SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【Microsoft】Entra IDでセキュリティ対策のススメ ~紹介編~

セキュリティ
2024.06.28

みなさんこんにちは。
今回はMicrosoftのEntra IDついての記事です。
以前、Azure Active Directory(Azure AD)という名称で広く認知されておりましたが現在はMicrosoft Entra IDと名称変更されてます。
本記事では連載形式にて
Entra IDについてセキュリティ製品としてご活用いただけるような機能をご紹介いたします。

■Entra IDとは

Entra ID(旧Azure AD)について、皆様すでにどのような製品であるかご認識あるかと思いますが改めて整理いたします。
クラウドベースのID及びアクセス管理ソリューションで、SaaS(Software as a Service)へのSSO(Single Sign-On)や特権管理、Microsoftが提供しているセキュリティ製品と連携してIDに対する不正アクセスの検出、アプリケーションプロキシといったZTNA的な機能、あとは機密情報の管理であるデータ保護、Intuneと連携してデバイスについても管理するといったことが可能です。
デバイスの管理については以前にIntuneに関する紹介記事も投稿しておりますのでこちらをご確認ください。
【Microsoft】Intuneでセキュリティ対策のススメ ~紹介編~

スクリーンショット 2024-06-24 15.27.30.png

Entria IDの基本的な機能であるSSOについてご紹介させていただきます。昨今ではSaaSを業務で利用する事が普及しており、Microsoft 365もSaaSアプリケーションとなります。その場合、各アプリケーションを利用する際はアプリケーションごとにログイン情報が必要となり、パスワード管理の複雑さ、情報の使いまわしであったりと運用面やセキュリティ面で課題が出てきます。
こちらを解決するためにEntra ID内にアプリケーションを登録することで、シングルサインオンによるアクセスが実現します。ユーザーからするとEntra IDで管理しているユーザー情報のみでSaaSへアクセスすることが可能となり、情報の使いまわしや各アプリケーションごとにログイン情報を管理といったことが不要となります。

スクリーンショット 2024-06-25 14.04.21.png

スクリーンショット 2024-06-25 14.05.29.png

また、Entra IDでは各デバイスへの管理方法として「参加」と「登録」といった利用方法があり、それぞれのデバイス用途に応じて柔軟な管理が可能です。
・Entra ID参加
 -組織管理のWindows端末向け
 -Entra IDユーザでWindowsサインインが可能
 -Intune連携による条件付きアクセスポリシーの制御
 -Active DirectoryとのHybrid参加も可能
・Entra ID登録
 -BYOD端末向け(MacOS、iOS、Androidもサポート)
 -個人端末から組織管理のアプリケーションにアクセスが可能
 -Intune連携による条件付きアクセスポリシーの制御

スクリーンショット 2024-06-24 16.09.59.png

Entra IDを利用するうえで重要になるのがグループの活用です。Entra ID内でグルーピングを行うことで企業ごとに各グループに対してのユーザーのアサインやアクセス認証に関する設定が可能となります。
スクリーンショット 2024-06-24 16.39.31.png

 

 

■Entra IDによる条件付きアクセス

Entra IDでの主要なセキュリティ機能として条件付きアクセスがございます。シングルサインオンで登録したアプリケーションに対してアクセスする際に条件を用いる機能です。設定した条件にあった場合にアクセスを許可する、もしくはブロックするといった設定や多要素認証を求めるといった事が可能です。

下記にて実例についてご紹介させていただくと、左からEntra IDで管理しているユーザーがリソースにアクセスを許可する場合、ユーザー自身のリスクレベル、ユーザーがアクセスしている場所、利用デバイス、アクセス権を付与するための条件をクリアした場合にのみリソースをアクセスするといった設定を行います。同様の設定で逆にリソースへのアクセスをブロックするといった事も可能です。
条件付きアクセスについては次回以降のブログで詳細な設定も含めてご紹介致しますのでぜひご覧ください。

スクリーンショット 2024-06-24 16.22.48.png

 

■Identity Protectionによるユーザーの保護

ここまでで作成したユーザーをベースに認証であったり、条件付きアクセス制御についてご紹介させていただきました。セキュリティ観点に考えた際に、実際にID、ユーザー自身の保護はどうなのかという部分でもMicrosoftはP2ライセンスでユーザーをベースにしたセキュリティ保護であるIdentity Protectionが提供されます。
例えばユーザーのアクセスが急に海外で利用されている、ダークウェブで流失したID情報でログインされたりといった、IDの保護に関してもアクセス権のブロックであったり多要素認証の要求等の設定が可能となります。

スクリーンショット 2024-06-24 19.02.42.png

 

■さいごに

いかがでしたでしょうか。前回までIntuneでセキュリティの視点からデバイスの保護や運用を行うかについて掲載させていただきましたが、今回はEntra IDでユーザーに対するセキュリティについてご紹介させていただきました。昨今のテレワークや社内で働くことも含めたハイブリッドワークによってこれまで以上にデバイスやユーザーのアクセス管理、セキュリティが重要視されています。
次回以降では今回記載した機能の詳細や手順も含めてご紹介させていただきますのでぜひご覧いただければと思います。


※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
 正確性、最新性、完全性は保証できませんのでご了承ください

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
宮尾 優一