Active Directoryの「状況可視化」「負荷軽減」「属人化の解消」をどう実現するか?エキスパートが語るActive Directory管理の現状

Windows 2000 Serverの標準機能として登場し、企業のユーザー、ID管理基盤として欠かせない存在となった「Active Directory(AD)」。16年に渡る機能改善で企業にとってなくてはならないソフトウェアになったが、その一方で、AD単体では解決しにくい課題も明らかになりつつある。ADに関する企業の課題とその解決策とは何か。本稿では、AD管理における現状の課題と解決策のヒントを探る。

» 2016年03月01日 10時00分 公開
[PR/@IT]
PR

今、企業が抱えているActive Directory管理の課題とは?

 多くの企業で導入され、企業システムの認証基盤として欠かせない存在となった「Active Directory」。オンプレミス、クラウド、モバイルが混在し、ITシステムの利用が複雑化する現在においても、企業システムのセキュリティ/ガバナンスを制御する重要な役割を担っており、その運用管理の重要性がますます高まっている。

 そうした複雑化する環境の中でActive Directoryを運用するにあたり、企業はどのような課題を抱えているのだろうか。

 1997年からマイクロソフト認定トレーナーとして活躍し、Microsoft MVP(Most Valuable Professional)も受賞している国井傑氏(ソフィアネットワーク 取締役)と、Active Directoryを効率的に活用するためのソリューション「ManageEngine ADManager Plus」(マネージエンジン エーディーマネージャー・プラス)を展開するゾーホージャパンの石井翔平氏(ManageEngine & WebNMS 事業部 技術部)に、Active Directory運用管理の課題と解決策について話し合っていただいた。

──Active Directory(以下、AD)の最近の課題についてどう見ていますか。

国井傑氏(以下、敬称略) 私はマイクロソフト認定トレーナーとしてセミナーや講演など行っているのですが、そこでユーザーから意見を聞くことが多々あります。その中で最近増えてきていると感じるのは、「ADを他のシステムとどうやって連携させるか」という課題です。例えば、個人情報保護やコンプライアンス確保が求められる中で、ADを人事システムなどと連携しようとします。ユーザーの管理を効率化し、手作業でのミスを減らすことが目的ですが、実際に取り組もうとすると、これがなかなか難しい。ADは単体の部品として提供されているので、ワークフローに組み込む際には課題が多いのです。

石井翔平氏(以下、敬称略) 私たちのお客さまからも、そうした既存システムとの連携をどうしたらよいのか、というお問い合わせが多くなりました。特に最近は、セキュリティを強く意識する傾向があり、以前よりユーザーやアクセス権限の設定や管理作業が複雑になっています。申請プロセスにおいてきっちりとエビデンス(証跡)を残しておく必要があるとお聞きします。

ALT ソフィアネットワーク 取締役 Microsoft MVP for Directory Services 国井傑氏

国井 そうですね。その意味で、申請を紙ベースで行っている企業も少なくありません。エビデンスをしっかり残す意味もあるのですが、中にはワークフローが複雑で、ADと人事システムとの連携も難しく、結果として紙ベースになってしまっている企業もあります。ADと人事システムのギャップが大きく、ツールやシステムを使わない限りは紙になるというのが現実解になっています。ワークフローシステムはあるのに、ADについては残念ながら紙ベースという企業もあります。

石井 実際、紙ベースでの手作業に工数が掛かることを気にして、私たちのADManager Plusにたどり着いたというお客さまもいらっしゃいます。ワークフローはある意味で企業文化に関わることなので、問題の根は深いと感じています。システムを部分ごとにベンダーを分けて発注しているという事情もあるそうで、業務系と情報系のシステムがADでうまく連携できないともお聞きします。

引き継がれない、AD管理のノウハウ/スキル

国井 もう一つ、私がよく聞くのは、運用管理のノウハウやスキルが後任担当者にうまく引き継がれないという課題です。ADが登場したのは2000年で、そこで初めて導入したという方が異動や転職で現場を離れてしまっています。人材が入れ替わる中、ADの立ち上げ時から蓄積されてきたノウハウやスキルが引き継がれない。新しい担当者は、既存の管理ノウハウがない中で、ADに一からユーザーを作成するところからスタートしているのです。

石井 引き継ぎが十分ではないので、退職者のアカウントが残されたままであったり、アカウントの配布状況が可視化できなかったりするというケースはよくありますね。そもそも、少ない担当者で対応するために、新入社員が入社したり、異動や退職者が頻繁に出たりすると、その対応だけで時間がかかってしまいます。

国井 OU(Organizational Unit:組織単位)の使い方にしても、ポリシーがないままで独自ルールを作ってしまうため、情報を検索できないという課題もあります。私のセミナーでは、どのOUにユーザーが所属しているかを探す手順を教えるだけでも非常に喜ばれますね。ADの管理ノウハウが継承されず、属人化してしまっている企業や組織は非常に多いと思います。

AD管理のポイントは「状況の可視化」「負荷とコストの削減」「属人化からの脱却」

──企業はそうした課題にどのように対応しているのでしょうか。

国井 まず、GUIで操作するだけでなく、作業をスクリプト化して自動化することが考えられます。ただ、これも課題があります。スクリプトを作成して管理できる人材をどう確保するか、スクリプトをどうやって後任者に引き継いでいくかといったことです。かつて、Windowsのログオンスクリプトに、ユーザー管理のためのスクリプトを組み込むという流れがありました。ログオン時にさまざまな情報の処理を自動化することで、担当者の負荷を減らそうとしたのです。しかし、ログオンスクリプトが肥大化してしまい、ログオンに時間がかかったり、スクリプトが属人化してメンテナンスができなくなったりしました。

 そんな中、AD管理のためのツールが注目を集めるようになりました。ただ、管理ツールでは詳細な現状を把握できないケースが多いのです。長期間使用されていないアカウントを探したり、誰にどんな権限が付与されているかを可視化したりするのが難しい。根本的な課題が解決できないまま、日々の対応に追われ、時間だけが過ぎていくというジレンマに陥っている企業は少なくないでしょう。

ALT ゾーホージャパン ManageEngine & WebNMS 事業部 技術部 石井翔平氏

石井 そうですね。AD管理のツールに対するニーズとして多いのは、まず限られた時間内で効率的に作業したいということです。AD管理そのものに時間をとられ、過去のノウハウを活用するところまでは手が回らないのが現状だと思います。スクリプトにしても、メンテナンスする担当者によって作り方が変わってきます。

国井 最初はVBscriptだったのに、後任の担当者がVisual Basicが分からなかったのでバッチファイルから呼び出す形に修正され、3代目はその2つをWindows PowerShellから呼び出すといったかたちで修正を加える。その状態でツールを使うのはかなり難しいですよね。ゾーホーさんのAD管理ツールではこの辺りの課題にどう対応できるのですか。

石井 大きく3つの側面から課題に対応しようとしています。1つは、機能に関することです。国井さんが言われたアカウントの現状把握ができないという点や、誰にどんな権限が付与されているか分からないという課題を解決するためのレポート機能を提供します。承認ワークフローの機能も提供します。

 2つ目は、管理負荷や人的コストの軽減です。いくらスクリプトを作り込んでも、中身を知らないとカスタマイズできません。スクリプトを利用しなくても、GUIから設定可能な一括処理によって運用負荷を軽減できるようにします。決められた日時に自動実行もできます。

 3つ目は、ナレッジやスキルの継承です。ツールによって管理レベルを統一することで、属人化を防ぐことができるようにします。コマンドなどの詳しい知識がなくても管理できたり、権限を委任して現場に管理を任せたりすることも可能です。

国井 Windows Serverが標準で提供しているのは、ユーザーを作成したり、グループを作成したりといったAD管理の基本的な部分だけです。ワークフローや一括処理を実現しようとする場合、自分たちで工夫するか、ツールに頼ることになります。ゾーホーさんは、そこでポイントになる機能をうまく提供しているという印象ですね。

Microsoft MVP プロフィール

国井 傑(くにい すぐる)氏

株式会社ソフィアネットワーク 取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(ADFS)など、ユーザー/ID管理を中心としたトレーニングを提供している。2007年より「Microsoft MVP(Most Valuable Professional)for Directory Services」を連続して受賞。@ITでは、Active Directoryに関する連載『基礎から分かるActive Directory再入門』『基礎から分かるグループポリシー再入門』を執筆。


Active Directoryの管理作業を大幅に省力化する「ADManager Plus」

 ADに関するこれらの課題を解決するために、ゾーホージャパンが提供しているソリューションが「ManageEngine ADManager Plus」(以下、ADManager Plus)だ。ADManager Plusは、AD上のID管理を効率化するソフトウェアで、WebベースのGUIでAD上のユーザーやコンピューター、グループ、OUなどのADオブジェクトを効率良く管理することができる(図1)。

図1 図1 ADManager PlusでのActive Directory一括設定、自動化、ワークフロー、権限委任の流れ《クリックで拡大します》

 ユーザーの作成/変更/削除の他、管理用テンプレートの利用、承認ワークフローによる複雑な管理作業の効率化も支援。ADオブジェクトに関する詳細なレポート機能を備えており、ADの現状把握にも貢献する。さらに、CSVファイルへのインポート/エクスポートによる一括設定や、スケジュール設定とポリシー設定による繰り返し作業の自動化などを利用することで、人事異動や組織改編時などの大量の設定作業の効率化にも役立つ。

 以下、石井氏が行った製品デモの様子と国井氏のコメントを交えながら、ADManager Plusの機能を具体的に紹介していこう。

 まず、ADManager Plusのメイン画面は、カテゴリーごとにタブで分けられた画面で構成されている。用意されているタブ項目は、「ホーム」「AD管理」「レポート」「オペレーター」「ワークフロー」「自動化」「管理」「サポート」だ。

 ホームでは、ダッシュボードを使って、それぞれのタブで設定した項目を一覧表示することができる。AD管理では、ユーザーやグループ、コンピューターなどのオブジェクトの作成や削除、属性値やポリシーの設定を行う。パスワードのリセットも可能だ。レポートでは、アカウントの状況や各種操作の統計情報などを確認できる。いずれも、グラフやリストで見やすく、統一感のあるUIが提供される。

 「ADManager Plusは、直感的なUIで誰でも簡単に使えるということにこだわっています。標準で150種類以上のレポートを用意していますし、ワンクリックでAD上のオブジェクトに関するレポートを作成できます。任意の条件でフィルタリングし、抽出した結果からADアカウント情報の更新や自動化を設定することが可能です」(石井氏)

 国井氏が特に評価するのは、AD管理で提供されている「CSVインポートによる一括設定&一括更新」機能だ(図2)。これは、ADオブジェクトやExchange属性をCSVファイルからインポートして一括設定するもの。共通する属性に対するテンプレートの適用や、レポート結果からの一括変更も可能で、更新作業の大幅な時間短縮を実現する。

図2 図2 Active Directoryユーザー一括管理機能《クリックで拡大します》

 「一度作成した属性を更新する際、いったんCSVファイルにエクスポートし、それに修正を加えて再度インポートするといった使い方もできますね。この機能を上手に活用すれば、人事システムとの連携も比較的容易に実現できるのではと感じました」(国井氏)

 ADManager Plusの大きな特長ともいえるのが、レポートのタブに続く、「オペレーター」「ワークフロー」「自動化」で提供される機能群だ。

 オペレーターは、現場への権限委任の仕組みを提供するもの。オペレーターに委任できる権限は、ユーザーの作成や属性変更、パスワードのリセット、アカウントロックの解除など様々だ。このような手間の掛かる作業をヘルプデスク担当者や人事部などの非管理者ユーザーに委任することができる。委任後も、ADManager Plusを利用してActive Directoryに対して誰がいつ何を実施したのかの変更履歴を「監査レポート」から簡単に参照できるので安心だ。

 ワークフローは、AD管理について申請/承認のワークフロー機能を提供するもの。利用するユーザーの権限として、「依頼者」「レビュー担当者」「承認者」「実行者」という4つの役割を設定できる(図3)。国井氏が指摘したような、セキュリティやコンプライアンスに応じた処理を簡単に組み込むことができる。

図3 図3 Active Directory申請/承認ワークフロー《クリックで拡大します》

 自動化では、繰り返しの設定作業をスケジュールやポリシーとして設定し自動化することができる(画面1)。長期間使用されていないアカウントを自動的に抽出して無効化/削除したり、人事異動日や組織改編日、入社日、退社日に合わせてADアカウントを有効化/無効化/削除したりといった運用が可能になる(画面2)。

画面1 画面1 「Active Directory 自動化」機能によるユーザー管理タスクの自動化とスケジュール化《クリックで拡大します》
画面2 画面2 「Active Directory ID/アカウントの棚卸し」機能による無効アカウントの抽出《クリックで拡大します》

 ポリシー設定では、例えば「ユーザーを作成して60日後に無効化、さらにその30日後に削除」といった作業を設定できる。パスワードの複雑さの定義、ユーザーのプロビジョニング、ユーザーのクリーンアップなど、状況を正確に把握した上で、管理のためのアクションを無駄なく起こすといったことが手軽にできるようになる。

 さらに、ADManager PlusはOffice 365やGoogle Appsのユーザー情報をADと連携する機能を備えており、ADにユーザーを作成する際に、Office 365やGoogle Appsのユーザーを同時に作成することができる。Office 365については、Office 365で提供されるアプリケーションのライセンス割り当てや解除も可能だ。

 この他にも、ファイル/共有アクセスの許可の管理やMicrosoft Exchangeメールボックスの管理などにも対応。今後の機能追加で注目したいのは、クラウドサービス、特にAzure Active Directoryとの連携になるだろう。

 「ADManager Plusの状況可視化機能には、非常に魅力を感じています。ADの管理ミスが原因で発生するトラブルを防ぐのに、効果を発揮するという印象です。また、UIの使い勝手が悪いことで発生するトラブルも少なくありません。Webインタフェースで統一した操作ができることは、ミスを減らす意味で大きなメリットがあります。情報漏えい事故に向けて、ログ管理や監査のニーズも増えていくでしょう。Windows Server標準のAD管理ツールやイベントビューアーでログ確認しようとすると大変な手間になることでも、ADManager Plusを使えば簡単に管理できますね。コンプライアンスを確保する点でも有用なツールになるでしょう」(国井氏)

 ADManager Plusは、全世界で1万2000社を超える企業や組織での導入実績があり、既存ユーザーからは「AD管理を効率化する便利なツール」との評価が高い。ただ、石井氏によると、このようなツールがあることを知らずに、AD管理に悩んでいる企業/管理者もまだまだ多いという。 石井氏は「まずは、ADManager Plusの良さを知ってもらい、実際に使ってもらうことで、業務にどう生かせるかを判断していただければと思います。コスト削減だけではなく、企業の事業展開にも必ず役立つツールです」と強調する。そのために、30日間の無料のトライアル版も用意している。Windows Serverだけでなく、Windowsクライアント上でも動作するので、ぜひ試してその機能を実際に体験してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ゾーホージャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年3月31日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。