第4回 Windows 10によるAzure Active Directory活用の最大化:企業のID管理/シングルサインオンの新しい選択肢「IDaaS」の活用(3/3 ページ)
オンプレミスのActive Directory(AD)はなくなるの? 最新のWindows 10、そして間もなく登場のWindows Server 2016と連携することで、Azure ADがどのように役立つのか、どう活用すべきなのか明らかにする。
Azure ADはオンプレミスActive Directoryの代替手段となり得るか?
ここまで解説してきたように、デバイスとアプリケーション間のシングルサインオンを実現する、という意味においてはAzure ADもオンプレミスのActive Directoryも目指す方向性に大きな違いはない。しかし以下に述べる三つの点(アプリケーションの種類、デバイス管理の方法、デバイスの種類)において大きく異なる。
これまでの連載でも述べてきた通り、Azure ADはクラウドサービスに代表されるWebアプリケーションとの連携にフォーカスしている。現状では、ファイルサーバなど非Webアプリケーションについては、連携対象としてほとんど考慮されていない。
また、デバイス管理の面でもAzure ADそのものにはオンプレミスのActive Directoryにおけるグループポリシーに相当する機能はない。デバイスを制御するには、Microsoft IntuneなどのMDMサービスと組み合わせる必要がある。
そしてドメイン参加できるデバイスの種類も異なる。オンプレミスのActive DirectoryにはWindows ServerやWindows 7、Windows 8.1など、従来のWindowsデバイスが参加できる。それに対し、Azure ADに参加できるのは現状Windows 10デバイスのみである。
| 比較項目 | Azure AD | オンプレミスActive Directory |
|---|---|---|
| シングルサインオン対象となるアプリケーションの種類 | Webアプリケーション | Webアプリケーションやファイルサーバなど |
| デバイス管理の方法 | Microsoft IntuneなどのMDMが必要 | グループポリシー |
| 参加可能なデバイスの種類 | Windows 10のみ | Windowsデバイス全般 |
| オンプレミスADとAzure ADの用途や機能の比較 | ||
このように、現段階においてAzure ADが従来のオンプレミスのActive Directoryを完全に置き換えるものになるとはいい難い。
ただし、冒頭に述べたように従来ワークグループで管理をしてきたような小規模企業の利用者や外部ネットワークからの利用が中心で、かつクラウドサービスを中心に利用するような場合は、オンプレミスにActive Directoryを構築する必要性が本当にあるのか、クラウドベースのIDaaSであるAzure ADで代替できないのか、検討してみるべきであろう。
【コラム】もう一つのクラウドベースのActive Directory:Azure AD Domain Services
2015年10月、Azure ADの新機能の一つ「Azure AD Domain Services」のパブリックプレビュー版が公開された。これは従来のActive Directoryをほぼそのままクラウドベースで提供するものであり、例えば既存のネットワークをExpress RouteなどでAzureの仮想ネットワークへ乗り入れることでドメインコントローラーを自前で構築せずに利用することを可能にするものである。
全面的にこのサービスを採用するかどうかは当然検討が必要だが、例えば従来のオンプレミスのアプリケーションを徐々にクラウドへ移行していく際の過渡期のソリューションとしては有用な場合も想定できる。
■参考記事
- クラウドでもWindowsドメイン認証とグループポリシー管理が可能になる――Azure ADドメインサービス(@IT Server&Storageフォーラム)
- [Azure AD]Azure AD Domain Servicesを使って既存サービスをクラウド上へ移行する際の注意事項(筆者ブログ「IdM実験室」)
次世代のWindowsドメインと新たなID基盤の方向性
ここまで述べてきた通り、現状のAzure ADドメイン参加によりデバイス−アプリケーション間のシングルサインオンに関する従来の課題を解決する反面、対象となるアプリケーションが事実上クラウドに限定されるなど、さまざまな制約が存在する。そのためAzure ADは、利用シーンを絞った限定的な採用を行うのが現実的であろう。
そこで期待されるのが、次期サーバーOSである「Windows Server 2016」の登場による新たなハイブリッドID基盤の構成である(同OSは2016年にリリースの予定)。
Windows Server 2016ではMicrosoft Passportがサポートされる予定だ。Azure AD Connectを使用してAzure AD DRSとデバイス情報を双方向に同期することにより、オンプレミスActive Directoryに参加していてもAzure ADに参加していても、AD FS/Azure ADと連携しているアプリケーションの両方にシングルサインオンが可能となる。
次期サーバーOS「Windows Server 2016」で実現できるAzure ADとの双方向同期
双方向でデバイス情報(公開鍵)を同期するため、社内ドメイン参加PCであってもAzure ADでPRTが取得できる。同様にAzure AD参加PCも社内AD FSでPRTが取得できる。
これにより、企業統合や規模の異なるグループ企業間(例えば親会社ではオンプレミスActive Directory、子会社ではAzure ADへ参加など)でアプリケーションを共用するケースや、同一企業内においても利用シーンによりデバイスの参加先をオンプレミスActive DirectoryとAzure ADで分けるようなケースにおいて、オンプレミス/クラウドの両方のアプリケーションを共通の方法で利用することが可能となる。
企業における業務形態の多様化に伴い、情報システム部門は今後これまで以上に柔軟な業務システムを提供することが求められてくると予想される中、ハイブリッド構成を含めIDaaSを積極的に活用していくことでよりセキュアで利便性の高い利用環境を提供することが可能になるはずだ。
企業情報システムに関わる管理者やITエンジニア各位には、Windows 10やWindows Server 2016といった新しいクライアントやサーバーとAzure ADのようなIDaaSの活用方法をいち早く知っていただき、将来を見据えた柔軟かつ効率的にシステム化を行うことができるようになれば幸いである。
Copyright© Digital Advantage Corp. All Rights Reserved.