Azure導入後も、オンプレミス資産をそのまま生かすことはできますか?

2018.06.15

  • このエントリーをはてなブックマークに追加

Azure導入後も、オンプレミス資産をそのまま生かすことはできますか?

Q:Azure導入後も、オンプレミス資産をそのまま生かすことはできますか?
A:Azure Active Directory(Azure AD)を活用すれば、クラウドもオンプレミスもシームレスに管理でき、資産を生かすことが可能です。

【解説】



Azure Active Directoryとは?

クラウドサービスの活用例を調べていて、あまりにも自社と事情が異なる事例を見つけて驚いたという経験はないでしょうか。

例えば「我が社は社内のすべてのシステムをクラウドにシフトした」といったケースなどですが、そのような話を聞いて「自社の場合を考えたら、すべてのシステムをクラウドには移行できない」と思われる方も少なくないでしょう。

すべてをクラウドに移管しない理由には、セキュリティやパフォーマンス、上長や経営者の判断など様々なことがあると思いますが、やはり「クラウドで管理するシステム以外に社内に留め置きたいシステムもあるので、それらを上手に連携できるのが現実的には望ましい」と考える組織が多いということもあると思います。

このように、クラウドサービスとオンプレミスのシステムをシームレスに活用したい組織におすすめするのが「Azure Active Directory(以下、Azure AD)」です

Azure ADは、ローカルのWindowsネットワークで活用しているActive Directory(以下、AD)と同様の認証サービスで、いわば、クラウドベースの認証サービスです。Azureでサインインすることで、その認証結果に基づき、Azure AD内の資源への権限管理はもちろん、Office365などクラウドアプリケーションへのアクセスも一元管理できます。


Azure ADの概念図

Azure ADの概念図

またAzure ADは既存のWindows ServerのActive Directoryと簡単に統合できるので、これまでオンプレミスのネットワーク内で管理していた資源を無駄にすることがありません。

Azure ADの信頼性・可用性

オンプレミスのADとAzure ADを統合した結果、Azure ADのセキュリティ面が脆弱で、オンプレミス側に攻撃者が侵入してきたり、あるいはAzure ADの可用性が低いためにオンプレミス側の可用性に影響が出たりしてしまうようなことがあったら「シームレスな統合」と言っても、意味がありません。

しかし、ご安心ください。

そもそもAzureは、2018年5月に施行されたEUの一般データ保護規則(GDPR)やISO27001をはじめ、非常に多くの国際的なコンプライアンス基準に適合しているクラウドサービスです。そして、サードパーティーによる監査も行い、厳重なセキュリティ管理要件を満たしています。

オンプレミスの方が侵入される可能性を下げられるのではないかと考える方もいるかもしれませんが、企業が自分で、自社システムのセキュリティをAzureと同等のレベルにするためには、相応の困難が伴います。国際的なコンプライアンス基準に適合させたり、さらに第三者による監査を随時行おうとしたりしたら、膨大なコストや工数がかかり、とても経済的に引き合わないでしょう。Azureでは、一般的な企業が単体で実施するよりも、経済的かつ強固なセキュリティが確保されていると言っても過言ではないのです。

またAzure ADはフェールオーバー(障害時に待機系システムと切り替える)が、世界中のデータセンターから自動化によって実行されています。どこかのデータセンターがダウンしても別の地域の複数箇所のデータセンターでデータを維持しているので、可用性はとても高いのです

Azure ADには、より厳しいアクセス管理ができる「Azure Active Directory Premium P1」、「Azure Active Directory Premium P2」という2つのエディションがあります。

これらのエディションを活用すれば、オンプレミスのユーザー向けにパスワードリセットを実現したり、オンプレミスからクラウドへの書き戻しの機能を得られたり、重要データに対してリスクベースの条件付きアクセスを実現するなどのことが可能になります。

もちろん特権アカウントの管理も充実しており、管理者アカウントによるリソースのアクセスを検出・監視できます。

Windows ServerのADとAzure ADの違い

ところで、オンプレミスでWindows Serverを使ったADを構築している管理者からすると、同じ「Active Directory」という名前が付いているものの、Azure ADとはどのように違うのか気になるところでしょう。

簡単に言えば、オンプレミスのADは社内システムに対する認証機能、Azure ADはクラウドサービスに対する認証機能です。それぞれプロトコルが異なるため、オンプレミスのシステムとクラウドサービスをシームレスに使うためには、両方のADを連携させるという考え方になるのです。

なお、Azureで仮想のWindows Serverを構築し、そこでADを構築した場合は、それは仮想のWindows ServerによるActive Directoryとなり、Azure ADではありません。

オンプレミスとクラウド双方のメリットを存分に生かすAzure AD。ぜひAzureとAzure ADの組み合わせで、より効率的なシステム運営を実現してください。

photo:Thinkstock / Getty Images

おすすめの記事