの強化
3. 運用の軽減
4. オンプレミス環境アプリとの連携
5. 特権ID管理
1. シングルサインオン(SSO)の実装
シングルサインオンとは、一度の認証で複数のサービスにアクセスできるように複数のアプリケーションやサービスと認証を
連携させる、IDaaSそしてクラウドサービス全般の重要な機能です。
シングルサインオンを実装することより、ユーザーはサインインするだけで、連携されたクラウドサービスにシームレスに
アクセス可能となります。
特にMicrosoft Entra IDではユーザー向けに
● 使用するIDを一つに集約します。これにより複数のIDとパスワードの使い分けが不要となり、普段の操作を
スピードアップします。
● Microsoft365/Microsoft Azureはもちろん、Microsoft以外のSaaSアプリや他社クラウドサービスに連携するよう
設定が可能です。
対応SaaSアプリの一例 :Salesforce、Service Now、Zoom、Adobe Creative Cloud
対応クラウドサービスの一例:AWS、Google Cloud
● パスワード忘れ対策としてユーザー自身によるパスワードリセット機能を使用することができます。
このようにシングルサインオンはサポートコスト削減に直結する重要な機能であり、如何にシームレスな
操作となるよう実装することが鍵となります。
<Microsoft Entra IDのシングルサインオン実装に期待できる効果>
<シングルサインオン環境実装の一例>
2. セキュリティの強化
Microsoft Entra IDでは認証時のセキュリティをより強固なものにすることが可能です。
当社でもシングルサインオンの実装によるアクセス操作の簡略化に合わせて、「多要素認証」や「パスワードレス認証」など、
IDとパスワード以外の認証方法を併用しての実装を推奨しています。
- ● 多要素認証(MFA):
IDとパスワードによる認証に別の認証方法を組み合わせ、複数の認証を経て利用させる方法です。
主に生体認証やワンタイムパスワードとの組み合わせが一般的です。
認証方式を複数にすることで、ユーザーのIDやパスワードが漏洩した場合にも、追加分の認証方式でブロックします。 - ● パスワードレス認証:
パスワードを使用せずにログインする方法です。 - <Microsoft Entra IDによるセキュリティ強化例>
Microsoft Entra ID で使用できる認証方法は以下の通りです。(2024/5月時点)
(Microsoftサイトへリンク)
> Windows Hello for Business
> Microsoft Authenticator アプリ
- > Passkey (FIDO2)
- > 証明書ベースの認証
- > OATH ハードウェア トークン (プレビュー)
- > OATH ソフトウェア トークン
- > 一時アクセス パス (TAP)
- > SMS サインインおよび 検証
- > 音声通話の確認
3. 運用の軽減
Microsoft Entra IDではポータル画面でアクセス権やセキュリティを一元管理でき、システム担当者の管理作業を自動化し、
運用負荷とリスクを低減する機能が利用可能です。
● 条件付きアクセス
ユーザーやグループ、デバイスにアクセス条件と制御とを紐づけた管理を行う機能です。
ユーザーがアクセスする際のシグナル(ユーザー属性、デバイス情報、IPアドレスなど)を基に、設定された
条件のポリシーを自動で適用し、アクセスを制御します。
設定例)①営業ユーザー の ②Microsoft365へのアクセス を ③会社所有デバイスのみ許可 するように設定しておくと…
|
特定のユーザーやグループ |
管理者権限を持つユーザーは多要素認証を要求 |
|
IPアドレス範囲 |
社外ネットワークからのアクセス時に多要素認証を要求 |
|
特定のデバイス |
登録済みデバイスのみアクセスを許可 |
|
特定のアプリケーション |
Microsoft365へのアクセス時に多要素認証を要求 |
|
リアルタイムでのリスク評価 |
リスク高に対しアクセスをブロックする |
● 自動ユーザープロビジョニング/自動プロビジョニング
ユーザーがアクセスさせるアプリケーションに、ID とロールを自動的に作成し、保守/削除などのアクションを
自動化する機能です。(Microsoftサイトへリンク)
|
Microsoft Entra ID の事前統合プロビジョニング |
|
|
SCIM 2.0 をサポートするアプリケーション |
|
|
既存のディレクトリまたはデータベースを |
REST または SOAP インターフェイス/ |
|
SAML Just-In-Timeプロビジョニングをサポートする |
|
4. オンプレミス環境アプリとの連携
Microsoft Entra IDとオンプレミスの Active Directory は異なるサービスですが、Microsoft Entra IDでは両者のユーザー情報を
同期させ、両者が混在した業務環境で一元的かつ効果的な ID 管理が可能です。
ただしActive Directory はディレクトリアクセスに LDAPとNTLM、認証プロトコルに Kerberosを使用、Microsoft Entra ID は
クラウドサービスでよく使われるプロトコルに対応しており、これらを使い分けるような設計が必要となります。
Microsoft Entra IDとオンプレミスの Active Directoryの同期の手法も、
Connect同期(ADFS:Active Directory Federation Services)、Active Directoryに統合し、Active Directoryに保存された
ユーザー認証情報を使用する手法が主流でしたが、Microsoft社は2021年よりクラウド同期を推奨しています。
5. 特権ID管理
特権IDは特別な権限のIDを指し、通常システムやデータベースの設定変更などの管理者向けの操作を通常のユーザーIDで
操作できないように区別するために使用します。
特権IDは、外部からの攻撃や内部不正利用など企業にとって致命的なダメージを引き起こす可能性もあり、
セキュリティ対策として適切な管理が必要です。
Microsoft Entra IDの特権ID管理機能の利用により、適切な管理が容易となります。
- ● 特権IDへのアクセスを必要な期間のみ許可/許可のないユーザーや指定期間以外の特権IDの使用を防止。
- ● 特権IDのアクセスのレビュー、アクセス権限の適切に付与。
- ● 特権IDへのアクセスを監視、不正なアクセスを検知/対処が可能。
- ● 特権IDのアクセスを自動化、手動によるアクセス許可/削除の手間と漏れを防止。