Azure Active Directory のプラン別機能について

Azure Active Directory (Azure AD)とは

クラウドベースの ID サービス (IDaaS) で、シングルサインオンや条件付きアクセス、多要素認証などの機能を提供しています。
ただ、Active Directoryという名前がついていてもドメインコントローラーの機能は提供されません。
ドメインコントローラーが必要なら Azure AD Domain Services の導入や、オンプレミスADとAzure ADの連携のためのAzure AD Connectの導入を検討ください。
また、Azure AD B2C や Azure AD B2B といった顧客ID・アクセス管理だったりコラボレーションを提供していますがここでは割愛します。

Azure AD の機能とプランによる違い

Azure AD のプランはFree、Office 365 アプリ、Premium P1、Premium P2の4つが提供されています。(2022/03/02現在) Office 365 アプリはO365などのサブスクリプションを購入したテナントに適用されるプランです。
Premiumは有償プランとなり、個別購入もしくはMicrosoft 365 E3以上に同梱される形で提供されます。
以下はプラン別の提供機能の違いになります。

機能 Free O365 P1 P2
ユーザー/グループ/デバイス管理
外部ユーザー連携
オンプレミスAD同期
カスタムドメイン
シングルサインオン
セルフパスワードリセット ×
多要素認証 ×
IP制限 × ×
エンタープライズアプリケーション
レポート
アプリケーションプロキシ ×
不正アクセスアラート × × ×
条件付きアクセス × ×
リスクベースの条件付きアクセス × × ×
アプリの条件付きアクセス(MCAS統合) × ×
Identity Protection × × ×
Privileged Identity Management × × ×

公式サイト情報はコチラ
docs.microsoft.com

テナントについて

Microsoft社が提供するクラウドサービスにはテナントという考え方があり、テナント内は自社の領域となります。
例えて言うならオフィスビルだったりマンションといったものでしょうか。
認証時の画面はMicrosoft社が用意している共有のものを使用しますが、アカウントを入力した時点でテナントの判別がされます。
アカウントの@以降、ドメインでの判断となります。
これによりサインインするテナントへ割り振りされるのです。

機能について

よく使う機能を抜粋して紹介します。

ユーザー/グループ/デバイス管理

  • ユーザー管理 アカウントの管理、権限ロールの管理ができます
  • グループ管理 セキュリティグループ、Microsoft 365グループの管理ができます

    • セキュリティグループ:一般的なユーザー・デバイスを管理するためのグループでメールアドレスを有効化することも可能(Exchange Online側で作成する必要がありクラウド側のグループでは後から変更が不可)
    • Microsoft 365 グループ:Teamsのチームの管理などにも使われ、M365内のアクセス制御用途で使うことができる

オンプレミスAD同期

オンプレミスADのアカウント/セキュリティグループ/デバイスを Azure AD と同期する機能。
Azure AD Connect サーバーを使って同期する。
既存でADでアカウント管理している場合にはこちらを構成することで、オンプレADとのシングルサインオンが実現できる。
また、AD Joinしているデバイスを連携する Hybrid AD Join を構成することで、オンプレADに参加しているデバイスMicrosoft Intune で管理するために連携したりもできます。

カスタムドメイン

通常 Azure AD テナントを作成した場合、*.onmicrosoft.com というドメインが割り当てられます。
上記とは別に購入したドメインを割り当てることも可能です。

多要素認証

Multi-Factor Authentication が利用できます。

  • 電話
  • SMS
  • Microsoft Authenticator アプリ

追加として Windows Hello for Business なども対象とすることが可能です。

docs.microsoft.com

IP制限

クラウドサービスなので場所を問わずという考え方がゼロトラストですが、アクセス元IPを制限して利用させることも可能です。
この機能はP1以上が必要となります。

エンタープライズアプリケーション

Azure AD 上でクラウドサービス等をアクセス管理することができます。
SAML連携することでシングルサインオンの実装も可能です。

アプリケーションプロキシ

オンプレミスのWebアプリケーションを外部に公開するための機能です。

条件付きアクセス

ユーザー、デバイス、場所などを条件にMFAを強制したり、Intune管理されているデバイスのみアクセス可能にしたりと言った制限がかけられます。
リスクベースの条件付きアクセスを使うことでサインインリスクやユーザーリスクを条件に入れたり、アプリの条件付きアクセスを使うことで Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security [MCAS]) を通じてDLP/AIPを連携させてセッション制御することも可能です。

Identity Protection

サインインリスクやユーザーリスクを検知する機能で以下のようなリスクを特定できます。

  • 匿名 IP アドレスの使用
  • 特殊な移動
  • マルウェアにリンクした IP アドレス
  • 通常とは異なるサインイン プロパティ
  • 漏洩した資格情報
  • パスワード スプレー

Privileged Identity Management

Azure AD の特権ロール管理機能です。
常時特権ロールを割り当てないことにより不要な設定変更やリスクを回避できます。
割り当て可能なユーザー(グループで指定可能)を指定しておき、特権ロールを使用する際に承認を必要とすることでJust-In-Timeによる一定時間内の権限付与を可能にします。

docs.microsoft.com

まとめ

Azure AD は機能レベルによって購入するプランが変わりますので、必要な機能を検討してどのプランを導入するか決定していただければと思います。
セキュリティ観点ではP2まであった方がいいとは思いますが、最低限条件付きアクセス(Premium P1範囲)の導入を検討してみてはいかがでしょうか。

次回は条件付きアクセスをもう少し深く書こうかと思っています。