ADFSからAzure ADへの切り替えに便利な「段階的ロールアウト機能」について

こんにちはDXソリューション統括部の村松です。
先月、Microsoft 365をはじめとするクラウドサービスへの認証をADFSからAzureADに段階的に切り替える「段階的ロールアウト機能」がGAされました。

Confidently modernize to cloud authentication with Azure AD staged rollout, now generally available

今回はこの「段階的ロールアウト機能」についてお話できればと思います。

 

そもそもADFSとは?

ADFSとは”Active Directory Federation Service(アクティブディレクトリ フェデレーションサービス)”の略で、Microsoft 365をはじめとしたクラウドサービスにSSOを行う機能です。ADFS環境においてはクラウドサービスの認証はクレームルールに基づいてADFS側で行われます。

Microsoft 365への認証をADFSで行うの場合、フェデレーションドメイン(~@xxx.com,~@xxx.jpなど)を予め定義します。そしてそのドメインをUPNサフィックスとするアカウントがMicrosoft 365にアクセスした際にADFS側にリダイレクトされ、ADFSによる認証が行われます。(@~xxx.onmictosoft.comのアカウントについてはADFSにリダイレクトされない)

 

 

ADFSのデメリット

しかし、ADFSには以下のようなデメリットがあります。

 

  • 運用コストがかかる。
    クラウドサービスへの認証をADFSにリダイレクトさせる必要があるため、構成には高可用性が求められる。
    それに加えて運用においてSSL証明書の更新、OSパッチ適用等が必要になる。

 

  • モダンなセキュリティを実現するのが大変
    多要素認証、デバイス認証などのモダンなセキュリティ環境の実現には追加のサーバ(MFAサーバ、証明書サーバ)構築や構成が必要になる。

 

Azure ADに切り替えるメリット

これをAzure ADに切り替えると以下のようなメリットがあります。

 

  • 認証基盤をMicrosoftのマネージドとすることができる。
    Azure ADはMicrosoftが提供するIDaaS型サービスであるため、SSL証明書の更新、OSパッチ適用等の必要がなくなります。これにより運用コストを削減することができます。

 

  • モダンなセキュリティの実現が容易
    既定でAzure ADは多要素認証を実装されており、さらにAzure AD Premium以上(Azure AD P1以上)のライセンスを付与することで”条件付きアクセスポリシー”基づくきめ細かいアクセス制御が可能です。またIntuneと連携することでデバイス認証の環境を容易に構成できます。これによりモダンなセキュリティ環境を容易に実現できます。

ADFSからAzureADに認証を切り替える際の懸念点

しかし、ADFSからAzure ADへの切り替えを行うとフェデレーションドメイン(~@xxx.com,~@xxx.jpなど)をUPNサフィックスとしている全てのアカウントがAzure ADで認証されます。(ADFSにはリダイレクトされない)

そのため、お客様の中には以下のような懸念や要望をよく耳にします。

 

  • 全てのアカウントの認証が一斉にAzure ADに切り替えられるのは不安。
  • 切り替える前に現在利用しているクラウドサービスがAzure ADでSSOできるかを試したい。
  • 切り替える前にテスト用のアカウントを用いてAzure ADの”条件付きアクセスポリシー”が自社のセキュリティ要件を満たすか確認したい。

 

「段階的ロールアウト機能」とは(ようやく本題…)

そういった懸念や要望にお応えするのが先月GAされた「段階的ロールアウト機能」です。先ほどお話した通りADFSからAzure ADへの切り替えを行うとフェデレーションドメイン(~@xxx.com,~@xxx.jpなど)をUPNサフィックスとしている全てのアカウントがAzure ADで認証されます。さらに一度、認証を切り替えると元に戻すのが難しくなることから、事前の検証で「Azure AD認証を試す」といったことができず、ADFSからAzure ADに認証を切り替えるのに躊躇してしまうお客様が多いのではないでしょうか?

「段階的ロールアウト機能」ではADFSを構成している環境において、フェデレーションドメインをUPNサフィックスとしているアカウントであっても、指定したセキュリティグループに所属するアカウントであればAzure ADで認証させるといったことができます。もちろんそれ以外のフェデレーションドメインをUPNサフィックスとしているアカウントについては通常通りADFSで認証されます。つまりこの機能を有効化するとADFSで認証されるアカウント、Azure ADで認証されるアカウントが共存することになります。これによって例えば「一部ユーザーを段階的にAzure AD認証に切り替えてみる」、「テストアカウントを用いてAzure ADの条件付きアクセスポリシーを試してみる。」といったことが可能です。

具体的な動作について以下の資料をみるとよりイメージしやすいかと思います。(以下の資料はdecode2019で公開された資料です。)

※上記資料は「Good Bye AD FS – Azure Active Directory Only の認証方式へ切り替えよう!」より引用しています。

https://eventmarketing.blob.core.windows.net/decode2019-after/decode19_PDF_SE03.pdf

 

「段階的ロールアウト機能」を設定してみる。

それではADFSを構成している環境にて段階的ロールアウト機能を試してみます。

今回はAzure ADの認証方式を”パスワードハッシュ同期”としますので、事前にAzure AD Connectにて「同期オプション」のカスタマイズから「パスワードハッシュの同期」を有効にしておきます。

※「パスワードハッシュの同期」の有効化についての詳細は以下のドキュメントを参照願います。

パスワードハッシュ同期の事前作業

 

1.「段階的ロールアウト」の対象とするアカウントはセキュリティグループで指定するのでAzure AD側でセキュリティグループを作成し、アカウントをそのグループに追加します。

(今回は”鈴木 一郎<ichiro.suzuki@xxxx.site>”というアカウントをロールアウトの対象とします。)

 

2.Azure AD Connectから「クラウド認証の段階的なロールアウト」から「マネージドユーザーサインインの段階的ロールアウトを有効にする」をクリックします。

 

3.「パスワードハッシュ同期」をオンにします。

 

4.「OK」をクリックします。

 

5.「グループの管理」に対象のアカウントが所属しているグループを追加します。

以上で設定は完了です。

 

実際にロールアウトした対象のアカウントでアクセスしてみる。

それではロールアウトした対象のアカウント(鈴木 一郎<ichiro.suzuki@xxxx.site>)でMicrosoft 365にログインしてみましょう。

1.Microsoft365にログインします。

 

2.Azure ADの認証が行われます。

3.パスワード入力後、Microsoft 365にログインできます。

 

今度は、対象以外のアカウント(田中 二郎<jiri.tanaka@xxxx.site>)でログインし、既存の認証(ADFS)に影響がないことを確認してみましょう。

 

1.Microsoft365にログインします。

 

2.組織のサインインページに移動され、ADFSの認証が行われます。

 

3.パスワード入力後、Microsoft 365にログインできます。

 

よって「段階的ロールアウト機能」を有効化したとしても対象以外のアカウントには影響なく、Azure AD認証を試すことができることを確認できます。(Azure AD認証とADFS認証が共存できることを確認)

ただしこの機能はあくまで、Azure AD認証をテストする目的で設計されているものらしく、永続的にAzure AD認証とADFS認証を共存させることは推奨されていないそうです。そのため、この機能でAzure AD認証を検証し、本格的にADFSからAzure ADに認証を切り替える際は以下ドキュメントを参考に移行を行ってください。

 

Azure Active Directory でフェデレーションからパスワード ハッシュ同期に移行する

 

今回は「段階的ロールアウト機能」についてお話させていただきました。

是非ともこの機能を活用してAzure AD認証への切り替えをご検討いただければ思います。

段階的ロールアウト機能についての詳細は以下のドキュメントをご覧ください。

 

段階的なロールアウトを使用してクラウド認証に移行する

 

以上 今回はここまでになります。またお会いしましょう!

いいね (この記事が参考になった人の数:11)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください