ID およびアクセス管理サービスへの移行を決定する場合、Microsoft が提供する各階層のコストと機能を考慮し、必要な範囲を手頃な価格で利用できるようにする必要があります。 この製品については、その名前から混乱が生じがちですが、Azure ADはクラウド上のActive Directoryではありません。 Azure ADはクラウドのActive Directoryではありません。どちらもID管理システムを主要な構成要素としていますが、まったく異なるシステムです。
Active Directoryとは?
Active Directoryは、組織とそのリソースへのアクセスを制御する、Windows Serverオペレーティングシステム上で構内実行するように設計されたMicrosoftディレクトリサービスである。 Active Directory の一部は、Active Directory Domain Services サーバーの役割で、ドメインコントローラーとしても知られており、ユーザーのパスワードなどのデータをディレクトリに格納する機能を組み込み、ドメイン上の承認と認証のタスクを実行します。 ディレクトリ構造は、コンピュータアカウント、サーバーまたはプリンタ、基本的に、組織のネットワークに接続するすべてのデバイスまたはユーザーであることができるオブジェクトを使用します。
あなたは、いくつかのWindows Server展開にActive Directoryドメインサービスをインストールし、ディレクトリ階層内の最上位であるActive Directory森林内でドメインコントローラの役割を担うことができます。 Active Directoryは、フォレスト内のリソースに対して認証、アクセス制御、およびセキュリティ(グループポリシー)サービスを提供します。
Azure Active Directoryとは
Azure ADとしてより一般的に参照されるAzure Active Directoryは、クラウドベースのIDアクセスおよび管理制御サービスです。 Office 365 および Microsoft 365 サブスクリプションに含まれていますが、Microsoft は、さまざまなレベルの機能を持つ他の Azure AD エディションも販売しています。 Active Directoryと同様に、Azure ADは認証とアクセス制御サービスを提供しますが、クラウドユーザーとクラウドアプリケーションの固有のニーズをサポートするように特別に設計されています
Active DirectoryとAzure ADには多くの類似点がありますが、Azure ADは単にクラウド上のActive Directoryというわけではありません。 Azure AD は、従来の Active Directory 環境には存在しない、クラウド特有の機能を提供します。 例えば、Active Directoryはモバイルデバイスをドメイン参加させる方法を提供していませんが、Azure ADはMicrosoft Intuneと統合してモバイルデバイスを管理します。 同様に、Active DirectoryはWindows以外のシステムをネイティブにサポートしていませんが、Azure ADではLinuxマシンがマネージドIDを使用してさまざまなリソースにアクセスできるようになります。 Active DirectoryとAzure ADの違いについては、Microsoftのこちらのドキュメントを参照してください。
How does Azure AD work with on-premises Active Directory?
Active DirectoryとAzure ADはどちらも独立したディレクトリ環境として存在できますが、組織はオンプレミスのドメインコントローラーとAzure ADの両方で動くハイブリッドディレクトリを作ることが普通になっています。 Azure AD Connectは、Active DirectoryのユーザーアカウントをAzure ADにレプリケートし、ユーザーがローカルとクラウドベースのリソースにアクセスできる単一のIDを持つことができるようにします。 1つ目は、小規模な組織に推奨される無料オプションで、50万個のディレクトリ オブジェクトの制限があります。 これは主に認証とアクセス制御のメカニズムとして意図されており、ユーザーのプロビジョニングと、ユーザーアカウントの作成、削除、修正などの基本的なユーザー管理機能をサポートします。 これらのユーザーは、セルフサービスのパスワード変更を利用することができ、管理者は禁止されたパスワードのグローバルリストを作成したり、多要素認証(MFA)を要求したりできます。
Azure ADの無料層は、Azure AD Connectやパススルー クラウド認証のサポートなどの高度な機能もサポートしています。 さらに、Azure AD Free エディションでは、Active Directory Federation Services ベースまたはサードパーティ製の連携認証、およびシングルサインオン機能を使用できます。
Microsoftは、Office 365およびMicrosoft 365(具体的には、E1、E3、E5、F1、F3サブスクリプション)のAzure ADを、電子メールのExchange Onlineやコンテンツ管理のSharePoint Onlineなど、プラットフォーム上のアプリケーションを操作するために必要な基礎的ディレクトリサービスであるとみなしています。 これは、無料版と同じ機能と性能を備えていますが、99.9%の可用性というサービスレベル契約 (SLA) を遵守しています。 Free版にはSLAはありません。
Office 365 Apps版では、企業のブランディングなど、さまざまなカスタマイズも可能です。 おそらくより重要なのは、Office 365 Apps 版がデバイス オブジェクトの双方向同期をサポートしていることです。 これは、Azure AD内で行われた変更が、組織のデータセンターのActive Directory環境に伝搬され、その逆も同様であることを意味します。
Azure ADの無償版とOffice 365 Apps版に加え、MicrosoftはPremium P1およびPremium P2として知られる2つのプレミアム版も提供しています。 (プレミアム版には、Office 365 Apps 版に含まれるすべての機能と、ハイブリッド アイデンティティ、高度なグループ ベースのアクセス管理、および条件付きアクセスを中心とした追加機能が含まれています。 プレミアム版には、Oracle PeopleSoftなどのオンプレミスの人的資本管理ソフトウェアアプリケーションから記録を取り込むためのMicrosoft Identity Managerのサポートも含まれます。
P2版は最も機能が豊富で、ID保護とIDガバナンスに向けた機能が含まれています。
Microsoft Removes Azure AD Basic edition
Microsoft では Basic という別の Azure AD ティアを提供していましたが、このエディションを2019年の後半に除去しています。 この変更の前にAzure AD Basicを契約していた組織は、引き続きライセンスを使用することができます。 このティアは、Azure AD Office 365 Appsエディションと同じ機能セットを持っていましたが、1つの例外がありました。 544>
AzureADライセンスの選択
前述のように、Azure ADには4つのオプションがあります。 無料版は小規模な組織や開発/テスト環境に最適で、Office 365/Microsoft 365 版には Microsoft コラボレーション プラットフォームの機能と連携するための機能が追加されていますが、それ以上のものはありません。
Azure AD Premium P1 および P2 版は、高度なアクセス制御機能を必要とするエンタープライズクラスの環境を対象としています。 Azure AD Premium P2は、政府機関や医療機関など規制の厳しい業界の組織や、最強のセキュリティを必要とする組織に適している。 Premium P2を選択する主な理由は4つあります:
1. Premium P2のID保護機能は、疑わしい認証の試みを概観することができます。 例えば、ある国からサインインしたアカウントが、10分後には別の国からサインインしていることを検出するなど、ログインを調べ、そのリスクがどの程度あるのかを評価することができます。 管理者は、このような疑わしい認証の試行を、MFAを強制したり、アクセスを完全にブロックしたりするポリシーで自動的に処理することができます。 ID保護は、ユーザーアクセスに関連する多くのリスクを大幅に削減するため、P2への移行を推奨する最良の論拠の1つです。
2.Privileged Identity Management (PIM) は、Azure ADの上位アクセスアカウントを管理するためのコントロールセットです。 一時的に権利を付与し、完全なログと監査で削除するジャストインタイムアクセスなどのセキュリティ機能が含まれています。 また、これらの権限の有効化に際しては、正当な理由付けと通知を伴うワークフローを起動することができる。 環境における多くの不正な変更に対処しなければならない場合、PIMはコントロールを取り戻すのに役立つでしょう。 アクセスレビュー機能により、正しいスタッフのみが特定のリソースを使用できるようになります。 これは、スタッフのオンボードおよびオフボード時、または担当者が役割を変更したときに便利です。 また、既存のユーザーにチェックを入れて、リソースへのアクセスを確認し、これらの決定をアプリケーションの所有者に押し付けることもできます。 ビジネス要件やコンプライアンスルールに合わせて、定期的なチェックをカスタマイズすることができます。 エンタイトルメント管理は、IDライフサイクル、アクセスライフサイクル、および特権アクセスを管理するために自動化を使用する、IDガバナンス機能です。 内部および外部のユーザーに対して、グループやアプリケーションなどの組織のリソースへのアクセスを与えるための制御を提供する。 エンタイトルメント管理では、リクエストプロセスで使用されるSharePoint Onlineサイトやクラウドアプリのアクセス権などの各種リソースを束ねたアクセスパッケージを使用します。
Azure AD Premium P1 vs P2 価格比較
Azure AD Premium P1 は Office 365/Microsoft 365 E3 スイートに含まれ、Azure AD Premium P2 は Office 365/Microsoft 365 E5 スイートに付属しています。 Azure AD Premium P1 はユーザーあたり月額 6 ドル、Azure AD Premium P2 はユーザーあたり月額 9 ドルです。
Microsoft は P1 と P2 エディションで、テナントにサインインするか ID 関連の活動を行う月間アクティブ ユーザー (MAU) に対して異なる価格設定を提供しています。 最初の50,000 MAUは無料です。 それ以降は、P1エディションではMAUあたり0.00325ドル、P2エディションではMAUあたり0.01625ドルが課金されます。
どのパッケージを購入するかを決めるには、お金に見合うだけの価値を得るために、多くの調査と理解が必要です。
Test Azure AD with the Free edition
Azure ADは、定期的に新しい機能や能力を収集し、成長し続けています。 Azure ADのID管理機能の中には、社内外のユーザー管理、アプリケーションのアクセス管理、アカウント保護などが混在しています。
Azure ADを無償で試すには、無料のAzureテナントを設定し、ディレクトリを作成する必要があります。 その後、オプションでAzure AD Connectクライアントをインストールし、オンプレミスのActive Directoryオブジェクトを同期することができます。 Free エディションには、条件付きアクセスや MFA などの重要なセキュリティ機能がありません。 MFA の保護がない状態でクラウドに ID を置くことは避けたいものです。 オンライン検索でざっと調べたところ、最近の Black Hat カンファレンスのセッションで、これらの Azure AD セットアップをいかに簡単に攻撃できるかが説明されていましたので、実験を始める前に Azure AD テナントをロックダウンすることを強くお勧めします
。