Azure ADはIDやアカウントをクラウド環境にて一括管理できるツールです。Azure ADと、様々なコンテンツを利用できるBoxを連携すると、非常にセキュアで利便性の高い業務環境を手に入れられます。本記事では、Azure ADの概要から必要とされる背景、Box連携するメリット、シングルサインオン環境を構築する方法までを紹介します。
「Azure AD」とは?小規模組織でも気軽に使える
Azure AD(Azure Active Directory)はクラウド版のADで、アカウントやデバイスの管理、アクセス認証を提供します。大規模なシステムでは必須と言えるディレクトリサービスですが、Azure ADはオンプレミスで環境を構築する必要がなく導入コストが抑えられ、小規模の組織であっても気軽に利用できます。
Microsoft 365の無償版にも組み込まれています。
アカウントやデバイスの管理が必要になった理由
テレワークをはじめとするテレワークの普及によって、システムやコンテンツへのアクセスは社内からだけではなくなりました。同時にBYOD(Bring Your Own Device:私用端末の業務利用)も加速し、システムや利用ツールへログインする端末が増加したことで、アカウント管理はより複雑な状況となっています。また、テレワークの普及に伴い、クラウドで使用する業務効率化ツールも多様化しており、アカウント情報の把握には人的、時間的なコストが伴うようにもなりました。
さらに、ユーザーの利便性と不正アクセスなどのセキュリティ対策の両立も求められます。各ツールへのログインを行う際に、毎回ユーザーIDやパスワードを入力していたのでは、多くのツールを使用する従業員の業務効率に関わります。このような背景から、アカウントやデバイスを一元管理できるツールが必要とされています。
Azure ADとBoxを連携するメリット
業務にはコンテンツが欠かせません。また、コンテンツへのアクセスにはセキュリティも考慮しなければなりません。そこで、Azure ADとBoxを連携するメリットを挙げてみます。
- ID、パスワード管理の効率化
- アクセス管理によるセキュリティ強化
Azure ADのIDおよびパスワード管理機能によって、セキュリティを保ったままログインの手続きを簡略化したり、アクセス管理機能を利用して、アクセスに制限をかけたりといったことが可能です。Azure ADとBoxの連携によって、いつでもどこでも容易に安全にコンテンツにアクセスできるようになり、利便性とセキュリティの両方を満たすことができます。
メリット1:ID・パスワード管理の効率化
Azure ADの認証システムを活用して、Boxへのシングルサインオンが可能です。これによって、新しいSaaS導入によるID発行が不要となり、管理の手間を省けます。シングルサインオンに使用される端末を紛失した場合でも、管理者側でアクセス制限をかけられるので、セキュリティの心配はありません。
また、SaaSアプリにアカウント情報を自動で作成、更新、削除を行うプロビジョニング機能、管理者かユーザーかどちらからでも行えるパスワードリセット機能も利用できるので、常にセキュアな状態を維持できます。
メリット2:アクセス管理によるセキュリティ強化
Azure ADによるアクセス管理機能によって、ファイルなどのコンテンツのセキュリティを高められます。条件付きアクセス機能により、特定の条件を満たす場合のみアクセスを許可することも可能です。
Boxではコンテンツ自体のセキュリティを高める機能として、7段階のアクセス権限設定があり、閲覧や編集の可否を細かく設定できます。クラウド環境において社外との連携を行う際にも、多要素認証の設定により不正アクセスを防げます。
Azure ADとBoxを連携してシングルサインオンの環境を構築する方法
Azure ADとBoxとの連携には、まず前提となるアカウントやプランへの加入といった準備を行います。連携の前提条件が整ったら、次の手順でAzure ADとBoxの連携を進めます。
- Azure ADの設定でBoxを追加する
- SAMLによるSSOのセットアップ
- Boxのメニューからユーザーを登録する
- シングルサインオンのテスト
ここでは、Azure ADとBoxでの前提条件の整え方から、各手順における操作方法を説明し、シングルサインオンの構築方法を説明します。
前提条件
Azure ADとBoxを連携するには、Azure ADのアカウントを持っていることと、BoxのBusinessプラン(「Business」「Business Plus」「Enterprise」「Enterprise Plus」のいずれか)を購入していることが必要です。Azure ADのアカウント取得とBoxのライセンス購入を適宜行って、これらの条件を整えます。
構築手順1:Azure ADの設定でBoxを追加する
Azure Portalにサインインし、左にあるナビゲーションウィンドウより、「Azure Active Directory」をクリックします。管理メニューの「エンタープライズアプリケーション」を選択し、「すべてのアプリケーション」をクリック。新しいアプリケーションを選び、「ギャラリーから追加する」の項目にあるBoxを選択すると、アプリの追加が完了します。
構築手順2:SAMLによるSSOのセットアップ
Azure Portalの管理メニューから「シングルサインオン」を選択し、「シングルサインオン方式の選択」のセクションにある「SAML」を選択します。「SAMLによるシングルサインオンのセットアップ」画面にある「基本的なSAML構成」の右上のペンマークをクリック。サインオンURL「https://<SUBDOMAIN>.account.box.com」と識別子(エンティティID)「box.net」および応答URL「https://sso.services.box.net/sp/ACS.saml2」を入力します。「SAML署名証明書」のセクションにある、「フェデレーション メタデータ XML」のダウンロードをクリックして、証明書をダウンロードして保存します。
構築手順3:Boxのメニューからユーザーを登録する
Boxのメニューにある「ユーザーとグループ」を選択し、「ユーザーの追加」をクリックします。割り当ての追加セクションにある「ユーザーとグループ」を選び、同じディレクトリ上のユーザーを選択するか、追加したいユーザーのメールアドレスを入力して招待をクリックすることで、ユーザーを追加できます。外部ユーザーの場合は、招待後に送られるメールにて承認することで、追加が可能です。
構築手順4:シングルサインオンのテスト
Boxのシングルサインオンから「SAMLベースのサインオン」へ移動し、「Boxによるシングルサインオンのテスト」セクションにある「テスト」ボタンをクリックします。表示される画面の「現在のユーザーとしてログイン」を選択すると、Boxへ遷移します。無事にBoxへ遷移されたらテスト完了です。次回以降は、Azure ADのアクセスパネルにあるBoxアイコンから、パスワードの入力なしでBoxへのログインが可能となります。
まとめ
アカウント管理ツールであるAzure ADは、アカウントやデバイスをクラウドで一元管理します。Boxはクラウドでコンテンツを一元管理します。Azure ADは数千種類のツールと連携が可能であり、それによってIDやパスワードの入力を省略してログインができるようになるなど、業務効率の向上が期待できます。多要素認証などの強固なセキュリティにより、パスワードの入力を省略しても不正アクセスへの心配がありません。
Azure ADとBoxの連携により、企業や組織が一元管理すべき2大要素のアカウントとコンテンツが一元管理ができるようになります。また、Azure ADのアカウント管理機能とBoxのコンテンツセキュリティ機能の両方を活用でき、セキュリティと利便性がより向上します。例えば端末を紛失した場合に管理者側でアクセス制限がかけられたり、コンテンツごとに権限を細かく設定することが可能となるのです。通常、セキュリティと利便性は相反するものですが、Azure ADとBoxにより両者は同時に強化され、業務効率の向上につながります。
Boxまるわかりガイド 〜セキュリティ編〜
