本記事について
本記事では、Azure AD B2B と Azure Lighthouse を比較し、特に Azure Lighthouse を利用すると何ができるようになるのかをご紹介します。
Azure AD とは?
まず、Azure AD について振り返りたいと思います。Azure AD はマイクロソフト社の ID as a Service です。特にマイクロソフト社のクラウドサービスである、Office 365 や Azure ではデフォルトの ID・アクセス管理基盤として利用されます。そのため、Office 365 や Azure を利用するときには、Azure AD の仕組みを知っておく必要があります。本記事では、特に Azure での利用について触れていきます。
-
Azure AD の概念
-
Azure AD と Office 365 と Azure の関係性
Azure と Azure AD
Azure では、Azure AD が認証基盤となり、そのユーザーやグループの情報を使ってロールベースアクセス制御を行います。Azure ではサブスクリプションが課金の単位ですが、各サブスクリプションは必ず一つのディレクトリを信頼する必要があります。
この信頼の向け先は変更することも可能で、詳細な手順や条件はこちらに記載されています。
Azure AD B2B とは?
上記で見たように、Azure において Azure AD は絶対的な境界となります。ひとつのサブスクリプションは2つのディレクトリを同時に信頼するようなことはできません。ですが、実際には異なるディレクトリを持つ組織間でのコラボレーションが必要になります。そこで必要になるのが、Azure AD B2B という機能になります。
Azure AD B2B では、他社のディレクトリ内のユーザーを招待し、ゲストユーザーという形でリソースへのアクセスを許可します。なお、Azure AD B2B では、Azure AD / Microsoft アカウントのユーザーだけでなく、Google アカウントやほかのIdPのユーザーを招待して利用することもできます。(詳細はこちら。)
- Azure AD B2B の概念
Azure の利用時における、Azure AD B2B の特徴
Azure において、Azure AD のディレクトリは絶対的な境界です。そのため、Portal にログインした時、必ずひとつのディレクトリに入っている形になります。そのため、ゲストとして別のディレクトリに入っているときに、自社のディレクトリ配下のリソースを操作するときは、ディレクトリの切り替え(ゲスト --> 自社 または 自社 --> ゲスト)が必要になります。
この仕組みの利点としては、ゲストユーザーに対して、テナント内のユーザーと同じように IAM 設定が行えることが挙げられます。
一方、ここで問題になるのが、複数のリソースにまたがる操作です。たとえば、Azure のリソースを操作する際には、
- ひとつのダッシュボードでまとめてリソースを見たい
- ログ検索を複数のリソースに対して行いたい
- ポリシーの強制を複数のリソースに対して行いたい
などのニーズが出てきます。もし、サブスクリプションが分かれていても、同じディレクトリの中に各リソースが存在していれば、(アクセス権さえあれば、)上記は実行可能です。しかし、リソースが属するディレクトリが分かれている場合、仮にB2Bでゲストユーザーとして招待されていたとしても、上記を実現することはできません。毎回ディレクトリの切り替えを行い、それぞれを確認・実施する必要があります。同時に検索をかけ、それぞれの条件に引っ掛かったときだけメールを送るなどといった作業はできません。
ここで必要になるのが Azure Lighthouse です。
Azure Lighthouse とは?
Azure Lighthouse は、一言で言うと、サブスクリプションやリソースグループの管理を、別のディレクトリのグループやサービスプリンシパルに委任する仕組みです。
- Azure Lighthouse の概念
上記のように管理を委任されると、ディレクトリを切り替えなくとも、ほかのディレクトリの中にあるサブスクリプションをフィルタリングできるようになります。
そして各リソースの画面では、異なるディレクトリの配下にあるリソースを同時に見ることができます。
詳細はこちらの記事に譲りますが、異なるテナント配下の Log Analytics ワークスペースに対してひとつのクエリをかけるようなことも可能になります。
具体的な、Azure Lighthouse によるサブスクリプションやリソースグループの委任のステップについては、こちらの記事をご参照ください。
Azure AD B2B vs Azure Lighthouse まとめ
今まで見てきたように、Azure AD B2B と Azure Lighthouse はともに、ディレクトリを超える際の方法になりますが、それぞれ使い方が異なります。Azure AD B2B はゲストユーザーを自社テナントに招待する形になるので、IAM の設定を自社ユーザー・ゲストユーザー双方に同じ UI で行えます。一方、複数ディレクトリにあるリソースの監視やセキュリティ運用においては、共通のダッシュボードやリソース間の検索が必要になるため、Azure Lighthouse が採用されるケースが増えてくると思われます。
- Azure AD B2B vs Azure Lighthouse まとめ
あるマイクロソフトのエンジニアは、Azure Lighthouse をディレクトリ間の"結婚"と評していましたが、今までディレクトリが絶対的な境界だったものが、境界を越えてリソースを扱えるようになります。
その最たる例が、Azure のログの送信です。今まで同じディレクトリの中にあるワークスペースにしか仮想マシンやリソースの診断ログを送れませんでした。しかし、Lighthouse を利用することで、異なるディレクトリ配下にあるワークスペースにもログが送れるようになります。実はこれは、今までログの収集が難しかった、Azure AD B2C のログ収集にも役立てられていたりしています。
最後に
本記事では、Azure AD B2B と Azure Lighthouse を比較し、特に Lighthouse を使うと何ができるのかをご紹介しました。まだまだ活用がされ始めたばかりの Azure Lighthouse ですが、複数のディレクトリに分かれた際のリソース管理では重要な役割を果たします。本記事がその一助となれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。