Microsoft Enterprise Mobility + Security(EMS) は、最近非常に注目度の高いMicrosoft社のクラウドサービスパッケージの1つです。
今回は、EMSライセンスプランの1つである E3 について解説したいと思います。
Enterprise Mobility + Security E3 を構成するサービス
- Azure Active Directory P1
- Intune
- Azure Information Protection P1
- Microsoft Advanced Threat Analytics
- Windows Server CALs
Enterprise Mobility + Security E3(EMS E3)は、企業のクライアント管理に大きく役に立つパッケージが構成されています。
各サービス1つ1つの機能も豊富ですが、それぞれを連携させることで企業の抱えるデバイス管理やアクセス管理といった課題を解決することができるかもしれません。
Azure Active Directory P1
Azure AD は Microsoftが提供するクラウドID認証基盤(IDaaS)です。
Office 365 を契約すると自動的に構成され、認証管理を行うサービスです。
EMS E3に付与される Azure AD P1を契約することでFree版にはない様々な機能が利用できます。
例えば、Windows 10 においては、1809(Windows 10 October 2018 Update) 以降、Azure AD Join(Azure AD 参加)と呼ばれるログイン方法がサポートされました。
これまで多くの企業が社内の認証基盤を整えるためにオンプレミスで Windows Server による Active Directory 環境を構成してきましたが、それをクラウドで代替するようなイメージでよいと思います。
条件付きアクセス
Office 365 を含む様々なクラウドへのアクセスを制御するルールを定義することができます。
例えば、以下のようなことが実現できます。
- Mac OSを利用しない企業においては、Mac OSを拒否する(指定OS以外の拒否)
- 会社のIPアドレス以外からはアクセスさせない (アクセスIPアドレス制御)
- 外出先からアクセスするときは多要素認証を強制する(接続IP別制御)
- Office アプリケーション以外からのアクセスを強制する(アクセスアプリケーション制御)
Azure Multi-Factor Authentication
条件付きアクセスの利用例でも書きましたが、 パスワード だけでなく、 ユーザーが持っているもの (携帯電話など、簡単には複製できない信頼できるデバイス)による認証を追加することができるようになります。
- モバイルアプリ(Microsoft Authenticator)
- SMS メッセージ
- 音声通話
- ハードウェア トークン(3rdパーティハードウェア)
- 電子メール アドレス
Azure Active Directory Cloud App Discovery
Microsoft Cloud App Security Cloud Discovery 機能の一部を利用する権利が付与されています。
Microsoft Cloud App Security Cloud Discoveryは、使用中のクラウド アプリを検出することで、シャドウ IT を検知しレポートするサービスです。
簡易版という位置づけのため、検出されたアプリの管理を行う機能は省かれています。
Azure Active Directory レポート
Azure AD P1 を利用する大きなメリットの1つとして取り上げたいポイントです。Azure AD P1を利用した際のログについては以下のルールで管理されます。
- 監査ログの保持 (30日)
- サインインログの保持 (30日)
- MFAの使用状況レポートの保持(30日)
Azure AD の FreeプランやBasicプランより詳細なログを取得することができますが、詳細なリスクレポートを見るためには、Azure AD P2のライセンスが必要となる点に注意してください。
また、ログの保持期間は最大30日間ですので、外部保存をするようにしましょう。(おすすめはAzure Monitor + Azure Sentinel)
動的グループ
動的グループを構成し管理することで、管理者は運用負荷を軽減することができるかもしれません。
例えば、特定のグループに参加したユーザーには、特定のライセンスを付与するなどが行えるようになります。
逆に、グループから除外されたメンバーのライセンスを外すということもできます。
Connect Health
Azure AD P1 の機能の中でも注意が必要なサービスの1つです。
Connect Health は オンプレミスの Azure AD Connect や オンプレミスのActive Directory を監視することができるエージェントアプリケーションです。
1アカウントでもライセンスを所持している場合、1エージェントの利用が許可されます。
しかし、 追加登録されるエージェントごとに、25 個の追加 Azure AD Premium ライセンス が求められるため、Azure AD Connect サーバー × 1、ドメイン コントローラー × 1 という構成では26ライセンスが必要です。
Azure Active Directory アプリケーション プロキシ
Connect Healthと同じようにオンプレミス環境のWindows Server にインストールするタイプの機能です。
アプリケーション プロキシ を構成することでAzure ADを経由してオンプレミス環境のWeb環境にアクセスできます。
※ ログインするような環境へのアクセスの場合は動作テストが必要です。