安井智志のコラム第8回~「EMS」って具体的に何ができるの?最新EMSが提供する機能と使い方のポイント~

安井智志コラムMSクラウドのバナー

前回はEMSの概要についてお話しましたので、今回は具体的にEMSが提供する機能やどこに優位性があるのか等についてご説明していきたいと思います。まずは、基本的な導入構成の話から。

◆「EMSとOffice365は原則セットで考えるべし」
Office365ではない他のクラウドサービスの認証基盤としてAzureADを利用したり、Windows10を含むデバイスをIntuneで管理頂くといったことはもちろん可能です。しかし、EMSはOffice365との組み合わせで実現できる機能も多いことから、コスト的に見合わないと判断されることも多いです。
(今後、AzureADがオンプレミスADを完全に取込んで企業内認証基盤のデファクトになってくれば話は別です。)
そもそも同じメーカーであればサービスの親和性は自ずと高いですし、設計思想も同じわけですから、当たり前といえば当たり前ですね。接続元のWindows10も含めてすべて同じメーカーの考え方で繋がることになります。

◆EMSのセット内容(おさらい)
EMSに含まれるサービスは大きく5つです。今回のコラムでは、EMSの中核となる下記①と②を中心にご説明します。下記⑤はサービスというよりもライセンスであり、これを目的に購入することはありませんが、ServerCALを買わなくても済むというのは結構ポイントかと思います。

それではここからは、具体的にEMSで行うことができるOffice365へのアクセスセキュリティについてご説明します。

◆Office365ほかクラウドサービスへのアクセスセキュリティ
まず、Office365の標準機能ではIDとPASSWORD以外のアクセスセキュリティがほぼありません。厳密に言いますと、SharePoint、OneDrive、Yammerについては一応サービスごとに接続元のIP制限もできるのですが、Office365にログインしてからの制御となり、且つ設定がテナント単位となる為、ほぼ使えないに等しいとお考え下さい。ですので、通常はOffice365の導入と併せてアクセスセキュリティを追加検討することになります。アクセスセキュリティとしては、前述の「IP制限」等がまず検討に入りますが、それよりも昨今お客様から出てくる要望は「デバイス認証」です。分かり易く言えば、会社が許可したデバイスからのみOffice365の利用を許可したいというものです。従来のサードパーティの認証サービスでも、証明書を始めとする様々な方法でこれを実現していました。ただしセキュリティ的に不十分な点があったり、運用が面倒だったりと様々な課題がありました。デバイス認証が簡単にできる、というのがEMSのポイントの一つです。

ではここでおさらいとして、従来までのサードパーティ認証サービスとEMSを利用した場合の違いについて簡単にみていきましょう。

◆従来からよくある構成イメージ
サードパーティの認証ベンダー側にリダイレクトされ、そこで正当なアクセスかどうかが判断され、OKであればOffice365へのサインインが許可されます。サービスベンダーにより多少方法やできることが異なりますが、おおよそこのような仕組みです。通常、ユーザ情報は三カ所に保持されます。

◆EMSでの構成イメージ
EMS構成では、Office365標準のフリー版AzureADを有償版のAzureAD Premiumにアップグレードします。そうすることで、AzureAD側で「条件付きアクセス」をはじめとする様々なアクセスセキュリティを実装することが可能になります。また、Intuneをモバイルデバイス機関として有効化し、Office365に接続するデバイスをIntuneに登録することで、デバイスそのものとデバイスに含まれるアプリケーションを管理・制御することが可能になります。このIntuneによるデバイス管理は、次回のコラムで詳細にご説明します。

◆AzureAD Premiumで行う「条件付きアクセス」とは何か?
条件付きアクセスとは、その名の通り、様々な条件に応じてアクセス制御ができる機能です。下記に設定の一例を記載していますが、ユーザやグループ毎に条件設定が可能です。例えば、前述の「会社が許可したデバイスのみOffice365を利用させたい」という要件に対しては、下記の例1のように、Intuneに登録されたデバイスのみOffice365の接続許可を与えるといった感じです。この設定では、Office365の各アプリケーション単位で許可を与えることも可能です。(運用が複雑になる為、ほとんどやりませんが。)

AzureAD Premiumでは、それ以外にも様々なクラウドサービスのSSO認証基盤としてや、社内システムへの出入口として機能させることが可能です。認証基盤やデバイス管理基盤を社内ネットワークではなく、公開されたクラウド側に置くことによって、場所を問わずセキュアな環境を整えることが可能になっています。一見、認証基盤をクラウドにおいて良いの?と思われる人もいらっしゃるかもしれませんが、AzureADは強固且つ大規模な認証基盤として、世界的にも一位二位を争うレベルのものであり、自社所有よりも何倍も安全なものと考えられます。次回は、もう一つのIntuneで何ができるのかを掘り下げ、EMS全体の優位性を見ていきたいと思います。

Microsoftクラウドソリューションについては以下をご覧ください。
https://www.si-jirei.jp/microsoft/

Related post

更新情報

最新コラム

  1. こんにちは!クラウドビジネス担当の三島です。Office365徹底活用コラム6回目ということで、今回…
  2. はじめに 東京オリンピック・パラリンピックイヤーである2020年まであと18か月となりました。この…
  3. こんにちは!クラウドビジネス担当の三島です。Office365徹底活用コラムということで、今回はスマ…

ログインステータス

You are not logged in.
Return Top