「Microsoft Entra」で何ができる？ いまさら聞けないクラウド時代のIAM：「Microsoft Entra」を解剖【中編】

クラウドサービスの利用が広がる中、企業のID管理は困難になっている。Microsoftがサービス名を一新したIDおよびアクセス管理サービス群「Microsoft Entra」は、この課題にどう立ち向かうのか。

[Brien Posey，TechTarget]

　IDおよびアクセス管理（IAM）は複雑化している。クラウドサービスの普及やテレワークの拡大が、従来の境界型セキュリティでの対処を困難にしているためだ。そうした課題の解決を図るために、MicrosoftはクラウドベースのID管理関連サービス群「Microsoft Entra」を提供している。どのようにして問題を解決できるのか。

「Microsoft Entra」で何ができる？

併せて読みたいお薦め記事

連載：「Microsoft Entra」を解剖

• 前編：いまさら聞けない「Microsoft Entra ID」　クラウドID管理の基本機能とは

Microsoft Entra IDを知る

• 「Active Directory」と「Microsoft Entra ID」の根本的な違いとは？
• Active Directoryから「Microsoft Entra ID」に移行する理由と“第三の選択肢”

Microsoft Entra ID Governanceとは？

　「Microsoft Entra ID Governance」（旧「Azure AD Identity Governance」）は、セキュリティ侵害や内部脅威のリスクを軽減させながら、エンドユーザーが必要なリソース（IT資産や情報）を利用できるように権限を管理するツールだ。クラウドサービスとオンプレミスシステムの両方で動作し、Microsoftのアプリケーションおよびサードパーティー製アプリケーションと連携できる。

　機械学習（ML）を活用してアクセス管理とセキュリティ強化を実現する点が、Microsoft Entra ID Governanceの特徴だ。エンドユーザーがリソースへのアクセスを要求した場合、自動で精査し、迅速に承認できる。自社リソースに対するパートナーやサプライヤーなどの外部関係者のアクセス権限も管理可能だ。

　Microsoft Entra ID Governanceは企業のコンプライアンス順守を支援する。定期的なレビューを通じてリソースにアクセスするエンドユーザーの活動を監視し、アクセス要件を確認する。特定のロールや権限を部門に分散させ、単一のエンドユーザーや部門が過度の権限を持つことを防ぐ仕組み「職務分離」は、社内で相反する役割や責任を持つエンドユーザーのアクセス権限を管理するのに役立つ。

　「ライフサイクル管理」機能は、従業員の入社から退職までのID管理を自動化するワークフローの構築に使用できる。Microsoftは自社ニーズに合わせてカスタマイズ可能なワークフローのテンプレートを提供しており、企業は例えば以下のワークフローを作成できる。

• 内定者のオンボーディング（受け入れから戦力化までのプロセス）
• 新入社員のオンボーディング
• 従業員の解雇に伴う即時の手続き
• 従業員の退職前の手続き
• 従業員の退職時の手続き
• 従業員の退職後の手続き

Microsoft Entra Workload IDとは？

　クラウドサービス内のデータやアプリケーション（クラウドリソース）には、人だけではなくアプリケーションやサービスもアクセスする。アプリケーションやサービスがクラウドリソースにアクセスする際のセキュリティを確保するのが「Microsoft Entra Workload ID」だ。主に以下の3つのタスクを実行することでセキュリティを確保する。

1. 条件付きアクセスポリシーの適用
   • ユーザーアカウントに加えてアプリケーションやサービスにもアクセスポリシーを適用し、地理的な位置やリスクレベルなどの条件に従ってアクセスを制御する。
2. ワークロードID（アプリケーションやサービスなどに割り当てるID）の保護
   • クレデンシャル（認証資格情報）の漏えい、アプリケーションの不審な振る舞いを検出し、侵害されたアプリケーションやサービスのワークロードIDを特定する。
3. ワークロード（システム処理）のライフサイクル管理の簡素化
   • ワークロードに関するアクセスや、それに関連する権限を確認する。
   • 不要になったワークロードを特定し、デプロビジョニング（利用停止）する。

Microsoft Entra ID Protectionとは？

　「Microsoft Entra ID Protection」（旧「Azure Active Directory Identity Protection」）は、ID侵害を検出して追跡し、侵害されたIDを自動的に修復するためのツールだ。不審なサインインやパスワードスプレー（よく使われるIDとパスワードの組み合わせを使ったログイン試行）、機密ファイルへの大量アクセスなど、さまざまなリスクを追跡、検出する機能を持つ。攻撃の戦術を分析してノウハウ化したナレッジベース「MITRE ATT&CK」と連携することで、MITRE ATT&CKの用語をMicrosoft Entra ID Protectionのダッシュボードで使用する用語と一致させている。

---

　次回はMicrosoft Entraに含まれる2つのツールと、料金体系を取り上げる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。