Office 365 と Azure AD、Intune、Azure RMS の関係について

  • Article

ここ数年の Office 365 の機能拡張で、Rights Management 機能やモバイル管理機能などなどが追加され、ますます使い勝手がよくなった Office 365 ですが、Intune や Azure Rights Management などとの違いがいまいちわかりずらいというご指摘もいただきます。

そこで、今回はこの部分をさらっとサマッておきたいと思います。

まずは Office 365 の各エディションの違いから。

以下の通り Office 365 には様々なエディションが用意されているわけですが、セキュリティや管理にフォーカスしてみると、さほど違いがないことがわかります。違いがあるとすれば、Information Rights Management(IRM)です。E3 と E4 は標準でサポートされていますが、その他のエディションでは別途 Azure Rights Management を購入する必要があります。

image

Office 365 が持つ多要素認証機能、モバイル管理機能、IRM(データの暗号化や権限管理)機能というのは、実は別のサービスの一部を間借りしています。

多要素認証は Azure Active Directory Premium。モバイル管理は Microsoft Intune、IRM は Azure Rights Management。図にすると、以下のようになります。

image

Office 365 だけでも相当なことができますが、その裏には実に多くのテクノロジーが控えていることがわかります。

■ Office 365 と Azure Active Directory Premium の関係

ご存知の通り、Office 365 は Azure Active Directory をアイデンティティ プロバイダーとして使用しています。ただし、Office 365 のみを契約している場合は Azure Active Directory の存在に気づきずらいでしょう。あたかも Office 365 の中でユーザー管理しているように見えています。

image

Azure サブスクリプションを保持していれば、上の図のように Azure AD の管理画面でユーザーを管理することができます。どちらを使うべきかといえば、正直なところ Office 365 のほうがユーザー管理ツールとしては優秀です。Azure AD からは設定できない属性もあったりするので、無理に Azure Active Directory の管理画面をアクティベートする必要も無く、ユーザー管理の視点だけで言えば Office 365 のユーザー管理ツールを使用していただければよいと思います。

Azure Active Directory の管理画面も触ってみたいという方は、Office 365 管理センターの左下のほうにある「Azure AD」をクリックします。すると氏名や電話番号を入力する画面が表示されますが、通常の Azure サブスクリプションのようにクレジットカード番号は必要ありません。サブスクリプションが作成されると、以下のように Azure AD だけが使用できるサブスクリプションが作成されます。

image

Azure Active Directory には 3 つのエディションが存在します。Free、Basic、Premium です。Office 365 を使用している状態でも Azure AD をアップグレードすることは可能です。

image

image

それぞれのエディションの機能の違いは以下の通りです。読めるかな。。。

image

Office 365 を契約すると、そのバックエンドでは Azure AD Free 版が使用されます。ただし、Basic と Premium が提供している以下の機能に限っては、Office 365 用にアクティベーションされます。

  • 多要素認証(Office 365 での利用限定)
  • パスワードリセット(Office 365 での利用限定)
  • ブランディング機能(ログオン画面に会社ロゴを入れたりする機能)
  • Azure AD の SLA 99.9 %
  • オブジェクト数のリミット解除

上の機能のうち、パスワードリセット機能に注目してください。パスワードリセットとはパスワードを忘れてしまったときに「リセット」する機能を意味しています。リセットの際重要なのは「いかに本人確認をするか」です。そもそもパスワードを知らないわけですから、ここがなんとも難しいところです。この機能では、個人の電話番号を使用して本人確認をします。Azure AD が事前に登録した携帯電話等に電話をしてくれるので、それに適切に応答することで本人確認を済ませることができるという機能です。オンプレミスの Active Directory で似たようなことをやろうとすると、独自に開発するか、Microsoft Identity Manager を購入しなければなりません。そういう意味でもとても便利でお得な機能です。

こうして見ると、Office 365 だけ使っている分には、Azure AD Premium なんて必要無いように感じますが、実はいくつかの機能は Office 365 ユーザーにとっても有用なのです。それらをご紹介します。

  • パスワード書き戻し機能

オンプレミスの Active Directory と Azure Active Directory をハイブリッド構成(アイデンティティ フェデレーション)で使用している場合、パスワードの管理は「オンプレミス」側で行います。

利用者がインターネット上で Office 365 を利用している場合を考えてみてください。利用者がパスワードを変更したりリセットしようとしたら、どうしたらよいでしょう?もちろん、Active Directory は Firewall の内側です。

VPN で社内ネットワークに直結してパスワードを変更したりリセットすることができればそれに越したことは無いのですが、いつでもそれが使えるとは限りません。

そこで、インターネットに露出している Azure AD 側でパスワードを変更したりリセットします。すると、Azure AD Connect という同期ツールが Azure AD に一時的に保存されたパスワードをオンプレミス AD にすぐに書き戻してくれるのです。タイムラグはほとんどありません。オンプレミス AD のパスワードポリシーもしっかりチェックしてくれるので安心です。

image

  • 特権ユーザー管理

Azure AD に最近実装された機能の1つに、特権ユーザー管理という機能があります。

特権とは Azure AD や Office 365 等を管理するための権限で、現時点では以下のような管理者特権を管理することができるようになっています。特権の中には「Exchange Administrators」や「SharePoint Services Administrators」など Office 365 関連の権限も含まれています。

image

こうした特権でありがちなのは、「権限を与えっぱなしにしてしまう」ということです。これはとても危険です。特権付与の鉄則は、「必要最小限の人」と「必要最小限の時間」です。

気が付けば、うっかり、いろんな人に永続特権を与えてしまいがちですが、特権ユーザー管理機能にはそうしたミスやうっかりを防止する機能が実装されています。

このような機能は Office 365 しか使用していない組織にとっても有用であることは間違いありませんし、IT ガバナンスにおいても重要な位置づけの機能です。もう Excel で棚卸をする必要はありません!

image

  • Azure Active Directory B2B (Preview)

現在プレビューとして提供されている機能で、Premium だけでなく Free や Basicでも使用できます。

これまで、他の企業と情報共有しようとすれば、他の企業のユーザーIDとパスワードを、自社のディレクトリに登録しなければなりませんでした。もちろん、パスワードの管理も自社で行わなければなりません。振り出した ID が、はたして本当に決められた特定の人物が使用しているかどうかも追跡することはできません。

Azure AD B2B は Azure AD テナント間のアイデンティティ フェデレーションを実現するためのものです。この機能により、例えば、子会社のユーザーに、本社のアプリケーションに対するアクセス権を与えることができます。子会社のユーザーは、自社の Azure AD で認証することになるので、親会社がユーザー管理を行うといった手間がありません。

本社が Office 365 を使用している場合、子会社のユーザーに対して OneDrive のドキュメントへのアクセス権を与えることができます。

image

  • オンプレミスでの多要素認証

Office 365 の多要素認証は、Office 365 にアクセスするときに限って利用可能です。

Office 365 で多要素認証を有効にするには、Office 365 管理センターの「アクティブなユーザー」画面で「複数の要素を含む認証要件を設定する」をクリックして設定します。

image

この多要素認証機能は、Azure Active Directory を IdP とするアプリケーションサービスとして実装されています。つまり、以下の条件を満たしたときのみ発動するように設定されているわけですね。

・行き先が Office 365 である
・Azure AD に登録した ID とパスワードの組み合わせが正しい
(またはオンプレミスADでの認証に成功した)

Azure 多要素認証を個別に契約するか、Azure AD Premium を契約すると、さらに利用の幅が広がります。

例えば、オンプレミスには業務サーバーがあると思いますが、そのような業務サーバーに対しても多要素認証を提供することができるのです。アプリの改修は必要ありません。

モバイルデバイスの浸透により、社外から社内の業務サーバーにアクセスさせる機会も増えてくると思いますが、そんなとき「社外からアクセスするときは多要素認証必須」とかできたら素敵ですよね?

image

このほかにも、Office 365 とは直接関係ありませんが安全性と生産性を高める素晴らしい機能がたくさん用意されています。中でも Azure AD Application Proxy はとても使い勝手の良い認証機能付きリバースプロキシーです。

■ Office 365 と Microsoft Intune の関係

次に、Intune との関係を見てみましょう。

すでに図で示した通り、Office 365 のモバイル管理機能は、Intune が提供する機能のうち以下が利用可能です。俗にいう、MDM と呼ばれる機能の一部です。

  • デバイスセキュリティポリシー
  • セレクティブワイプ
  • Office 365(SharePoint Online および Exchange Online) への条件付きアクセス

Office 365 でデバイス管理機能を使用するには、以下の「始めましょう」をクリックします。

image

ただし、ここで注意が必要です!

ここで モバイル管理をアクティベートすると、後で Microsoft Intune を購入した時に、 Intune の管理コンソールが使えなくなるのです。以下は実際に私が出くわした画面です。うかつでした。

image

この現象とその解消策については、弊社の Intune サポートチームが以下の Blog 記事にまとめてくれています。

Microsoft Intune / MDM for Office 365 / SCCM の モバイル デバイス管理機関の切り替え(リセット)について
http://blogs.technet.com/b/jpintune/archive/2015/08/20/microsoft-intune-mdm-for-office-365-sccm.aspx

ただ誤解しないでください。「いつか Intune を使うかもしれない人は、Office 365 モバイル管理を使うな」ってことでは決してありません。計画的であれば何の問題もありませんので、上記のような問題が発生するということを覚えておいていただければOkです。

話を戻しましょう。

Office 365 のモバイル管理機能を使用すると、すべての管理操作は Office 365 の管理画面から行います。つまり、Intune の管理コンソールを使用することはありません(というか、できません)。

image

image

上記は Office 365 モバイル管理があれば出来ることですが、逆に出来ないこととはなんでしょう。ざっくり書くと以下の通りです。

  • OMA-DM に対応していない Windows を、Intune エージェントによって管理できる
  • 業務アプリやストアアプリの配布や削除
  • 証明書や Wi-Fi、VPN、電子メールプロファイルの配布
  • Office モバイルアプリや基幹業務アプリが社内データ開いたとき、それを他のアプリ間でコピー、切り取り、貼り付けできないようにする
  • 名前を付けて保存などの操作をできないようにする
  • Intune Managed Browser アプリを使用した安全な Web 閲覧
  • Intune と System Center 2012 Configuration Manager を接続して、単一の管理コンソールから PC、Mac、Linux および UNIX サーバーを含むすべての PC やサーバー管理

どうです?わりと魅力的な機能ですよね。少し補足しておきます。

Office 365 のモバイル管理は、OMA-DM というプロトコルを使用します。通常、多くのモバイルデバイスにはモバイルデバイス管理用の標準規格である OMA-DM が実装されています(ただし、OS の種類やバージョンによって実装のレベルが異なる)。そのため、管理用のエージェントプログラムをインストールすることなくモバイルデバイスを管理できるようになっています。しかも、MDMベンダーを問わないというメリットもあります。Windows の場合は、Windows 8.1 で初めて OMA-DM が実装されました。

OMA-DM を使用した管理は手軽に始められるというメリットがある一方で、ウィルスチェック等、従来 PC が要求してきた管理機能が実装されていないという現状もあります。また、Windows 7 等、ちょっと前の Windows では OMA-DM を使用することができないため、Office 365 モバイル管理で管理することはできません。

Intune にはもともと エージェントプログラムが用意されており、これを Windows にインストールすることで Intune で管理することができます。Forefront Endpoint Protection によるウィルスチェック機能も実装されています。

Office 365 では OMA-DM 対応デバイスのみ。Intune を使用すれば、さらにエージェントプログラムを使用した Windows PC 管理が可能です。

もう1点、Office 365 モバイル管理ではできない重要な機能が MAM と MCM です。企業がアプリケーションをモバイルデバイスに配布すると、それは「組織によって管理されているアプリ」として認識されます。このアプリケーションが社内データを開いたとき、そのデータが社外に流出する危険性があります。これを防止するために、データのコピー/ペーストを禁止したり、デバイスに保存することを禁止することができます。Windows 10 では、Enterprise Data Protection という機能と連携することで実現できるのですが、これはもうちょっとだけ待っていただけると正式にリリースされる予定です。

※Coming soon: New Intune features including Windows 10 EDP policies
https://blogs.technet.com/b/microsoftintune/archive/2015/10/28/coming-soon-new-intune-features-including-windows-10-edp-policies.aspx

image

■ Office 365 と Azure Rights Management の関係

Office 365 E3/E4 ではメールやファイルの暗号化と、それを読み取るための権限管理機能が実装されています。

Office 365 でこの機能をアクティベートするには、「アクセス権管理」から行います。

image

規定では以下の3種類のセキュリティポリシーが提供されており、例えばメールの受信者が勝手にメールを転送できないようにするといったことが可能です。

  • 転送不可
  • 社外秘
  • 社外秘(閲覧)

この機能のベースとなっているのが Azure Rights Management ですが、実はこの機能に限っては Office 365 アクセス権管理と Azure Rights Management に大きな違いはありません。言い換えれば、Azure RM を契約したからと言って、Office 365 アクセス権管理の機能が増えるわけではありません。

上に挙げたセキュリティポリシーに不足があれば、Azure RM を購入することなく、Azure RM 専用の管理コンソールを開いてポリシーを編集したり追加することができます。

image

最近ドキュメントトラッキング機能も追加されましたが、これも便利ですね。RMSシェアリングアプリを使用して暗号化したファイルのオープン状況をトラックできる機能です。

image

さて、では Office 365 E3/4 を使っていれば Azure Rights management 機能が全く必要ないかといえば、実は少しだけあります。

Office 365 では、クラウド上のデータのみが暗号化と権限管理の対象です。しかし、通常企業にはオンプレミスにファイルサーバーがあったりしますよね。実は、製品版の Azure Rights management では Azure RMS Connector という機能を使用することができます。これを使用すると、オンプレミスのファイルサーバーや Exchange Server を Azure Rights Management で保護することができるようになります。

以上、Office 365 だけでできることと、Azure AD Premium、Intune、Azure Rights Management を追加するとできるようになることについて説明してきました。Office 365 単体でも十分使用に耐えられますが、さらに 3 つの製品を追加するとより安全で便利になることがご理解いただけたかと思います。

この、Azure AD Premium、Microsoft Intune、Azure Rights management の3つを合わせて、Enterprise Mobility Suite と呼びます。

クラウドは Office 365 だけではありません。Salesforce を使用していたり、業務アプリをクラウドに展開することもあるでしょう。そうなったときに重要なのは、統一されたセキュリティポリシーによるアクセス制御です。サービスごとにIDやパスワードが異なっていたのでは、いままでのオンプレミスの混とんと何も変わりませんし、クラウドに露出している分、安全性は低下します。Enterprise Mobility Suite(EMS)により、全方位のアクセス管理/制御が可能になります。

また、EMS には上記 3 兄弟のほかに、Microsoft Identity Manager と Advanced Threat Analytics という従妹が含まれています。Advanced Threat Analytics はオンプレミス Active Directory の通信パケットをすべてキャプチャし、分析するためのプロ仕様の高機能分析ツールです。

image

生産性はセキュリティから生まれる!を合言葉に合理的な IAM を構成しましょう!