企業のID管理基盤、クラウド＆Windows 10時代の3つの選択肢：企業ユーザーに贈るWindows 10への乗り換え案内（7）（3/3 ページ）

企業のIT環境において、認証やアクセス管理の中心となるID管理基盤は欠かせない重要なインフラストラクチャサービスです。WindowsベースのIT環境では、Active Directoryドメインサービスがその中心として、長く企業を支えてきました。企業におけるクラウド利用の拡大とWindows 10の登場は、従来型のID管理基盤を維持しつつ、新たな選択肢を提供します。

[山市良，テクニカルライター]

選択肢その3：「ハイブリッド環境」の場合

　オンプレミスのAD DSのActive Directoryドメインは、Azure ADとディレクトリ統合したハイブリッド構成が可能です。ハイブリッド構成は、Azure ADの管理ポータルと、ポータルから入手できる「Azure AD Connect」というツールを使用して、比較的簡単にセットアップすることが可能です（画面6、画面7）。なお、オンプレミス側には、AD FSおよびWAPの展開が必要です。

画面6　Azure AD Connectを使用した、ディレクトリ同期のセットアップ

画面7　Azure ADとオンプレミスのAD DSのハイブリッド環境。オンプレミスのIDがAzure ADに同期されている

　ハイブリッド環境では、次のような機能が実現されます。

• オンプレミスのIDを使用したクラウドサービス（Office 365など）のシングルサインオンアクセス
• オンプレミスのIDを使用したAzureのID関連サービスの利用
• オンプレミスのActive DirectoryドメインでのAzure MFAのサポート（AD FSの多要素認証の1つとして）
• クラウド側でのオンプレミスのIDのパスワードリセット（オンプレミスへのパスレードライトバック）
• Azure ADのデバイス登録機能を利用した、オンプレミスのIDによるワークプレース参加（オンプレミスへのデバイスライトバック）
• ドメイン参加済みWindows 10の自動デバイス登録、およびオンプレミスのAD DSでのWindows Hello for Businessのサポート

　最後の「ドメイン参加済みWindows 10の自動デバイス登録」は、Windows 8.1の「ワークプレース参加」を置き換える機能です。オンプレミスのIDを利用したデバイス登録、AD FSの多要素認証の1つとしてのデバイス認証、およびWindows Hello for Businessのサポートは、この方法で実現されます。

　また、この環境を構築するには、Windows Server 2016ベースのAD DS、AD FS、WAPを展開する必要があります。ドメイン参加済みWindows 10の自動デバイス登録の環境を構築すると、ドメイン参加時にPINの入力とWindows Hello for Businessのセットアップが要求され、Azure ADと同じSMS、電話、またはモバイルアプリで本人を確認した上で、デバイスがAD DSのディレクトリに登録されます（画面8）。

画面8　Windows 10をオンプレミスのドメインに参加させると、次にサインインしたときにWindows Hello for Businessのセットアップが要求される

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。