다음을 통해 공유

Windows Azure、エンタープライズ クラスのアクセス管理機能を強化

  • 아티클

このポストは、3 月 5 日に投稿された Windows Azure, now with more enterprise access management! の翻訳です。

皆さん、こんにちは。

Windows Azure の ID 管理およびアクセス管理の機能がさらに改善されました。今回の機能強化は、Windows Azure Active Directory (AD) を Windows Azure に完全に統合する取り組み (以前にブログ記事でご紹介) の延長にあたるものです。

Windows Azure AD テナントを既に所有しているお客様も、新たに Windows Azure AD テナントで Azure サブスクリプションを作成する新規のお客様も、先日提供が開始された下記の 3 つの機能を使用して、Windows Azure へのアクセスをさらにセキュアかつ効率的に管理できるようになります。

  • Windows Azure ポータルでのユーザー管理、および各ユーザーのアクセス権の管理
  • Windows Azure AD の全体管理者向けに新たに追加された、電話による 2 要素認証 (プレビュー版)
  • Windows Azure ポータル内での Windows Azure AD と Windows Server AD の同期およびフェデレーションの管理

今回の機能強化は、以前から着手している、Windows Azure にエンタープライズ クラスのセキュアな ID 管理機能およびアクセス管理機能を付与する取り組みの一環です。

Active Directory のユーザーアカウントの作成および管理

Windows Azure AD の管理者は、ユーザー アカウントの作成、および既存サブスクリプションへのユーザーの割り当てを実行できます。割り当てられた各ユーザーは、自身の新規サブスクリプションを作成できます。また AD 管理者は、ユーザー アカウントの無効化やユーザーのパスワードのリセットを Azure 管理ポータルから行えます。

従業員が退職した場合は、Windows Azure AD の該当ユーザーのアカウントを削除できます。このとき、すべての Azure サブスクリプションに対するアクセス権が自動的に取り消されます。

AD 管理者は、企業が発行したユーザー名を含むユーザー アカウント (joe@live.com のようなフリー メールではなく joe@contoso.com のような) も作成できます。また、組織の資格情報をオンプレミスの Windows Server AD と同期することも可能です。これにより、業務用のアカウントと個人使用のアカウントを明確に区別しやすくなります。

さらに、ロール ベースのアクセス制御が新たに導入されました。これにより、特定のユーザーを Windows Azure AD の管理者に指定できます。管理者には、ユーザーの変更、追加、削除を実行する権限が付与されます。

スクリーンショット : Windows Azure 管理ポータルで Windows Azure AD のユーザーを管理できます。

スクリーンショット : 全体管理者は新規ドメインを Windows Azure AD に追加できます。ドメイン確認後、このドメインに新規ユーザーを追加できるようになります。

電話による 2 要素認証のプレビュー機能

Windows Azure AD の全体管理者向けに、電話による 2 要素認証がプレビュー機能としてリリースされました。これにより、業務用アプリケーションや Office 365、その他のマイクロソフト製クラウド サービスなどを実行しているサブスクリプションなどの、Windows Azure AD と連携している重要な資産に管理者がアクセスする場合、必要な ID 確認を高いレベルで実施できます。

管理者の 2 要素認証は、1 クリックで簡単に有効化できます。2 要素認証が義務付けられた管理者は、認証に使用する手段として SMS と音声による通知のいずれかを選択できます。管理者が Windows Azure 内で動作する組織のテナントにログインすると、認証要求が毎回自動的に実行されます。

スクリーンショット : 全体管理者権限でユーザーの 2 要素認証を有効化できます。

スクリーンショット : 2 要素認証の有効化後、最初にログインするときにユーザー情報の追加入力が要求されます。

スクリーン ショット: 2 要素認証の構成画面。

スクリーンショット : その後に Azure 管理ポータルへログインする際に、ユーザー名およびパスワードの入力に加えて、電話か SMS でユーザーへの認証が行われます。

 

オンプレミスの Windows Server Active Directory との同期およびフェデレーションの実行

Azure Active Directory Extension 3.0 のリリースにより、オンプレミスの Windows Server AD とクラウド上の Windows Azure AD を Windows Azure ポータルでリンクできるようになりました。

簡単な手順をいくつか実行するだけで、オンプレミスの Windows Server AD とクラウド上の Windows Azure AD を連携させ、同期およびフェデレーションが可能になります。オンプレミスの AD で実行されたユーザーの追加、削除、変更が Windows Azure にも自動的に適用され、クラウド上のリソースに対するアクセス管理をセキュアに実行するための作業が大幅に軽減されます。

スクリーンショット : Windows Azure 管理ポータルで AD の同期およびフェデレーションが設定できます。

デモ動画

本稿に併せて、今回導入された新機能の説明およびデモを行う動画を、Active Directory チームのリード PM を務める Abhishek Matthur と Channel 9 チームの Steve Plank が作成しました。

動画は Channel 9 のこちらのページ (英語) でご覧いただけます。

今回ご紹介した新機能をぜひご活用ください。マイクロソフトでは、お客様からのフィードバックをお待ちしております。また、近いうちに今回のような新機能をまたリリースする予定です。どうぞご期待ください。

最後までお読みくださり、ありがとうございました。
Alex Simons

Windows Azure Active Directory 部門 PM 担当ディレクター