お問い合わせ窓口
2023.06.27
#Microsoft 365#シングルサインオン#セキュリティ
クラウドサービスを利用する機会が増えたことで、1人のユーザーが複数のIDやパスワードを使い分けることが増えています。そんな中、都度ログインする手間を省きながら、セキュリティ対策にもつながるシングルサインオンに注目が集まっており、Microsoft 365でもシングルサイオン化を検討する企業も増えています。
本記事では、Microsoft 365でシングルサインオンを利用するメリットや方法について解説します。複数のクラウドサービスを利用中でパスワード管理に負担を感じる方やセキュリティに不安を抱える方はぜひ参考にしてください。
HENNGE社の「企業のSaaS利用に関する調査結果SaaSに関する利用調査」によると、9割以上の企業が4つ以上のSaaSを導入しています。10以上のSaaSを利用している企業も24%も存在し、複数のSaaSサービス利用は当たり前の時代になっているといえます。
そこで注目されているのがシングルサインオンです。今回は、シングルサインオンを導入する必要性について解説します。
出典:「導入しているSaaSの数-企業のSaaS利用に関する調査結果」HENNGE社
https://hennge.com/jp/info/news/saas_2019.html
そもそもシングルサインオン(SSO:Single Sign On)とは、ユーザーが1つのIDとパスワードだけで、連携している複数のWebサービスやアプリケーションにログインすることができる仕組みをいいます。
複数のサービスを利用するには、各々のIDとパスワードが必要になります。こうしたパスワード管理はユーザーの負担になる上、簡単なパスワードの使いまわしや付箋やメモに残すといった行動にもつながり、ログイン情報漏えいにおけるリスクが高まります。
シングルサインオンなら、1つのIDとパスワードで複数のサービスにログインできるため、セキュリティリスクやパスワード管理の負担を軽減することが可能です。
マイクロソフト社が提供するMicrosoft 365は、利用者数が年々増加している、多くの企業が導入しているクラウドサービスのひとつです。
Microsoft 365は、インターネット環境さえあればどこからでも利用可能ですが、リモートワークの普及によって社外からアクセスする機会が増え、パスワードを第三者に知られるリスクやログイン情報が漏えいするリスクも高まっています。
シングルサインオンを導入することで、Microsoft 365や他の複数のクラウドサービスに同じパスワードでログインすることができます。また、多くのシングルサインオンサービスには、アクセス制御や多要素認証といった機能も搭載されており、Microsoft 365へのアクセスを制限したり、認証を強化したりといったセキュリティ対策を行うことができます。
Microsoft 365をより安全に効率よく利用できるため、シングルサインオンを導入する企業が増えています。
Microsoft 365でシングルサインオンを実現するには、現在の認証基盤を確認し、サーバーを追加したり、サードパーティを導入したりする必要があります。以下の3つの方法で実現することができます。
それぞれ詳しくみていきましょう。
1つ目はADFSを導入する方法です。オンプレミスでの認証基盤を主体にしている場合に適した方法になります。
ADFS(Active Directory Federation Services)とは、マイクロソフト社が提供するディレクトリサービスActive Directoryの機能の一つです。
Active Directoryはオンプレミスの認証基盤ですが、多くの企業でクラウドサービスの利用が増えてきたことから、クラウドへのアクセスをスムーズにするため、ADFSが誕生しました。
ADFSは、Active Directoryにサインインした際に生成された情報をもとに、対象のクラウドサービスとの間で認証連携を行います。これにより、Active Directoryへ一度ログインするだけで、各々のサービスへ個別にログインしなくてもサービスが利用できるようになります。
既にActive Directoryサーバーを利用中であれば、別途ADFS サーバーを立てることでシングルサインオンを実現できます。
自社のセキュリティポリシーに基づき、主要な認証基盤をオンプレミスのActive Directoryにしている企業も多いでしょう。クラウドでも安全な認証を行いたい場合は、Active Directoryとの連携を目的としているADFSを利用すれば導入もスムーズです。
一方で、サーバーの構築や管理が必要であり、コストも運用負担もかかるため、自社のリソースで完結が可能な企業での実施をおすすめします。
サーバーにADFSをインストールすることで導入が可能です。
ユーザーは、ADFS がインストールされているサーバーにサインインしたのち、管理コンソールにて認証情報を登録し、証明書を取得します。
基本的にクラウドサービス側で認証を行うのではなく、事前に登録した情報に基づいてActive Directoryとクラウドサービスで認証連携を行い、アクセス可否を判断する仕組みです。これによって、一度のログインで複数のクラウドサービスを利用可能になります。
ADFSのインストール方法はこちらから。
テクバンのMicrosoft Office 365 ADFS(認証連携)導入サービスについてはこちらから。
2つ目はAzure ADを導入する方法です。Microsoftの一部プランには自動的に含まれているサービスのため、プランによってはすぐにシングルサインオンを開始できます。
Azure AD(Azure Active Directory)とは、マイクロソフト社が提供するクラウド型のActive Directoryです。
近年、モバイル端末で外出先から利用することや、クラウドサービスを利用することが増えてきましたが、従来のActive Directoryは、社内ネットワーク(ローカル)環境下でのみ利用できる認証基盤だったため、社外のモバイル端末やクラウドの認証には対応していませんでした。
Azure ADはクラウドもオンプレミスも認証情報を包括して一元管理することができます。クラウド上でユーザーを管理するため、ID 管理やデバイス管理、アクセス制御、多要素認証、シングルサインオンなどの多くの機能を備えています。
Azure AD自体がクラウドサービスのため、自社サーバーの構築が不要であり、初期費用やデータセンターの運用費用はかかりません。また、ユーザーの利用状況に応じた月額課金制となっているため、無駄なコストを抑えることができます。
既存のActive Directoryと統合することが可能であり、クラウドとオンプレミスの両方に対応することができます。Microsoft 365を含めたMicrosoft製品、その他複数の外部サービスとの連携も容易にできるのがメリットです。
Azure ADは、Free、Office 365、Premium P1、Premium P2の4つのプランの中から契約することで利用可能になります。
Freeプランは他のサブスクリプションを契約すると自動的に付加されるプランです。気付かずに契約している場合もあるため、現在利用中のプランをよく確認することをおすすめします。
| Azure AD Free | Office 365 | Azure AD Premium P1 | Azure AD Premium P2 | |
| 価格 | 無料 | 無料 | ¥750ユーザー/月 | ¥1,130ユーザー/月 |
| 含まれているプラン | Microsoft Azure Dynamics 365 Power Platformなど |
Office 365 E1/E3/E5/F1/F3 | Microsoft 365 Business Premium Microsoft 365 E3 |
Microsoft 365 E5 |
| 特長 | シングルサインオンや多要素認証( MFA ) | FREEプランの内容とほぼ同様 | Office 365プランの内容に加えて、不正アクセスへのアラートや条件付きアクセス、アプリケーションプロキシといった機能が利用可能。 | Premium P1プラン内容に加えて、リスクベースの条件付きアクセスやID保護、アクセスレビューなど、Azure ADの最も高度なセキュリティ管理機能をすべて利用可能。 |
※2023年6月時点の価格です。消費税は含まれておりません。最新のプランや価格についての詳細はこちらから。
3つ目はIDaaSというサードパーティを導入する方法です。Windows 環境でない場合やActive Directoryを利用していない場合などでも導入が可能です。
IDaaS(Identity as a Service)とは、ID認証、ID/パスワード管理、シングルサインオン、アクセス制御などをクラウド上で提供する認証サービスです。
社内で利用するサービスが増えていくと、ID/パスワードの管理が煩雑になり、ユーザーの負担やセキュリティリスクも増加します。
IDaaSは、クラウドやオンプレミスを問わず、全てのID/パスワードを一元管理することができます。IDaaSを提供する企業は年々増加しており、提供するサービスの内容はベンダーによって異なるため、自社に合ったIDaaSを選ぶことが重要です。
クラウドサービスのIDaaSなら、Active Directoryなどオンプレミスの認証基盤に新たにサーバーを構築しなくても、コストを大幅にカットして導入することができます。
また、Windows 環境でない場合やActive Directoryとあえて連携させたくない場合などでも対応可能で、様々な環境下で柔軟なシングルサインオンを実現できます。
ベンダーによっては導入前後のサポートサービスがあるため、社内に専門知識を持った人がいなくても安心して運用開始まで進められるでしょう。IDaaS特有のセキュリティ機能を提供している場合もあり、セキュリティ強化にも期待できます。
まずは希望のIDaaSを選定し、申し込みを行います。そして、オンプレミスのActive DirectoryとIDaaSを連携させ、さらに対象のクラウドサービスやWebサービスと連携させることでシングルサインオンが実現します。
ここから、いくつか主要なIDaaSをご紹介します。
GMOトラスト・ログインは、GMOグローバルサイン社が提供する国産ID管理サービス(IDaaS)です。ID/パスワード管理、シングルサインオン、認証強化、ID連携の機能を備えており、初期登録が無料、基本プランなら0円で利用開始できるため、コストパフォーマンスが非常に高いのが特長です。
GMOトラスト・ログインなら、わずか数ステップでMicrosoft 365へのログインをシングルサインオン化することができ、さらにAzure ADとの併用も可能です。
HENNGE Oneは、HENNGE社が提供するIDaaSやメールセキュリティの機能を搭載したセキュリティサービスです。シングルサインオンやアクセス制御はもちろん、メール誤送信対策やメールアーカイブなどのクラウドセキュリティを、オールインワンで提供可能です。
HENNGE One は、Microsoft 365のシングルサインオン設定作業を無償で代行、契約期間中も手厚いサポートを提供してくれるのが特長です。また、シングルサインオンのサービス連携数の上限や追加課金がないため、他のクラウドサービス導入を手軽に行うことが可能です。
シングルサインオンで利便性と安全性を向上
Microsoft 365にシングルサインオンを導入するメリットと実現方法について解説してきました。Microsfot 365以外でも複数のクラウドサービスを利用すれば、それだけ多くのパスワードを覚える必要があり、適切な管理を怠るとパスワードの紛失や情報漏えいにつながるリスクがあります。
ADFS、Azure AD、IDaaSを導入することで、Microsfot 365でもシングルサインオンを実現でき、パスワード管理の負担軽減やセキュリティ強化につながります。どの方法が適しているかは、現在の認証基盤が置かれている環境によって違うため、よく見極める必要があります。
自社にあった方法でMicrosfot 365のシングルサインオン化を検討してみてはいかがでしょうか。
Microsoft 365を守るセキュリティツールについて詳しい資料はこちらから。
※本記事の内容は2023年6月時点のものです。Microsoft 製品の仕様や利用環境は変更する場合があります。
最適なセキュリティ環境で得られる安心感は、企業の成長、ビジネスの活性化、イノベーション創出につながります。包括的なセキュリティ強化を検討してみませんか。
マイクロソフト社が提供する”ゼロトラスト型”のセキュリティツールに加え、SSOなどの認証サービスを紹介しています。 各サービスの機能、実現できること、各サービスとの連携などを分かりやすく図解でまとめています。
多くの企業でDXが推進される今、複数のクラウドサービスを導入している企業がほとんどです。一方で多要素認証の管理、ISパスワードの管理での悩みも増えています。本資料では、ログイン時の多要素認証についてお悩みの方に、セキュリティと利便性の向上を実現するSSO「GMOトラスト・ログイン」について紹介しています。
多くの企業では、サイバー攻撃や情報漏えいの危険にさらされ、被害や事故は後を絶ちません。中でも情報漏えい事故の原因としては、メールの誤送信が多数を占めているのです。本資料では、組織がいち早く取り組むべきメールセキュリティ対策について解説します。
