Azure

テレワークの普及やクラウドサービスの一般化に伴い、「境界型」でのセキュリティ対策では必ずしも企業のセキュリティリスクに対応できない時代となりました。現代においては、「あらゆる場所が信頼できない」という前提の下、ゼロトラストセキュリティの考え方により境界外の情報資産も守る必要があります。
ゼロトラストセキュリティを実現するために有効なのが、Microsoft Entra ID (旧称 Azure Active Directory)による認証基盤のクラウド化です。
一方で、オンプレ環境にて自社の認証基盤を運用している企業も多いのではないでしょうか。
そこで本稿では、既存オンプレADからMicrosoft Entra IDへの移行を検討している方に向けて、Microsoft Entra IDへの移行メリットや具体的な移行プロセスについて紹介します。



1.Microsoft Entra ID (旧称 Azure Active Directory)へ移行するメリット

Microsoft Entra IDへ移行するメリットはどのようなところにあるのでしょうか。Microsoft Entra IDは、ゼロトラストセキュリティを実現しつつ、ユーザーの利便性を高めるために、以下のような機能が用意されています。

高いセキュリティ

ユーザーの所有端末やSMSなどを利用した多要素認証や、デバイス・アクセス場所などの条件により認証の可否や認証方法を設定できる条件付きアクセスなど、セキュリティ強度を高めるための機能を利用できます。

クラウドサービスへの対応

Microsoft Entra IDではMicrosoft製品以外のクラウドサービスとのID・パスワード統合も実現します。SalesforceやAWS、Google Workspaceなど、数千のクラウドサービスに対応しており、これらのサービスにSSOでログインできます。

リモートワークへの対応しやすさ

Microsoft Entra IDはクラウドサービスとして提供されるため、どこからでも認証が可能です。従業員は自宅や外出先など、リモートワーク環境においてもMicrosoft Entra IDを通して各種システム・SaaSなどの認証・認可を実施することができます。

2.オンプレADからMicrosoft Entra IDへの移行プロセス

オンプレADにより自社の認証基盤を構築している企業は多いと思いますが、オンプレADからMicrosoft Entra IDへの移行はどのように進めるべきでしょうか。ポイントは、「段階的に進めること」です。以下では、具体的な移行プロセスについて紹介します。

オンプレADからMicrosoft Entra IDへの移行プロセス

 

Step 1 : オンプレADとMicrosoft Entra IDのハイブリッド構成から始める

まずは、メインのワークロードはオンプレADで対応しつつ、徐々にMicrosoft Entra IDを導入していくハイブリット構成を目指します。オンプレADをメインにして運用への影響を最小限に抑えつつ、Microsoft Entra IDのアクセスコントロールやセキュリティ強化、デバイスやアプリケーションの管理などの機能を活用していきます。
ここでのポイントはMicrosoft Entra IDの機能をできるだけ広く活用していくことです。Microsoft Entra IDの機能をうまく利用することで、後続ステップへの移行が進めやすくなります。
また、既存でオンプレADのみを利用している企業は、まずはOffice365の利用開始などMicrosoft Entra IDの導入を進めやすい取り組みから開始することをおすすめします。

Step 2 : Microsoft Entra IDへワークロードを移行していく

オンプレADとMicrosoft Entra IDのハイブリット構成を実現したら、次にオンプレADからMicrosoft Entra IDへワークロードを移行していきます。
この段階の最大のポイントは、「これ以上オンプレAD側にデバイスやアプリを増やさない」ということです。
具体的には、「デバイス」「アプリケーション」「ユーザー」のそれぞれについてMicrosoft Entra IDへワークロードを移していきます。

  • デバイス:Microsoft Entra hybrid join(旧称 Hybrid Azure AD join)もしくはMicrosoft Entra Join (旧:Azure AD Join)でデバイスをセットアップできる状態とし、徐々にMicrosoft Entra IDへ移行していきます。また、モバイルデバイスはMDMを活用し、管理を行います。
  • アプリケーション:新規アプリケーションはMicrosoft Entra IDに連携します。また、既存アプリケーションは可能な範囲でモダン認証対応もしくはリプレースを行いAMicrosoft Entra IDへ対応させていきます。
  • ユーザー:デバイス及びアプリケーションがMicrosoft Entra IDにシフトされるにつれて、ユーザーアカウントもMicrosoft Entra IDに集約されていきます。1ユーザー1アカウントとなり、すべてのアプリケーションにSSOできる状態を目指します。

Step 3 : Microsoft Entra IDメインの構成を目指す

オンプレADからMicrosoft Entra IDへワークロードを移行することで、最終的にMicrosoft Entra IDメインでの構成を目指します。ただし、注意すべきはオンプレADとMicrosoft Entra IDが備えている機能や役割はそれぞれ異なるという点です。Microsoft Entra IDで既存オンプレADが提供している役割を網羅できない場合は、Microsoft Entra IDとオンプレADの併用を最終形とすることも念頭におく必要があります。Microsoft Entra IDの導入にあたっては、Microsoft Entra IDだけで自社の要件を満たせるのか事前に確認しておくことをおすすめします。
Step2で紹介したデバイス・アプリ・ユーザーの移行を進めていきつつ、オンプレADにワークロードを残す場合には、Microsoft Entra ID主体のハイブリット構成が最終形となります。オンプレ側にワークロードが残らなければ、Microsoft Entra IDのみでの運用も可能です。

これらの流れを整理すると、以下の通りです。段階的にMicrosoft Entra IDへの移行を進めていくことで、管理者・ユーザー共に負荷の少ない形での移行を実現できます。

 

  • STEP1:現状でMicrosoft Entra IDを導入していなければ、まずハイブリット構成を目指す
  • STEP2:ハイブリット構成に移行後、徐々にデバイス・アプリ・ユーザーの移行を進めていく
  • STEP3:最終的に、既存環境などを考慮して最終形を「Microsoft Entra ID主体のハイブリット構成」or「Microsoft Entra IDのみ」とする

 

3.Microsoft Entra IDの導入事例

以下では、当社がMicrosoft Entra IDへの移行を支援したA社(通信事業・従業員約1,800人)の事例を紹介します。

現状と課題

A社では、以下のように現状ではオンプレAD主体のハイブリット構成で認証基盤の運用を行っていました。

<A社の認証基盤構成>

  • 社内サービスはオンプレADにて管理
  • Office365はMicrosoft Entra IDで認証
  • クラウドサービスは利用部署ごとに個別で管理

 

一方で、同社では以下のような課題が顕在化しており、対応が求められました。

<A社の課題>

  • オンプレADとMicrosoft Entra IDのディレクトリ管理による管理者の作業工数増
  • ユーザーはクラウドサービスごとの煩雑なパスワード管理が必要に
  • リモートワークの推進に伴い管理外の端末が利用されるようになり、シャドーITによるセキュリティリスクが顕在化
  • パスワードの使いまわしやメモによるセキュリティリスクも問題に

 

A社の環境構成

そこでA社では、下図のようにMicrosoft Entra ID主体でのハイブリット構成へ構成を変更しました。具体的には、Microsoft Entra ConnectでオンプレADとMicrosoft Entra IDを連携し、新たな認証基盤を構築。これにより、Microsoft Entra IDのメリットを享受しつつ、管理者はオンプレADのみを管理すればよい状況を実現しました。また、ユーザーもオンプレADからMicrosoft Entra IDにSSOし、SaaS等のクラウドサービスを1つのID・パスワードで利用できるようになりました。

A社の環境構成

 

導入効果

Microsoft Entra IDへの移行により、A社は以下のような効果を得ることができました。

 

  • 管理者は2つのディレクトリ管理が不要となり管理工数を削減
  • ユーザーも複数のパスワード管理が不要となり、SSOで自社システムやクラウドサービスを利用できるように
  • 条件付きアクセスによるアクセス制御でシャドーITやパスワード漏洩などのセキュリティリスクの対策を強化
  • セルフパスワードリセットにより、ユーザーの利便性向上と管理者の負担軽減を実現

 

4.まとめ

この記事では、Microsoft Entra IDの導入メリット及び具体的な移行プロセスについて紹介を行いました。Microsoft Entra ID移行時のポイントは「段階的な移行を目指す」ことです。現状の構成がオンプレADのみの場合は、まずはハイブリット構成を目指し、徐々にMicrosoft Entra IDへ移行することを意識します。さらに、移行プロセスに逆行しないように、オンプレ側にこれ以上デバイスやアプリを増やさないように注意します。
高いセキュリティ強度と利便性を得るためには、Microsoft Entra IDの活用は必須です。境界型のセキュリティ対策が難しくなる中で、Microsoft Entra IDの活用によりゼロトラストセキュリティを実現していく必要があります。

当社では、Microsoft Entra IDの導入を検討されている方に向けて、個別相談会やAzure移行診断サービスの提供を行っております。Azureの活用方法に悩まれている企業の方に有用な情報を提供しておりますので、よろしければお問い合わせください。

 

Azure 問い合わせお問い合わせフォーム

 

また参考資料(「Microsoft Entra ID (旧称 Azure AD)ご紹介​資料」)もご用意しております。ぜひご活用ください!
Microsoft Entra ID (旧称 Azure AD)ご紹介​資料


Microsoft Entra ID (旧称 Azure AD)ご紹介​資料 資料ダウンロードはこちら

 

本内容は、2022年5月13日に開催いたしました、「『はじめる』シリーズ第3弾!Active Directory からはじめるAzure移行セミナー」にて詳しく解説しております。
オンデマンド動画をご用意しておりますので、宜しければ上記資料とあわせてご覧ください。

オンデマンド動画ダウンロードはこちら>>

 

Microsoftソリューションパートナーの日商エレクトロニクスには、
Azure専任エンジニア&資格保有者が多数在籍 

お問い合わせいただいた場合、原則3営業日以内にて電話もしくはメールにてご連絡いたします。

Azure ソリューションパートナー 日商エレクトロニクス

Azure 問い合わせAzure活用の相談
お問い合わせフォーム

 


この記事を読んだ方へのオススメコンテンツはこちら


この記事を書いた人

NE + Azure 編集部
NE + Azure 編集部
日商エレクトロニクス特設サイト「日商エレ+Azure」サイトマスターです。