従業員の入社、退社、異動など、組織の動きに応じて確実・効率的に管理しなければならないActive Directory。管理機能が豊富なツールも存在するが、非常に高額であったり、逆に廉価なツールは機能が限定されていたりと、ユーザー企業にとってActive Directory管理の効率化は有効な施策が見いだしにくい状況にある。これを打開する新しいアプローチとは?
この4月、多くの企業が新年度を迎えたかと思うが、毎年この時期が近付くと、IT部門が頭を悩ませる大きな問題が存在する。それは、Active Directoryの管理だ。
新入社員が入ってくれば、新たな社員アカウントを作成し、従業員データベースやActive Directoryに新規登録する必要がある。また4月は人事異動の季節でもある。異なる部署へ異動となった従業員の情報、例えばActive Directoryに登録されている所属先情報などを1つ1つ更新する必要もある。新年度を迎えるに当たり、部署名が一斉に変わることもあり得る。その場合は、たとえ組織構造そのものや、各組織に所属する顔ぶれに変更がなくとも、Active Directory上で管理するユーザーやグループの情報を、大量に更新する必要に迫られる。
こうしたActive Directoryの管理は、企業規模が大きくなるほど管理対象とタスクが増える。実際、多くの企業のIT部門では、年度替わりや企業合併などのイベントがあるたびに、相当な労力をつぎ込んでいるはずだ。現に読者の中にも2013年度から2014年度への切り替わりに際して、Active Directoryの更新作業にかなりの手間を取られた方が多いことだろう。
無論、こうした作業を効率化するための施策を、既に実施している企業も多い。最も多いのが、Active Directoryの管理・更新作業を自動化するためのスクリプトやプログラムを自前で組むパターンだ。しかし、これには一定以上の開発スキルが必要となる上、仮に開発できたとしても、作った本人にしか使い方が分からないような、極めて機能が限定された使い勝手が悪いものになってしまう例が多い。最悪の場合、バグで問題を引き起こしてしまったり、作った本人が退職した後、誰も使いこなしたりメンテナンスできなくなったりしてしまうケースもある。
では、市場に出回っている商用のActive Directory管理ツールを使えばいいかというと、これも一筋縄ではいかない。一般に、こうした商用ツールは、「廉価だが、機能が限定されているもの」と「広範な機能をカバーしているが、高価なもの」の2種類に分けられる。
前者は一見リーズナブルな解に思える。だが多くの場合、その機能は「Active Directoryの一括更新だけ」「管理作業の自動化だけ」「レポーティング機能だけ」と限定されている。従って、必要な機能をそろえるために複数のツールを個別に導入したり、オプション機能を付けていったりすると、結局は高くついてしまう例が多い。
後者の場合は、統合ツールとして広範な機能がカバーされているため、Active Directory管理にまつわる大抵の作業は効率化できる。しかし非常に高価であり、決して気軽に導入できるものではないという問題がある。そこで結局、出自の分からないお手製ツールや、人海戦術で何とか乗り切っているといった企業がいまだに多い現実がある。
だが、こうした課題の解決にフォーカスしているソリューションも存在する。その一つがインド発のグローバル企業、ゾーホーのソリューションだ。ゾーホージャパン ManageEngine&WebNMS事業部 マーケティング部 マネージャ 曽根禎行氏によれば、まさにこうしたActive Directory管理にまつわる課題を効率的、かつリーズナブルに解決できるソリューションをグローバルの舞台で提供してきた実績があるという。
「弊社の『ManageEngine(マネージエンジン)』というブランドでは、企業などのシステム運用管理を支援するさまざまな製品をそろえているが、中でもActive Directoryに特化した製品として『ADAudit Plus』『ADManager Plus』『ADSelfService Plus』の3製品を提供している。どの製品も海外では既に長い実績を持つが、日本市場向けとしてADAudit Plusを2013年秋に、そしてADManager Plusを2014年5月21日に提供開始した。ADSelfService Plusも2014年7月頃までのリリースを予定している」
順に説明すると、ADAudit PlusはActive Directoryの監査データの集中管理と活用を支援するツール、ADManager PlusはActive Directoryの管理作業を総合的に支援するツール、そしてADSelfService Plusは、Active Directoryのアカウントロック時のパスワードリセット対応において、「秘密の質問」などを用いて、ユーザー自身でロック状態を解除するツールだ。
中でもActive Directoryの管理作業に日々忙殺されているシステム管理者にとって特に役立つのが、ADManager Plusだという。ではADManager Plusは具体的にどう役立つのか? 前述したActive Directory管理の課題を例に、特徴的な機能を幾つか見てみよう。
まず注目したいのは「一括処理機能」だ。冒頭で挙げたように、年度の切り替わりや組織変更、企業合併などのタイミングでは、Active Directory上のオブジェクトの属性情報を大量に更新する必要がある。これを1つ1つ手動で行うのは現実的ではない。かといってマイクロソフトが標準で提供している管理ツールでは、更新作業を効率化する上でポイントとなる表形式を使った作業には対応していないなど、「一括処理」を行うための機能が弱い。
そこでADManager Plusでは、更新するActive Directory情報をまとめたCSVファイルを読み込むことで、Active Directoryのオブジェクトを一括で更新可能としている。事前に「テンプレート」を定義しておくことで、WebのGUI経由でも一括処理できる。
こうした一括処理も含めた各種管理タスクを、自動化する機能も備えている。例えば、「3カ月限定で雇用する契約社員や派遣従業員」のアカウントを作成する際、アカウントを作成した時点で、「3カ月後には自動的にこのアカウントを無効化、さらにその1カ月後に削除」といった処理を、あらかじめ設定し自動実行することができる。また、人事異動前日の深夜にCSVの内容を自動的に読み込んでオブジェクトを一括更新するなどといったスケジュールにも対応できる。
他のシステムと連携させることで、さらに高度な自動化も行える。「例えば人事システムが定期的に出力する人事データを自動的に読み込んで、最新の人事情報を常にActive Directoryに反映させることも可能」(ゾーホージャパン ManageEngine&WebNMS事業部 技術部 リーダー 豊田陽子氏)だという。「2つ以上の異なるシステムを使う定型的な作業」は手間が掛かりがちなものだが、避けて通ることもできない。この自動化機能によって、大幅な効率化が狙える作業は多いのではないだろうか。
また、Active Directoryは、企業内の重要なID情報を管理するものだけに、情報の更新に当たっては社内での承認・稟議を経るプロセス作りが重要だ。しかし、この承認・稟議のための一連のワークフローをメールの回覧だけで管理しようとすると、余計な時間がかかる上、人的ミスも誘発しやすい。そこで、ADManager Plusはこの申請/承認のフローを自動制御する機能も持っているという。
豊田氏は、「最大で4段階の承認プロセスを設定でき、承認・拒否の結果はメールで関係者に自動通知される。もちろんワークフローはユーザーによるカスタマイズが可能な他、申請/承認や操作の履歴記録がログとして残るため、監査証跡を取る意味でも有効。実際にActive Directoryを管理しているユーザーの視点に立って、十分に使い勝手を考慮した仕様になっている」と解説する。
ところで、ADManager Plus以外にも、こうした各種機能を持つ商用ツールは存在している。例えば、一括処理に特化したツール、自動化に特化したツール、ワークフロー専用ツールなどは比較的安価なものが流通している。
しかし冒頭で説明したように、こうしたツールを個別に採用することが必ずしもリーズナブルな選択になるとは限らない。異なるツールの操作方法を幾つも覚えなければならず、かえって現場の負担を増大させたり、効率を低下させてしまったりすることも懸念される。その点、ADManager Plusは直感的に使えるWebベースのGUIを備え、全ての機能を単一のUIから操作できる。レポートも単一のダッシュボードで一覧・出力することが可能だ。
自動化についても複数のツールを使った連携処理を実装するとなると、一定以上のスキルと手間が必要だ。その点、ADManager Plusはウィザードに沿う形で、自動化ポリシーを効率的に定義できる。これにより、例えば「多彩な複数の条件でActive Directoryを検索し、抽出したオブジェクトを対象に何らかの一括処理を自動実行する」といった高度なタスクも容易に自動化できる。
ただし、こうした機能を備える統合ツールはADManager Plusに限らず、大手ベンダーからも幾つかの同種のツールが提供されている。この点について、曽根氏は「ADManager Plusはこうした製品と比べ、コストパフォーマンスの点で圧倒的に優れている」と解説する。
「もともとのライセンス価格が、他社に比べ大幅に低く抑えられていることに加え、Active Directoryに登録するユーザー数やオブジェクト数には制限を設けず、管理者アカウントの数によってライセンス料が決まる形式を採っている。そのため、大量のユーザーやオブジェクトを管理する大企業でもライセンス料を低く抑えられる」
ちなみにADManager Plusのライセンス体系には、買い取り形式の「通常ライセンス」と利用料形式の「年間ライセンス」の2通りがあるが、前者の最小構成時のライセンス価格は33万5000円、後者の最小構成価格は15万2000円となっている。調べてみると分かると思うが、この価格は大手ベンダーをはじめ同種のツールと比べて破格と言ってもいいほどの価格だ。
これまで、Active Directoryの管理にまつわる課題を根本的に解決しようと思えば、多大なコストを掛けざるを得ない状況があった。だが多くの企業にとって、そのコストこそが最大の障壁となってきた。こうした事情を鑑みると、Active Directory管理に課題を抱える企業と、実際に手を動かしている管理者にとって、ADManager Plusは決して大げさではなく、コストと機能のバランスが取れた“救世主”のような存在にもなり得るかもしれない。現状に問題を感じている方は、Active Directory管理にまつわる現在の課題を振り返りつつ、ADManager Plusの機能/価格体系を詳しく調べてみてはいかがだろうか。
ManageEngineが提供する、Active Directory(AD)管理ソフトウェアの製品概要と導入方法をご紹介します。製品のデモンストレーションでは、ADManager Plusの主要機能であるADオブジェクトの一括更新やワークフローを体感いただけます。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ゾーホージャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2014年6月25日