クラウド・モバイル時代におけるActive Directoryの認証とは？：これからのモバイル基盤（3/3 ページ）

[野明純，ITmedia]

機能6：Application Proxy

　Azure上にAzure ADを利用するリバースプロキシがあり、オンプレミスのWebアプリケーションをインターネット経由で利用可能にさせる仕組み。社内のDMZにリバースプロキシを展開せずに、Azure上に展開する。また、Application Proxyで接続クライアントが社内に登録されているデバイスかどうかチェックする機能、Workplace Joinの機能も有し、アプリケーション利用時のデバイス認証もできる。

機能7：多要素認証（Multi-Factor Authentication）

　ユーザーID、パスワードの認証に加えて、ユーザーが所持しているデバイス(携帯電話)を利用した多要素認証の仕組み。クラウド上のWebアプリケーションの認証だけではなく、自社内にMFAサーバーを構築することで、オンプレミスにある様々なシステム（リモートデスクトップサービス、VPNなど）との連携もできる。また、電話での応答認証だけではなく、Windows Phone、iOS、Android用にモバイルアプリケーションを提供しており、アプリケーションを使用した認証も可能である（図4参照）。

図4：多要素認証

機能8：パスワードリセット

　企業の中でもパスワードを数回間違えて入力した場合、ロックアウトする設定にしている場合がある。この場合、ユーザーが管理者に連絡を行い、管理者はパスワードを手動でリセットし、ユーザーに連絡するのが通常のオペレーションだ。企業によっては、この運用に負荷がかかっていたり、夜間の対応も課題になっているケースがある。

　Azure ADのパスワードリセット機能を使用すると、ユーザーはパスワードリセット用のWebページにアクセスし、事前に登録しておいた電子メールアドレス、または携帯電話のSMSに対してコードが送られ、本人確認を行う。その後、新たなパスワードを登録する。この後、すぐに前述したディレクトリ同期ツールを介してオンプレミスADに対し、新たに設定したパスワードを書き戻しする流れとなる。この機能を使えば、ユーザー自身でパスワードリセットを社外から様々な端末から実施できるので、運用負荷の軽減が期待できる（図5参照）。

図5：パスワードリセット

機能9：レポート

　Azure ADでは多くのアクセスおよび使用状況のレポートを用意している。この機能を利用することで、組織のAzure ADテナントの整合性やセキュリティを視覚化できる。この情報により、潜在的なセキュリティリスクがどこにあるのかを適切に判断し、これらのリスクを軽減する計画に役立てられるだろう。以下の図6は、出力可能なレポートだ。出力可能なレポートはAzure ADのエディションによって異なるので注意が必要となる。

図6：出力可能なレポート

　なお、Azure AD Premium の機能で提供可能な不規則なサインインアクティビティレポートは、機械学習アルゴリズムに基づいて、ユーザーの異常なサインインパターンを判断し、レポートする。例えば、あるユーザーが日本からのIPアドレスでサインインした数分後に、米国のIPアドレスからサインインすることは物理的に不可能だ。このような「異常」だと思われる行動を自動的に判断し、レポートするという具合だ。

　Azure ADには無償、ベーシック、プレミアム3つのエディションが存在する。エディションの違いは、利用可能な機能や登録可能なオブジェクト数が異なる点だ（図7参照）。

図7：Azure ADのエディション

Azure ADの未来

　本稿では、Azure Active Directory の機能について紹介した。今後リリース予定のWindows 10ではAzure ADのアカウントでデバイスにログオンできるようになる。オンプレミスのADにログオンせず、Azure ADにサインインするだけで社内外の様々なアプリケーションにシングルサインオンができる日も近いかもしれない。

野明純

セキュリティ製品のプリセールスエンジニアとして、2006年に日本マイクロソフト入社。アンチウイルス、ネットワークセキュリティ製品のプリセールス活動を行う。現在はWindows Server、System Center、Microsoft Azureといったインフラ全般を担当し、中でも認証系、仮想デスクトップ関連をメインに、法人顧客パートナへの製品訴求、セミナー講師などを行っている。