Microsoft Entra IDの機能解説(シングルサインオン、多要素認証、認証認可など)
本コラムではMicrosoft社が提供しているID管理サービスであるMicrosoft Entra ID(旧称AzureAD)の主な機能について紹介していきます。
MicrosoftのHPには2022年2月現在、ライセンスごとに以下のようなMicrosoft Entra IDの機能一覧ページを公開しています。
https://www.microsoft.com/ja-jp/security/business/identity-access-management/azure-ad-pricing
ただ、これだけだと各機能の内容が細かく記載されておらず、どんなことが実現できるのか不明瞭なところが多いように思われます。そこで、本コラムでは各機能のうち主要と思われるものをピックアップして紹介していきたいと思います。
このコラムを読むことで、Microsoft Entra IDはどういった機能を備えているのかを理解し、自社に置き換えた場合、Microsoft Entra IDを使うとどのようなソリューションができるか、そのためにはどのライセンスが必要になるのか、などが明確になれば幸いです。
目次
Microsoft Entra IDの主な機能
Microsoft Entra IDの主な機能として、Microsoftはホームページ上で以下のものを挙げています(情報は2022年2月時点のものです)。
| 認証、シングル サインオン、多要素認証 (MFA) |
| アプリケーション アクセス |
| 認可と条件つきアクセス |
| 管理とハイブリッド ID |
| エンドユーザー セルフサービス |
| ID ガバナンス |
| イベント ログとレポート |
| 現場担当者 |
参照:https://www.microsoft.com/ja-jp/security/business/identity-access-management/azure-ad-pricing
上記の項目について、主たる機能と思われるものを選んで紹介していこうと思います。今回のコラムでは「認証・シングルサインオン、多要素認証(MFA)」から「認可と条件つきアクセス」までを説明します。
Microsoft Entra IDで実現するスタイルズIDaaSサービスはこちら→
認証・シングルサインオン、多要素認証(MFA)
この機能は主に社外のクラウドサービスへサインインする際の認証に関する機能となります。
シングルサインオン
社外のクラウドサービスなどに対して、SAML認証でのシングルサインオンが可能となります(シングルサインオンの機能概要については別コラム参照)。この機能によりユーザはMicrosoft Entra IDへ一度サインインすれば、他のクラウドサービスについてはサインインすることなく利用することができます。現在Microsoft Entra IDではクラウドサービスへのアクセス権が割り当てられているユーザであれば、数量制限なく無制限でシングルサインオンアクセスすることができます。
認証
ここでいう認証というのは、オンプレミスのActive DirectoryからMicrosoft Entra IDへの認証方式になります。Microsoft Entra IDはMicrosoft Entra Connectというツールを使うことで、Active DirectoryのディレクトリをMicrosoft Entra IDに同期することができます。同期されたことにより、ユーザはActive Directoryのアカウント情報でMicrosoft Entra IDにもシングルサインオンできるのですが、このサインインする際の認証方式が大きく分けて3つあります。
- パスワードハッシュ認証
- パススルー認証
- ADFSフェデレーション
パスワードハッシュ認証というのは、オンプレミスであるActive Directoryのドメインユーザのパスワード情報をハッシュ化して、2分間隔でMicrosoft Entra IDへ同期することでActive Directoryのアカウント情報でMicrosoft Entra IDにもサインインできる認証方式のことです。現在Microsoft Entra Connectではこの認証方式が既定となっています。
パススルー認証は、パスワードハッシュ認証とは異なり、パスワード情報の同期はしません。認証の要求がユーザから送られてくるたびにパススルー認証エージェントがActiveDirectoryへ認証情報を確認する認証方式になります。
ADFSフェデレーションは上の2つとは異なり、ActiveDirectoryフェデレーションサービス(以降ADFSと称します)というサービスを使用した認証方式になります。以前は認証方式の異なるActiveDirectoryとMicrosoft Entra IDを取り持つサービスとしてADFSを使用することも多かったようですが、現在はコストやメンテナンス面を考えると上の2つよりも非効率なため、あまり推奨はされていません。
多要素認証
多要素認証とは、クラウドサービスにサインインする際の認証方式を多要素にすることができる機能になります(多要素認証の機能概要については別コラム参照)。Microsoft Entra IDではモバイルデバイスを用いたSMSでの確認コードによる認証やMicrosoft社の認証アプリであるMicrosoft Authenticatorによる認証のほかに、ハードウェア・ソフトウェアのトークンによる認証なども設定できます。
パスワードレス
パスワードレスとは読んで字のごとく、パスワードを使わない認証方式になります。Microsoft Entra IDでは現在以下3つのパスワードレス認証を使うことができます。
- Windows Hello for Business
- Microsoft Authenticator
- FIDO2セキュリティキー
Windows Hello for Business
Windows HelloはWindows10デバイスがサポートしている生体認証やPINコードを使用した認証になります。虹彩認証や指紋認証などの生体認証や、デバイスにPINコードを設定することで、Microsoft Entra IDにサインインする際にパスワードを使わずに設定した生体認証やPINコード情報を入力する形になります。
Microsoft Authenticator
Microsoft AuthenticatorはMicrosoftの認証アプリでこのアプリをパスワードレス認証に使用することができます。その認証方法は次の通りです。
まず、Microsoft Entra IDにサインインするアカウント情報を入力します。すると、Microsoft Authenticatorで認証を承認するよう求められ、画面上に数字が表示されます。数字が表示された後にMicrosoft Authenticatorのアプリを開くとアプリの画面に3つの数字が表示されるので、先ほど表示された数字と同じものをタップするとサイン要求が返され、問題なければそのままパスワードを入力することなくサインインが完了となります。
FIDO2セキュリティキー
FIDO(ファイド)2セキュリティキーはFIDOアライアンスが策定した生体認証規格であるFIDO2を搭載したセキュリティキーでの認証方式になります。
Microsoft Entra IDで実現するスタイルズIDaaSサービスはこちら→
アプリケーションアクセス
アプリケーションアクセスはクラウドサービスのアクセスに関する機能のことです。
SaaSアプリと先進認証
Microsoft Entra IDでは事前統合されたSaaSアプリをMicrosoft Entra アプリケーション ギャラリーと称しています。これらのアプリケーションはシングルサインオンやプロビジョニングのチュートリアルをMicrosoft側で用意しており、提示された手順に沿って設定するだけで容易にシングルサインオンやプロビジョニングを設定できます。
参照:https://www.microsoft.com/ja-jp/security/business/identity-access-management/integrated-apps-azure-ad
クラウドアプリ検出(Microsoft Defender for Cloud Apps)
クラウドアプリ検出というのは、各事業部門側が個別に契約し使っているクラウドサービス(いわゆるシャドーIT)などを検出する機能のことで、Microsoft Defender for Cloud Apps(旧称Microsoft Cloud App Security)というサービスを使って検出をします。Microsoft Defender for Cloud Appsはクラウドサービスの制御などを行う、いわゆるCASBとよばれるサービスになります。
認可と条件つきアクセス
認可・条件つきアクセスは、クラウドサービスにアクセス可能な利用者・デバイスなどに制限をかけて、管理者の許可した権限において利用を許可する機能です。
ロールベースのアクセス制御
ロールベースのアクセス制御とは、Azureのリソースやユーザ・アプリケーションの管理のために割り当てられたロールごとにアクセス制御をかけることができる機能です。Microsoft Entra IDについてはMicrosoft Entra IDロールとよばれるロールがあります。たとえば、「ユーザー管理者」というロールを割り当てられたユーザは、ユーザとグループに関して管理できる権限を持つことができます。
このロールという機能は必要な権限を役割ごとにひとまとめにしたもので、ユーザごとに権限を一つずつ付与する手間を省くことができます。こうしたロールによるアクセス制御をRBAC(Role-Based Access Control)とよびます。
条件つきアクセス
条件つきアクセスは、ユーザがクラウドサービスなどにアクセスする際、許可するデバイスや場所、プラットフォームなどを設定することができる機能です。問題なく認証されたユーザについても、管理者が許可したデバイス・場所などの条件をクリアしない限りアクセスを制限することができます。
また、条件つきアクセスでは認可された後のサービスの利用についても監視することができます。たとえば特定のクラウドサービスについて、情報資産の持ち出しを防ぐため、データのダウンロードをブロックするといった機能も備えています(この機能は前述したMicrosoftのCASBであるMicrosoft Defender for Cloud Appsとの連携機能になります)。