AzureAD導入を考える場合、必ずキーワードとして出てくる本用語の違いについて、私の知識の棚卸もかねて雑に解説しようと思います。
AzureAD登録とは?
文字通り、デバイス(PC等)をAzureADに登録することです。
AzureAD登録可能なデバイスはWindows10/11、Mac PC、Android、iOS。
AzureAD登録って主にBYOD利用を想定した操作のことで、デバイスをAzureAD登録することによって、デバイスをIntuneっていうMDMのサービスで管理することが可能になります。
で、それによって業務で使ってるBYODデバイスをうっかり紛失しちゃいましたって時に、Intuneからリモートワイプすることでリモートでデバイスを(悪意ある第三者に拾われて悪用される前に)初期化することができるんです。
後は、AzureADの条件付きアクセス機能を使うことができるようになります。
詳しい説明は割愛しますが、例えば、組織として使用が認められたデバイスしか、業務アプリにアクセスさせたくないって要件があるときに、
業務アプリをAzureADと連携させる(これにより業務アプリへのサインイン時の認証にAzureADを使用するようになる)⇒組織として使用を認められているデバイスしかAzureAD登録できないようにする⇒AzureAD登録した端末しかAzureADの認証を突破できないように条件付きアクセスを構成する
というようにAzureADを構成することができて、本構成により要件の達成が可能になります。
この、MDMや条件付きアクセスを利用可能になるってあたりが、AzureAD登録をすることによって達成可能な事項なんですが、じゃあ、AzureAD参加の場合は何ができるようになるの?っていうと次に記載します。
AzureAD参加とは?
結論、(少なくともIT管理の面において)AzureAD参加は、AzureAD登録以上の恩恵をもたらしてくれます。
AzureAD登録可能なデバイスはWindows10/11のみ。(AzureAD登録とはちがって、Mac PC、Android、iOSは対応していない、残念!)
話の前段として、デバイスをAzureAD参加させると、デバイスにAzureAD上のユーザーでサインイン可能になります。(AzureAD登録の場合はAzureAD上のユーザーでサインインできなくて、ローカルのユーザーでしかサインインできない)
これで何が嬉しいかというと、AzureADにはAzureAD上のユーザーのサインインのふるまいを監視する機能があり、例えば、悪意ある第三者がAzureAD参加してるデバイスになりすなしでサインインしようとすると、その不審なサインインの挙動をAzureADが検知して、サインインできないようにアカウントを無効化してくれたりします。
それ以外にも、Intuneから特定のAzureADユーザーのみを対象にアプリやセキュリティポリシー等を配布することができるんですが、その特定のユーザーがデバイスにサインインした際に、特定のユーザー向けのアプリやセキュリティポリシー等が、(特定のユーザーのみ)デバイスで利用可能にできたりします。
AzureAD登録のとこで説明した、MDM機能や条件付きアクセス機能はAzureAD参加の場合でも利用可能なので、(IT管理の側面において)AzureAD参加はAzureAD登録の上位互換といってもよいと私、個人的には思っています。
(ただし、AzureAD参加はWindows10/11 でしかできないから、例えばMac使ってる人はAzureAD参加したくてもできないんだけどね。。。)
本記事のまとめ
★AzureAD登録⇒単純にデバイスをAzureADに登録させて、デバイスのみAzureADで管理ができるよって機能。AzureAD登録可能なデバイスはWindows10/11、Mac PC、Android、iOS と幅広い。
★AzureAD参加⇒AzureADユーザーでデバイスにサインイン可能になる。AzureADユーザーとデバイスの組み合わせの上での管理となるため、AzureAD登録よりも充実した管理が実現可能になる。ただし、AzureAD参加可能なデバイスはWindows10/11のみ
コメント