オンプレミスのActive Directory(AD)はなくなるの? 最新のWindows 10、そして間もなく登場のWindows Server 2016と連携することで、Azure ADがどのように役立つのか、どう活用すべきなのか明らかにする。
第1回では、企業を取り巻く環境変化に関するキーワードとして「クラウド」「モバイル」「グループ&グローバル」を挙げ、それに対応するために必要な「IDaaS(Identity as a Service)」の概要を解説した。
そして第2回および第3回では、IDaaSの構成要素である「認証」「ID管理」「監査」について、マイクロソフトの「Azure Active Directory(以下、Azure AD)」を例にその概要を解説した。
最終回となる今回は、最新のクライアントOSであるWindows 10に搭載されたAzure ADとの連携機能、および次期サーバーOSであるWindows Server 2016を見据えた企業における新たなID基盤の方向性を紹介する。
従来、企業においてWindowsクライアントを利用する場合、小規模企業であればワークグループ、中規模〜大規模であればActive Directoryドメインへ参加することでファイルサーバやアプリケーションなどのリソースを共同利用してきた。
しかし、共有するリソースがOffice 365をはじめとするクラウドへ展開され、利用端末としてモバイルデバイスの活用が拡大するにつれ、企業規模やサービスの利用形態によっては、従来のオンプレミスのActive Directoryで管理すると逆に非効率になるケースも出てきている。
例えば、これまでPCへのログオンとオンプレミスのリソースおよびクラウドサービスへのログオンをシングルサインオン(SSO)にする際は、企業内にActive Directoryドメインサービス(AD DS)およびActive Directory Federation Services(AD FS)が必要であった。
しかし企業規模によってはすでにオンプレミスに共有すべきリソースがほとんど存在せず、クラウドサービスを中心に利用しているケースも出てきている。そのため、オンプレミスにAD DS/AD FSを配置する必要性が少なくなってきている場合もある。
また、AD DS/AD FSが整備されている大規模な企業でも、サテライトオフィスまたは自宅での勤務者や外出先での勤務が多い営業担当者など、社内ネットワークに直接接続する機会が少ない利用者がクラウドサービスへのシングルサインオンを行うことができない、といった課題がある。
対象となる利用者 | 利用シーン | シングルサインオンの方法 | 課題 |
---|---|---|---|
小規模企業の利用者(ワークグループ規模) | クラウドサービスが中心で、社内リソースをほとんど利用しない | AD DS/AD FSを設置し、ドメイン参加とAD FS経由でシングルサインオン | 社内リソースをほとんど使わないのにも関わらず、AD DS/AD FSの設置が必要 |
外部ネットワークからの利用が中心の利用者 | クラウドサービスが中心で、社内リソースをほとんど利用しない | Direct Accessで社内ネットワークへ接続し、ドメイン参加とAD FS経由でシングルサインオン | Direct Access環境の設置が必要 |
従来のシングルサインオンに関する課題の例 |
これらの課題に対する一つの解としてWindows 10に搭載されたのが、Azure ADへの参加機能である。この機能を使うことにより、Azure ADに参加したWindows 10デバイスへログオンすると、同一Azure ADテナントと連携しているアプリケーションに対してシングルサインオンができるようになる。
Azure ADに参加したデバイスはAzure ADの管理ポータル、もしくはSaaS型モバイルデバイス管理(MDM)ツール「Microsoft Intune」の画面より確認できる。また、ある程度の管理・制御も可能だ。
このように、Azure ADそのものにはオンプレミスのActive Directoryにおけるグループポリシーに相当する機能はなく、Microsoft Intuneなどの外部MDMとの連携が前提になっている。この点でAzure ADに参加したWindows 10デバイスは、従来のPCというよりiOSやAndroidなどのモバイルデバイスのイメージに近いといえる。
Copyright© Digital Advantage Corp. All Rights Reserved.