Entra IDで解決！セキュアなリモートワークの実現方法

企業のクラウド導入も進んでおり、SaaSと呼ばれるインターネット上のソフトウェア・リソースを業務で利用する機会もふえてきました。

時間や場所を問わない働き方、いわゆるリモートワークが実現しやすい環境といえますが、やはり何も管理・対策しなくてはセキュリティに不安が残りますよね。

そこでクラウドID・アクセス管理サービスであるMicrosoft Entra IDを利用してみるのはいかがでしょうか。

Microsoft 365（以下、M365）にも含まれているEntra IDには、クラウドやSaaSのセキュリティを高めるID管理機能が実装されており、多要素認証などの運用も可能になります。

本記事ではEntra IDを活用してセキュアなリモートワーク環境を構築するための基本的なステップをわかりやすく解説します。

SaaSを利用したリモートワークにおけるセキュリティの懸念

クラウド化の進展

メールなどの基本的なアプリケーションもクラウドを使う機会が増えてきました。

たとえばOutlookやExcelなどのMicrosoft Office製品も、最近ではインストールして使うパッケージ版ではなくSaaSであるM365の利用が主流になりつつあります。

従来、企業内で設置・運用されていたサーバーもクラウド化が進み、IaaSサービスであるAzureを用いてインターネット上に自社の仮想ネットワーク、仮想基盤を構築することが一般的になってきました。

このような変化で場所を問わないアクセスやリモートワークもしやすい環境になってきたといえますが、懸念されるのがセキュリティです。

クラウド時代に必要なセキュリティ

社用PCを持ち帰る、または私物PCを使用して、従来の企業ネットワークの外からリソースにアクセスするケースの増加に対しては、セキュリティの考え方も変化させる必要があります。

従来は社内ネットワークの境界を堅固に守ることでリソースを保護できましたが、クラウド時代は特定のスポットを守る境界型防御では対処ができません。

制御されていないネットワークからの侵害を前提とし、あらゆるアクセスを信頼せず常に検証する「ゼロトラスト」の考え方が必要になります。

＼ 2週間無料でお試しできます！ ／
仮想デスクトップを使ってみる

マイクロソフトEntra IDのメリット

リモートワーク時代にセキュアなアクセスを実現するためのサービスとして注目されているのがEntra IDです。

Entra IDとは、マイクロソフトがM365やAzureといったクラウドサービスにおいてID管理を担う認証基盤であり、ゼロトラストセキュリティの基幹となるものです。

2025.01.09

Entra IDとは？ Azure ADや旧ADとの違いを分かりやすく解説！

マイクロソフトは2023年、Azure ADを Microsoft Entra IDに改称しました。長年慣れ親しまれたAD（...

多要素認証（MFA）

Entra IDでは、従来の「ユーザー名＋パスワード」だけではなく、よりセキュリティ強度が高い多要素認証をサポートしています。

多要素認証とは「記憶（知識）情報」、「所持情報」、「生体情報」のうち複数の要素を組み合わせる認証の仕組みです。

ログイン時、従来のユーザー名＋パスワード（記憶情報）に加え、ワンタイムパスワードや指紋認証などが必要とされることで、より確実に本人である認証を行うことができます。

2024.04.04

MFA (多要素認証)とは。次世代セキュリティの鍵について解説！

最近、セキュリティのニーズの高まりの中でよく使われるようになっているのが「MFA（多要素認証）」です。MFAは、情報漏洩や不正ア...

シングルサインオン（SSO）

シングルサインオン（SSO）とは、一度のユーザー認証だけで連携されている複数のシステムやサービスに自動的にログインできる仕組みです。

複数のアプリケーションを一度の認証だけでログインできるということで、ユーザーの利便性向上が最大の特徴ですが、セキュリティ面でも大きなメリットがあります。

具体的には、アプリ毎に個別ログインする場合に発生しがちなずさんなパスワード管理やスキミングなどによる情報漏洩リスクが軽減されるほか、管理側としてもIDが一元化されることで強固なセキュリティ対策の実装が容易に可能になります。

条件付きアクセス

特定の条件に基づいてクラウドサービスへのアクセスを動的に制御する仕組みが条件付きアクセスです。

「割り当て」（ユーザー、グループ、ネットワーク条件など）に基づき「アクセス制御」（アクセス権の付与、アクセス拒否）を適用します。

条件付きアクセスを用いることで、管理者は多要素認証などのセキュリティを任意の条件によって組み込んでコントロールすることができます。

＜実装例＞
・管理者権限のユーザーがアクセスする際、多要素認証を要求する
・国外のIPアドレスが送信元のアクセスはブロックする
など

＼ 2週間無料でお試しできます！ ／
仮想デスクトップを使ってみる

実践編：Entra IDで多要素認証を実装する流れ

実際にEntra IDでユーザーを管理し、アプリへのログイン時に多要素認証を設定するまでの簡単な流れについて説明していきます。

前提条件としてはまず有償版のM365を契約していることです。

また、操作についてはブラウザからアクセスできる「Microsoft Entra 管理センター」で実行できます。

テナントの設定

テナントとは、Entra ID管理対象のユーザーやグループ、アプリケーションといったリソースがすべてまとめられた部屋のようなもので、Entra IDと1対1の契約関係を持つ組織の管理範囲の基本単位となります。

テナントは、M365（もしくはAzure、Intuneなど）にサインアップした際に自動的に作成されます。

テナントには当初、「XXX.onmicrosoft.com」という初期ドメイン名がついていますが、必要に応じて企業や組織で使用している（XXX.comやXXX.co.jpなど）カスタムドメイン名を追加設定することもできます。

ユーザー・グループの作成

・ユーザー
メニューの「ユーザー」＞「新しいユーザーの作成」
個別に作ることもできますし、CSVファイルから一括作成することも可能です。
・グループ
「新しいグループ」＞グループ名を決める＞グループに含めたいメンバーを選択

ライセンスの割り当て

作成したユーザーがMicrosoftのサービスを利用するには、そのユーザーにライセンスを割り当てる必要があります。

ユーザーを選択＞「ライセンス」＞「割り当て」＞ライセンスを追加。

※ライセンスに似た概念としてロールというのがありますが、これはEntra IDのリソースを管理するためのアクセス許可のことです。

多要素認証の設定

Entra IDではデフォルトで「セキュリティの既定値群」という機能が有効になっているので、すべてのユーザーは初回ログイン後14日以内に多要素認証への登録を求められます。

そして、管理者のサインインや特権が必要なケースでは多要素認証が必要になり、多要素認証として有効になっている認証方法が確認できるほか、認証方法の有効化無効化も設定可能です。

メニュー＞「認証方法」＞「ポリシー」＞認証方法の有効化無効化

しかし一律の設定ではなく、もっと細かく条件をつけて多要素認証をコントロールしたいケースも多いでしょう。

そういった場合は条件付きアクセス（※）を使います。

※Microsoft Entra ID P1以上のプランが必要

■条件付きアクセスのポリシーを設定する場合の手順

1. 条件付きアクセス＞新しいポリシー2.割り当てユーザーとグループを選択
3.ポリシーの適用対象（アプリ）を選択
4.アクセス制御で「許可」を選択し、多要素認証を要求し、ポリシーを有効化

Entra IDを利用することで、簡単な操作でクラウドアプリへのアクセスをセキュアにすることができます。

条件付きアクセスも使えば、より認証機能が強化されるでしょう。

＼ 2週間無料でお試しできます！ ／
仮想デスクトップを使ってみる

応用編：リモートワークをさらにセキュアに

Intuneとの連携

Intuneとはマイクロソフトが提供するPCやスマホなどのデバイス管理ツールです。

Entra IDをIntuneと連携することにより、さらに強力なセキュリティ管理を実現することができます。

例）
・デバイス単位でのアクセス制御
・遠隔データ消去
・更新プログラムの管理

会社の端末管理をIntuneに集約することで、自社の端末以外からのアクセスを禁じることができるので、かなりガバナンスを効かせたリモートワーク対策が可能でしょう。

Azure Virtual Desktop

セキュアなリモートワークを推進したい企業の間で導入が増えている技術に「仮想デスクトップ」があります。

端末にデータを置かないので情報漏洩対策に効果を発揮するでしょう。

Azure Virtual desktopは、マイクロソフトのクラウドVDIソリューションで、ユーザーはデバイス問わずどこからでも自分の環境にアクセスできるほか、強固なセキュリティ（ローカル端末とのファイルコピー制御など）を備えています。

Entra IDと統合することで、SSOや多要素認証が利用可能となり、より安全かつ利便性を兼ね備えたリモートワーク環境を構築できます。

まとめ

この記事では、マイクロソフトのクラウド環境にてID管理を実現できるEntra IDを紹介して、リモートワークにも使えるセキュアな運用管理を実装していく方法を解説しました。

M365やAzureのライセンスで利用可能であり、SSOや多要素認証などがデフォルトで実装可能なEntra IDは、マイクロソフトのクラウド製品を利用中／もしくは利用検討中の担当者にとって、リモートワーク環境のセキュリティ強化のための第一歩として大変魅力的な管理ツールではないでしょうか？

どこからでもリソースにアクセスできるという点が大変便利なクラウドですが、情報漏洩などのセキュリティ対策は必須といえますので、ぜひ実装をご検討ください。

テレワーク環境はWinserverにお任せ！

仮想デスクトップサービス

Winserverでは、テレワーク環境に最適の「仮想デスクトップサービス」を提供しております。

仮想デスクトップサービスは、当社サーバー上にお客様専用のデスクトップ環境をご用意するサービスです。

ご自身の端末（自宅にあるPCや勤務先から貸与されたノートPC、スマートフォンなど）からインターネットを通して接続することができます。

データは全てサーバー上に保存されるため、端末の故障や紛失によってデータが外部に漏れる心配がありません。

Microsoft365を追加して、OfficeやOneDriveを利用することもできますので、快適なテレワーク環境を整備されたい方におすすめです。

＼ 2週間無料でお試しできます！ ／
仮想デスクトップを使ってみる

2023.08.18

仮想デスクトップに申込み、リモートデスクトップ接続する手順を解説！【Winserver】

仮想デスクトップとは、PCやスマートフォンなどの端末からインターネットを利用して、クラウド上にあるデスクトップ環境を操作できるようにしたサー...