Azure Active Directoryの使い分けについて

前回はAzure Active Directoryの概要についてご紹介しました。

今回はAzure Active Directoryをもっと知ろうということで料金プランの違いの詳細と利用ニーズについてご紹介します。

Azure Active Directoryのプラン詳細機能

Azure Active Directoryには3つのプランがあり、FREE、BASIC、PREMIUMで区分けされます。
まずはどのプランでも使える基本的な機能を見てみましょう。

共通機能での差異としてはディレクトリオブジェクトが、BASIC以上が無制限なのに対し、FREEが500Kです。
またSaaS アプリ用 SSOもPREMIUMが無制限なのに対し、BASIC以下は10アプリ/ユーザーとなります。

これはどういうことかというと、 管理者はFree と Basic のユーザーに対して、SaaS アプリへのアクセス権を何個でも割り当てることができるが、エンドユーザーはアクセスパネルで一度に 10 個のアプリしか表示されないということです。
パワーユーザーは無条件でPREMIUMですね!

そして次にBASIC以上から利用できる機能です。

・ログオン/アクセス パネルのブランディングのカスタマイズ
-サインインおよびアクセス パネル ページでの会社のロゴと色のカスタマイズ

・グループベースのアクセス管理とプロビジョニング
-グループを使用してユーザーをプロビジョニングし、何千もの SaaS アプリケーションにユーザー アクセスを一括して割り当てます。

・クラウドユーザーがセルフサービスでパスワードをリセットする機能
-Azure では、ディレクトリ管理者は常にパスワードをリセットできますがBasic では、ディレクトリ内のすべてのユーザーは Office 365 と同じサインインエクスペリエンスを使用してパスワードをリセットできるので、ユーザーがパスワードを忘れて管理者に問い合わせる、といったようなことが減ります。

・オンプレミスの Web アプリケーションへのセキュリティで保護されたリモート アクセスと SSO
-Azure Active Directory を使用してクラウドから SharePoint や Exchange/OWA などのオンプレミス アプリケーションに安全にアクセスできます。

ちなみにBASIC以上なら99.9% のSLAを持っています。
そして最後にPREMIUMだけで使える機能!

・オンプレミスのディレクトリへの書き戻しが可能な、ユーザーがセルフサービスでパスワードをリセットする機能
セルフ サービスのパスワード リセットはオンプレミス ディレクトリにライトバックできます。

・クラウド ユーザー用のセルフサービスのグループ管理
Premium では、グループの作成、他のグループへのアクセスの要求、他のユーザーが要求を承認できるようにグループの所有権の委任、グループのメンバーシップの管理などを、ユーザーができるようにすることで、日常的なグループの管理が簡略化されます。

・Multi-Factor Authentication (クラウド アプリケーションおよびオンプレミス アプリケーション)
PREMIUMだとMFAも使えます。驚き。

オンプレミスアプリケーション (VPN、RADIUS など)、Azure、Microsoft Online Services (Office 365、Dynamics CRM Online など)、および Azure Active Directory に既に統合されている多数の非 MSクラウド サービスに安全にアクセスできます。
Azure Active Directory の IDにMFAを有効にするだけで、認証機能を使えます。

・高度な使用量レポートとセキュリティ レポート
レポート自体はどのプランでも利用可能です。PREMIUMだと、

・不審なアクティビティのある IP アドレスからのサインイン
・異常なサインイン アクティビティがあるユーザー
・パスワード ロールオーバーの状態
・資格情報が漏洩したユーザー

上記なども閲覧可能です。
こちらは一部抜粋なので詳細はこちらをご確認下さい。

・Connect Health(Preview)
オンプレミスの Active Directory インフラストラクチャで正常性を監視し、使用状況の分析を取得します。

・Cloud App Discovery
Cloud App Discoveryが使えます。詳細は以下URLをご参照下さい。
(https://channel9.msdn.com/Series/EMS/Azure-Cloud-App-Discovery)

・Microsoft Identity Manager ユーザー CAL
Premium には、ハイブリッド ID ソリューションの任意の組み合わせをサポートするためにオンプレミス ネットワーク内で MIM サーバー (および CAL) を使用する権限を付与するオプションがあります。
これは、オンプレミスのディレクトリとデータベースを Azure Active Directory に直接同期する必要がある場合に便利なオプションです。
使用できる FIM サーバーの数に制限はありません。

各プラン想定利用シーン

では最後に、どんな使い分けをすればいいか、考えてみましょう。
※あくまで個人的な考えです!

・中小規模の企業
コストパフォーマンスや登録アプリ数などを考えるとBASIC以下の利用でしょうか。
場合によってはFREEでもいいと思います。

・部署が多い、部署ごとに管理するサービスが多数ある
こんなときはグループ管理機能があるBASIC以上のプランがおすすめです。
単純なグループ管理であればBASIC、部署ごとにシステム管理者がいるならPREMIUM、といった感じでしょうか。

・うちの会社はセキュリティ基準厳しいよ!
これはいわずもがな、PREMIUMですね。
MFAでの認証はもちろん、レポート機能として、「異常レポート」「エラー レポート」「アクティビティ ログ」「ユーザー固有レポート」などがあるのでより一層セキュリティを高める事ができます。
またこのレポートは、機械学習に基づく、と記載あるので未知の脅威に対応するためのヒントにもなりそうです。(やっぱりAzure Machine Learningなんですかね!?)

【参考URL】
http://azure.microsoft.com/ja-jp/pricing/details/active-directory/#
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-editions/

いかがでしたでしょうか?
次回もお楽しみに!

この記事を書いた人

azure-recipe-user