
好きな所から読む
古くから企業の人事システムとして機能してきたオンプレで動くActiveDirectory。その導入に関するメリット・デメリットは勿論ですが、歴史的な背景からクラウドに移すべき理由、その時の課題など豊富に解説しています。是非ご覧ください。
⇒ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!
ActiveDirectoryとは
ActiveDirectoryは、Windows 2000から導入されたディレクトリサービスです。具体的には、PCを使用するユーザー情報やPCの構成要素となるソフトやハード、CPUなどコンピューターリソースを管理するためのシステムです。例えば、企業のシステムで重要な顧客データや販売実績などを観ようとした場合、誰がアクセスしたかを特定するために、「ユーザー名」と「パスワード」の入力を求めるケースがあります。
そのユーザーの認証機能を担っているのが、ActiveDirectoryになります。誰でも簡単に閲覧できるような状態だと、データ流出や漏洩に繋がるため、ActiveDirectoryが導入されています。
コンピューターリソースの管理に関しては、設定を一元管理できる点が魅力です。
利用できるソフトの制限やソフトのインストール、更新などを制限することで、効率的な運用が可能になります。
ActiveDirectoryの歴史と背景
ActiveDirectoryが開発される前は、NTドメインを構築する方法が使われていました。NTドメインを使うことで、PCを使うユーザーのアカウント情報の保存・管理、ユーザーの認証を行うことで、特定のデータやサイトへのアクセス制限ができるようになります。
しかし、以下の3点がデメリットとしてありました。
- ドメインの階層構造が作れない
- 広範囲の利用には適していない
- SAMのデータ容量が少ない
1つめはドメインの階層構造が作れないことです。ドメイン間をグループ化して、管理することができませんでした。
つまり、部署やチーム単位での管理ができないという意味です。
利用人数が増えるほど、細かい単位でのグループ管理が必要になるため、非常に不便な状況だとわかります。
2つめは、広範囲にわたる利用に不向きな点です。NTドメインは、LAN(Local Area Network)ネットワークのような、小規模のグループで利用することを前提に作られたシステムでした。そのため、WANネットワーク(Wide Area Network)のような国単位、世界単位など現在のインターネット環境のような広範囲の利用範囲の場合、ログイン時にパケット容量が不足し、アクセスができない状態にしばしば陥ってしまいます。
そして、3つめはデータを保存するSAM(Security Account Manager)のデータ容量の不足です。SAMは、ユーザーアカウントやコンピューターアカウントを保存するためのデータベース で、保存できるデータ件数が最大約4万件でした。限定された人数しか利用できず、広範囲の利用には適していないことがわかります。
上記の問題を解決するための手法として、ActiveDirectoryが開発されました。
⇒ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!
人事システムとして使われる
ActiveDirectoryは、人事関連の処理が多い人事システムへの利用が想定されています。特に人事異動や新入社員の入社、定年退職といった3月の時期には、人事に関する業務内容が増加するからです。具体的には、ActiveDirectoryの変更作業や新入社員への社内システムのアクセス権の設定、アカウント処理など多岐に渡ります。
また、ActiveDirectoryの管理は知識や技術を必要とされるため、別の人に業務を任せることが難しく、特定の人物への負担がかかりやすいです。担当者の業務の効率化や負担軽減を図るためにも、ActiveDirectoryの導入が推奨されています。
ActiveDirectoryのメリット
ActiveDirectoryのメリットを表にまとめました。一般社員、管理者、企業のそれぞれにメリットがあります。まず、ユーザー(一般社員)にとっては簡単に利用ができるといった点が大きいです。データをログインする際のパスワードを複数設定する必要がありません。
何個もパスワードを設定する状態だと、自分の設定したパスワードがわからなくなったり、メモした紙を紛失したりすると、データ閲覧やファイルサーバーにアクセスができないので、仕事が進みません。業務効率の改善には程遠い状態なので、ストレスなく使えることはユーザーにとって大きいことでしょう。
次に管理者にとっては、管理・運用業務の負担軽減が大きいです。自動で更新作業や管理を行ってくれるため、他の業務をすることができます。人為的なミスが起こらない点も大きいメリットだと言えるでしょう。そして、担当者が退職や異動で変更になったとしても、影響を最小限に抑えることができます。
最後に企業側にとっては、コストの削減とセキュリティ対策へのメリットが大きいです。まず、ActiveDirectoryを導入することによって、個別でPCを管理する必要が無くなります。ソフトウェアのライセンス費用やセキュリティ対策費用に加え、担当者に支払っていた残業代をカットすることができます。
また、一括でPCを管理していくため、人為的なミスによる情報漏洩を心配する必要がありません。対外的にも「セキュリティ対策もしっかりしている企業」だと、取引先や顧客に対して良いイメージをアピールすることができるでしょう。
改善内容 | メリット | |
ユーザー(一般社員) |
|
|
管理者 |
|
|
企業 |
|
|
ActiveDirectoryのデメリット
ActiveDirectoryのデメリットを3つ挙げました。
- 管理者選定が重要
- コストが発生
- データ流出への備え
特に大事なのは、「管理者の選定」と「データ消失への備え」です。まず管理者の選定ですが、技術や知識に長けた社員を選ばなければなりません。ActiveDirectoryやPCなどの知識や技術がないと、データが失われた時の復旧ができないからです。
例えば、既に退職をしていて本来アカウントを消すべきだったAさんではなく、在籍している社員のBさんのアカウントを間違って消してしまった場合、復旧させる技術が無いと、これまで蓄積してきた全てのデータが失われてしまいます。企業にとって社員が蓄積してきたデータは「資産」であり、今後の企業活動においても非常に重要になる資料です。
また、一般社員からの疑問や質問に対しての対応も、知識が無ければスピード感を持って対応できません。管理者の選定は慎重に行うべきです。ただし、一人に管理者の役割を担当させると、休暇の時に起きたアクシデントや長期間不在となったときに、対応できる人が誰もいなくなるので、最低2人体制で管理を任せるようにしてください。
最後は、データ流出への備えです。ActiveDirectoryのサーバーが一つしかないと、システムダウンした時に全ての業務が止まってしまうので、必ずバックアップを用意しておきましょう。また、許可していないソフトウェアのインストールを禁止することで、外部からのアクセスを制限し、ウイルス感染にかかるリスクを最小限に抑えることができます。
デメリット内容 | 想定される状況 | 対策 |
管理者選定が重要 |
|
|
コストがかかる |
|
|
データ流出への備え |
|
|
⇒ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!
ActiveDirectoryの構築方法
Windows Server 2016を使用していた場合のActiveDirectoryの構築方法を記載します。
構築手順
- Windows Server 2016を立ち上げ、「役割と機能の追加」を選択
- 「役割ベースまたは機能ベースのインストール」を選択
- 「サーバープールからサーバーを選択」を選択
- 「Active Directory ドメインサービス」を選択
- 「役割と機能の追加ウィザード」が表示後、「機能の追加」を選択
- 「必要に応じて対象サーバーを自動的に再起動する」を選択
- サーバーマネージャー上画面にある黄色いビックリマークをクリック
- 「このサーバーをドメインコントローラーに昇格する」を選択
- 「新しいフォレストを追加する」を選び、ルートドメイン名を記載
- オプションのチェックを行い、問題なければインストールを選択
ActiveDirectoryのインストール
Windows Server 2016を利用している場合のインストール手順を記載します。
Windows Server 2016の手順例
- Windows Server 2016をインストール
- Windows Server 2016 Standard(デスクトップエクスペリエンス)を選択
- 「カスタム、Windowsのみをインストールする」を選択
- インストールドライブを選択
- 管理者のパスワードを入力
ActiveDirectoryの構成要素
Active Directoryの構成要素と用語の概念について、まとめました。
構成要素 | 概念 |
ドメイン | ActiveDirectoryでの基本単位であり、ユーザーやグループが使用するPCデータの共有範囲 |
フォレスト | 「ドメインツリー」と呼ばれる、ドメインをグループとしてまとめた、ActiveDirectoryの最大単位 |
組織単位 | 効率的な運用をするために、部署やチームごとに分けて管理をしていく方法 |
サイト | 「東京なら東京」、「沖縄なら沖縄」といったように、拠点ごとのドメインコントローラーに優先的に認証するよう区別すること |
マルチマスタレプリケーション | 複数稼働しているドメインサーバーが、どれか1つを拠点にして同期するのではなく、個々でデータ更新を可能にする状態 |
ActiveDirectoryの管理方法
グループポリシーを使う
グループポリシーは、管理者がユーザーにアクセス制限やPCの設定など細かく利用方法を決め、一括管理していく方法です。例えば、ソフトのアップデートの無効やコントロールパネルの利用制限といったルールを、支社や部署などのグループ単位で、実施することができます。
個々のPCの管理や対応をしなくていいため、管理者の業務負担の軽減につながります。
パスワードポリシーを使う
パスワードポリシーは、ユーザーアカウントのパスワードを設定する際に文字数やアルファベット、英数字など文字の組み合わせに関する条件を設定することです。一定の条件を満たさないとパスワードが設定できない仕組みを作ることで、見破られやすいパスワードの設定を防ぎ、外部からの不正アクセスなど、セキュリティ対策の向上につながります。
管理ツールを使う
RSATと呼ばれる管理ツールをインストールすることで、Windows Server の役割と機能をクライアントのWindows OSからでも利用することができます。Windows 10 バージョン 1809 からは、以下の手順でWindowsのアプリから機能を追加することができます。
追加手順
- 「アプリ」画面を開く
- 「オプション機能の管理」
- 「機能の追加」を選択
LDAPというプロトコルによる通信
LDAP(Lightweight Directory Access Protocol、エルダップ)は、データファイルの管理や検索などを行う「ディレクトリサービス」に、接続するための通信プロトコルの1つです。LDAPを利用することで、サーバー上のデータ検索や削除などの作業を行うことができます。
例えば企業であれば、ユーザーID/パスワードが必要なデータベースやサイトにおいて、認証情報の保存やデータ参照に利用することが可能です。
ActiveDirectoryをクラウドで使う
ActiveDirectoryをオンプレミスからクラウド化することで、メリットが3つあります。
- 管理者の業務負担軽減
- コスト削減
- アクシデントにも強い
1つめですが、外部の業者が提供するActiveDirectoryを使うため、管理者の業務負担を減らすことができます。オンプレミスでは無くなるため、管理に必要だったランニングコスト削減や管理者に残業代を支払っていた場合、残業代カットにも効果があります。また、クラウド上にActiveDirectoryのレプリカを作っておくこともできるため、システム障害などによるアクシデントにおいても、レプリカを利用することで業務への支障を最小限に抑えることが可能です。
AzureAD
Azure Active Directory (Azure AD) は、マイクロソフトが提供しているクラウド上で認証を行うことができる、クラウド版のActive Directoryになります。
主な機能は下記になります。
1つめのシングルサインオンは、1度の認証で様々なアプリの利用が可能になります。シングルサインオンを利用することで、Microsoft Office 365、Concur、SAPなどのアプリに、1個のパスワードでアクセスすることができます。また登録しておきたいアプリやサービスをまとめて登録することが可能なので、上記以外でもGoogleやSlack、Workdayなどよく利用するサービスを、一括で登録しておくと便利でしょう。
そして、2つめと3つめに関わってくるのが多要素認証です。従来のパスワードだけでなく、スマートフォンでのSMSやアプリを使った認証を行っています。具体的には、SMSやアプリに届く認証コードを正しく入力しないと、アプリやサイトにアクセスできない仕組みを取っています。例えば、何らかの形でパスワードのみが流出しても、認証コードがわからないため、ログインをすることができません。
2段階の認証を導入することで、パスワードだけのセキュリティ対策よりも、情報流出や漏洩のリスクを軽減することができます。
⇒ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!