Microsoft Entra ID (旧称 Azure AD)認証で利用可能なトークン/セキュリティキー

クラウドサービスの認証基盤「Microsoft Entra ID (旧称 Azure AD)」

Microsoft社のEntra ID (旧称 Azure AD)は、「Microsoft 365」をはじめ、さまざまなクラウドサービスの認証基盤として利用されています。Microsoft Entra ID (旧称 Azure AD) のユーザーは、従来のユーザー名とパスワードを使った認証方法のほか、「FIDO2」のセキュリティキーやOATHに準拠したOTPトークンを使った認証方法を利用できます。基本パスワードを追加の認証方法で補完したり置き換えたりすることが可能になり、セキュリティを強化することができます。

国・地域をまたぐAzureの太いネットワーク網

「Amazon Web Services」や「Google Cloud Platform」など、さまざまなクラウドサービスがあるなかで、「Microsoft Entra ID (旧称 Azure AD)」の強みはネットワークの広さと地域間でのネットワークの太さです。Microsoft社の積極的な投資により、現在世界でトップ３に入る長さのバックボーンネットワークを保有しています。世界中に55か所のデータセンターを持ち、140か国で利用することができます。日本には東日本と西日本の2拠点があり、国内の多くの顧客が利用しています。

Azureの強みは、「リージョン（地域）」と呼ばれるデータセンター間のデータのやり取りが、Microsoft社の太いバックボーンネットワークを通じて行われることです。世界の国・地域をまたにかけたグローバルサービス展開や、VDI（Virtual Desktop Infrastructure：仮想デスクトップ環境）で、バックボーンネットワークの太さが信頼性を高めます。

Microsoft 365へのアクセス時にも利用できるので、「VDI on Azure」との親和性も高く、Microsoft 365上の大きなファイルにも高速にアクセスすることが可能です。

Microsoft 365などへのサインインを支援するMicrosoft Entra ID (旧称 Azure AD)

Microsoft Entra ID (旧称 Azure AD)は、クラウドベースのID、アクセス管理サービスのことであり、Microsoft 365、Azure portalのほか、多くのSaaS アプリケーションなど、外部リソースへのアクセスとサインインを支援しています。

今までは、クラウドが普及してもActive Directoryだけはオンプレミス（自社運用）環境で運用する必要がありました。Microsoft Entra ID (旧称 Azure AD) の登場により、企業の利用環境によっては、社内のデータセンターなどでドメインコントローラーなどのサーバーを運用することも不要になり、インターネットへの接続環境が整えば、活用が可能になっています。

企業のIT管理者はMicrosoft Entra ID (旧称 Azure AD) を使用して、ビジネス要件に基づいて自社のアプリやアプリリソースへのアクセスを制御できます。例えば、Microsoft Entra ID (旧称 Azure AD) を使用して、重要な組織リソースへのアクセス時に多要素認証を必須にすることもでき、セキュリティの強化に効果的です。

また、Microsoft Entra ID (旧称 Azure AD) を活用して、既存のWindows Server ADとMicrosoft 365などのクラウドアプリの間で、利用申請や需要が生じた際に割り当てや設定などを行い、利用や運用が可能な状態にする「ユーザープロビジョニング」を自動化することができます。さらに、ユーザーID と資格情報を自動的に保護し、アクセスガバナンス要件を満たす上で強力なツールとなります。

このほか、アプリ開発者は、アプリにシングルサインオン (SSO) を追加するための標準ベースのアプローチとしてMicrosoft Entra ID (旧称 Azure AD)を使用し、ユーザーの既存の資格情報を使用することが可能です。既存の組織データを使用したアプリエクスペリエンスのパーソナライズに役立つAPI（アプリケーション・プログラミング・インタフェース）も提供します。

Microsoft Entra ID (旧称 Azure AD)の基本機能

Microsoft Entra ID (旧称 Azure AD)にはクラウドサービスをセキュアに利用するために、様々な機能が備わっています。

1.クラウドサービスのアカウント管理

Microsoft Entra ID (旧称 Azure AD)の主要な機能は、各種クラウドサービスのアカウント管理機能です。Microsoftが提供するサービスの管理はもちろん、Salesforceなどの外部アプリケーションで活用できます。また、この管理機能の最大の特徴は、シングルサインオンで利用できる点です。通常、異なるクラウドサービスを利用している場合は、それぞれのサービスごとに別々の認証情報を用意しなければいけません。しかしMicrosoft Entra ID (旧称 Azure AD)では、認証連携により複数のクラウドサービスのアカウント情報とMicrosoft Entra ID (旧称 Azure AD)のアカウント情報を紐づけています。そのため、一度Microsoft Entra ID (旧称 Azure AD)のIDでログインするだけでMicrosoft以外のクラウドサービスも同じIDでセキュアに利用できます。

2.ID管理機能

Microsoft Entra ID (旧称 Azure AD)を利用したクラウドサービス認証では、通常のID・パスワード設定以外にも様々な方法が活用できます。近年、不正アクセスによるサイバー攻撃が注目を集めていますが、このような攻撃にはMicrosoft Entra ID (旧称 Azure AD)に搭載されている二要素認証が効果的であるとされています。そのほか、Microsoft Entra ID (旧称 Azure AD)には機械学習による検知機能が備わっており、怪しいサインインの検出も可能です。不正アクセスの手段が多様化する中で、新しい手法での攻撃を事前に捉える際にとても便利です。

3.ユーザー別アプリケーションアクセス管理機能

AzureADでは自社のクラウドサービスを様々なユーザーが使用する際にユーザー毎に利用できるアプリケーションを制限できるので、不必要なアプリケーションの使用を防げます。またこの機能は、ユーザーが使用できるアプリケーションのみを表示します。そのため、ユーザーは、予め制限がかかった状態でアプリケーションを選択・使用するため、自身の権限について気にすることなく利用できます。

Microsoft Entra ID (旧称 Azure AD)の導入メリット

クラウドサービスであるMicrosoft Entra ID (旧称 Azure AD)の導入には様々なメリットがあります。オンプレミスと比べると、構築などの初期費用や固定費用が安く抑えられます。Microsoft Entra ID (旧称 Azure AD)の運用費用はサブスクリプション型でサーバーなどの増設が不要なので、機能やサーバーの拡張を容易に実施できます。
Microsoft Entra ID (旧称 Azure AD)にはセルフパスワードリセットがあるほか、従来のADと連携して社内ネットワークとクラウドサービスをハイブリッドで管理することも可能です。既存のユーザー情報を使用して、クラウドサービスにアクセスすることができるため、管理者の管理負担を減らすことが可能です。

Microsoft Entra ID (旧称 Azure AD)の認証方法

Microsoft Entra ID (旧称 Azure AD) ユーザーの認証方法は、従来のユーザー名とパスワードのほか、Microsoft Authenticatorアプリでのパスワードレスのサインイン、SMS ベースのパスワードレスサインイン、OATHハードウェアOTPトークンまたは FIDO2セキュリティキーによる認証があります。

パスワードレスのMicrosoft Entra ID (旧称 Azure AD)の認証方式は以下の3つです。

1.Windows Hello for Business

Windows Hello for BusinessはWindows10デバイスがサポートしている生体認証やPINコードを使用した認証です。生体認証とデバイスにPINコードを設定することで、Microsoft Entra ID (旧称 Azure AD)にサインインする際にパスワードを使わずに設定した生体認証やPINコード情報を入力する形になります。

2.Microsoft Authenticator

Microsoft AuthenticatorはAndroid/iOS用の無料アプリです。アカウントを紐づけることで、アプリから PIN や生体認証を用いてサインインできます。アプリを持っていることを所持要素として Authenticator をパスワードレスにすることもできます。また、モバイルデバイスに問題が発生した場合や PIN を忘れた場合は、SMS など他の要素でアカウントにサインインすることも可能です。

3.FIDO2セキュリティキー

FIDO2セキュリティキーはFIDOアライアンスが策定した生体認証規格であるFIDO2を搭載したセキュリティキーでの認証方式になります。

OTPトークンまたは FIDO2セキュリティキーによる認証は、物理的なデバイスを所持している必要があるため、例えば、多要素認証を実現する為にスマホを支給していない社員だけにOTPトークンやFIDO2セキュリティキーを配布するといった事例が最近増えてきています。