fbpx

ActiveDirectory(AD)とは?導入メリット等を解説

blank

古くから企業の人事システムとして機能してきたオンプレで動くActiveDirectory。その導入に関するメリット・デメリットは勿論ですが、歴史的な背景からクラウドに移すべき理由、その時の課題など豊富に解説しています。是非ご覧ください。


ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!

ActiveDirectoryとは

ActiveDirectoryは、Windows 2000から導入されたディレクトリサービスです。具体的には、PCを使用するユーザー情報やPCの構成要素となるソフトやハード、CPUなどコンピューターリソースを管理するためのシステムです。例えば、企業のシステムで重要な顧客データや販売実績などを観ようとした場合、誰がアクセスしたかを特定するために、「ユーザー名」と「パスワード」の入力を求めるケースがあります。

そのユーザーの認証機能を担っているのが、ActiveDirectoryになります。誰でも簡単に閲覧できるような状態だと、データ流出や漏洩に繋がるため、ActiveDirectoryが導入されています。

コンピューターリソースの管理に関しては、設定を一元管理できる点が魅力です。
利用できるソフトの制限やソフトのインストール、更新などを制限することで、効率的な運用が可能になります。

ActiveDirectoryの歴史と背景

ActiveDirectoryが開発される前は、NTドメインを構築する方法が使われていました。NTドメインを使うことで、PCを使うユーザーのアカウント情報の保存・管理、ユーザーの認証を行うことで、特定のデータやサイトへのアクセス制限ができるようになります。

しかし、以下の3点がデメリットとしてありました。

  1. ドメインの階層構造が作れない
  2. 広範囲の利用には適していない
  3. SAMのデータ容量が少ない

1つめはドメインの階層構造が作れないことです。ドメイン間をグループ化して、管理することができませんでした。
つまり、部署やチーム単位での管理ができないという意味です。
利用人数が増えるほど、細かい単位でのグループ管理が必要になるため、非常に不便な状況だとわかります。

2つめは、広範囲にわたる利用に不向きな点です。NTドメインは、LAN(Local Area Network)ネットワークのような、小規模のグループで利用することを前提に作られたシステムでした。そのため、WANネットワーク(Wide Area Network)のような国単位、世界単位など現在のインターネット環境のような広範囲の利用範囲の場合、ログイン時にパケット容量が不足し、アクセスができない状態にしばしば陥ってしまいます。

そして、3つめはデータを保存するSAM(Security Account Manager)のデータ容量の不足です。SAMは、ユーザーアカウントやコンピューターアカウントを保存するためのデータベース で、保存できるデータ件数が最大約4万件でした。限定された人数しか利用できず、広範囲の利用には適していないことがわかります。

上記の問題を解決するための手法として、ActiveDirectoryが開発されました。

ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!

人事システムとして使われる

ActiveDirectoryは、人事関連の処理が多い人事システムへの利用が想定されています。特に人事異動や新入社員の入社、定年退職といった3月の時期には、人事に関する業務内容が増加するからです。具体的には、ActiveDirectoryの変更作業や新入社員への社内システムのアクセス権の設定、アカウント処理など多岐に渡ります。

また、ActiveDirectoryの管理は知識や技術を必要とされるため、別の人に業務を任せることが難しく、特定の人物への負担がかかりやすいです。担当者の業務の効率化や負担軽減を図るためにも、ActiveDirectoryの導入が推奨されています。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ActiveDirectoryのメリット

ActiveDirectoryのメリットを表にまとめました。一般社員、管理者、企業のそれぞれにメリットがあります。まず、ユーザー(一般社員)にとっては簡単に利用ができるといった点が大きいです。データをログインする際のパスワードを複数設定する必要がありません。

何個もパスワードを設定する状態だと、自分の設定したパスワードがわからなくなったり、メモした紙を紛失したりすると、データ閲覧やファイルサーバーにアクセスができないので、仕事が進みません。業務効率の改善には程遠い状態なので、ストレスなく使えることはユーザーにとって大きいことでしょう。

次に管理者にとっては、管理・運用業務の負担軽減が大きいです。自動で更新作業や管理を行ってくれるため、他の業務をすることができます。人為的なミスが起こらない点も大きいメリットだと言えるでしょう。そして、担当者が退職や異動で変更になったとしても、影響を最小限に抑えることができます。

最後に企業側にとっては、コストの削減とセキュリティ対策へのメリットが大きいです。まず、ActiveDirectoryを導入することによって、個別でPCを管理する必要が無くなります。ソフトウェアのライセンス費用やセキュリティ対策費用に加え、担当者に支払っていた残業代をカットすることができます。

また、一括でPCを管理していくため、人為的なミスによる情報漏洩を心配する必要がありません。対外的にも「セキュリティ対策もしっかりしている企業」だと、取引先や顧客に対して良いイメージをアピールすることができるでしょう。

改善内容 メリット
ユーザー(一般社員)
  • 複数のパスワードの設定が不要
  • 特定のPC以外でもアクセス・ログイン可能
  • 特別な知識が無くても使いやすい
 

  • プリンターの利用も簡単
  • 管理面での負担ほとんどない
管理者
  • PCを一括管理可能
  • 操作の自動化

 

 

  • 管理・運用業務の負担軽減
  • 人為的なミスの削減
  • 担当変更の際の影響も小さい
企業
  • 管理者負担軽減
  • セキュリティ対策

 

  • 作業自動化によるコスト削減
  • 管理者の作業効率改善により、他業務への指示も可能
  • 情報漏洩・流出を防ぐ
  • 取引先へのアピール

 

 

ActiveDirectoryのデメリット

ActiveDirectoryのデメリットを3つ挙げました。

  1. 管理者選定が重要
  2. コストが発生
  3. データ流出への備え

特に大事なのは、「管理者の選定」と「データ消失への備え」です。まず管理者の選定ですが、技術や知識に長けた社員を選ばなければなりません。ActiveDirectoryやPCなどの知識や技術がないと、データが失われた時の復旧ができないからです。

例えば、既に退職をしていて本来アカウントを消すべきだったAさんではなく、在籍している社員のBさんのアカウントを間違って消してしまった場合、復旧させる技術が無いと、これまで蓄積してきた全てのデータが失われてしまいます。企業にとって社員が蓄積してきたデータは「資産」であり、今後の企業活動においても非常に重要になる資料です。

また、一般社員からの疑問や質問に対しての対応も、知識が無ければスピード感を持って対応できません。管理者の選定は慎重に行うべきです。ただし、一人に管理者の役割を担当させると、休暇の時に起きたアクシデントや長期間不在となったときに、対応できる人が誰もいなくなるので、最低2人体制で管理を任せるようにしてください。

最後は、データ流出への備えです。ActiveDirectoryのサーバーが一つしかないと、システムダウンした時に全ての業務が止まってしまうので、必ずバックアップを用意しておきましょう。また、許可していないソフトウェアのインストールを禁止することで、外部からのアクセスを制限し、ウイルス感染にかかるリスクを最小限に抑えることができます。

デメリット内容 想定される状況 対策
管理者選定が重要
  • データが失われた時の復旧作業
  • 社員からの利用方法に関しての対応
  • サイトや操作への許可判断
  • 技術や知識に長けた人材を管理者に選定
  • 管理者を一人にしない
  • スキルや知識を付ける場を設ける
  • PC利用に関してのマニュアルの作成
コストがかかる
  • 初期費用は数百万程度かかるケースが珍しくない
  • 管理すべきPCが多いと、費用もかさむ
  • 保守やサポート代へのランニングコストも発生
  • ActiveDirectoryのメリットと導入意義を把握
  • 情報収集を行い、高いコストパフォーマンスが見込める商品の選定

 

データ流出への備え
  • メインサーバーがダウンすると、全ての業務がストップ
  • セキュリティ対策が甘いと、データ流出につながる
  • サーバーの二重化
  • 許可していないソフトウェアのインストールの禁止

 

ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!

ActiveDirectoryの構築方法

Windows Server 2016を使用していた場合のActiveDirectoryの構築方法を記載します。

構築手順

  1. Windows Server 2016を立ち上げ、「役割と機能の追加」を選択
  2. 「役割ベースまたは機能ベースのインストール」を選択
  3. 「サーバープールからサーバーを選択」を選択
  4. 「Active Directory ドメインサービス」を選択
  5. 「役割と機能の追加ウィザード」が表示後、「機能の追加」を選択
  6. 「必要に応じて対象サーバーを自動的に再起動する」を選択
  7. サーバーマネージャー上画面にある黄色いビックリマークをクリック
  8. 「このサーバーをドメインコントローラーに昇格する」を選択
  9. 「新しいフォレストを追加する」を選び、ルートドメイン名を記載
  10. オプションのチェックを行い、問題なければインストールを選択

ActiveDirectoryのインストール

Windows Server 2016を利用している場合のインストール手順を記載します。

Windows Server 2016の手順例

  1. Windows Server 2016をインストール
  2. Windows Server 2016 Standard(デスクトップエクスペリエンス)を選択
  3. 「カスタム、Windowsのみをインストールする」を選択
  4. インストールドライブを選択
  5. 管理者のパスワードを入力

ActiveDirectoryの構成要素

Active Directoryの構成要素と用語の概念について、まとめました。

構成要素 概念
ドメイン ActiveDirectoryでの基本単位であり、ユーザーやグループが使用するPCデータの共有範囲
フォレスト 「ドメインツリー」と呼ばれる、ドメインをグループとしてまとめた、ActiveDirectoryの最大単位
組織単位 効率的な運用をするために、部署やチームごとに分けて管理をしていく方法
サイト 「東京なら東京」、「沖縄なら沖縄」といったように、拠点ごとのドメインコントローラーに優先的に認証するよう区別すること
マルチマスタレプリケーション 複数稼働しているドメインサーバーが、どれか1つを拠点にして同期するのではなく、個々でデータ更新を可能にする状態

ActiveDirectoryの管理方法

グループポリシーを使う

グループポリシーは、管理者がユーザーにアクセス制限やPCの設定など細かく利用方法を決め、一括管理していく方法です。例えば、ソフトのアップデートの無効やコントロールパネルの利用制限といったルールを、支社や部署などのグループ単位で、実施することができます。

個々のPCの管理や対応をしなくていいため、管理者の業務負担の軽減につながります。

パスワードポリシーを使う

パスワードポリシーは、ユーザーアカウントのパスワードを設定する際に文字数やアルファベット、英数字など文字の組み合わせに関する条件を設定することです。一定の条件を満たさないとパスワードが設定できない仕組みを作ることで、見破られやすいパスワードの設定を防ぎ、外部からの不正アクセスなど、セキュリティ対策の向上につながります。

管理ツールを使う

RSATと呼ばれる管理ツールをインストールすることで、Windows Server の役割と機能をクライアントのWindows OSからでも利用することができます。Windows 10 バージョン 1809 からは、以下の手順でWindowsのアプリから機能を追加することができます。

追加手順

  1. 「アプリ」画面を開く
  2. 「オプション機能の管理」
  3. 「機能の追加」を選択

LDAPというプロトコルによる通信

LDAP(Lightweight Directory Access Protocol、エルダップ)は、データファイルの管理や検索などを行う「ディレクトリサービス」に、接続するための通信プロトコルの1つです。LDAPを利用することで、サーバー上のデータ検索や削除などの作業を行うことができます。

例えば企業であれば、ユーザーID/パスワードが必要なデータベースやサイトにおいて、認証情報の保存やデータ参照に利用することが可能です。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ActiveDirectoryをクラウドで使う

ActiveDirectoryをオンプレミスからクラウド化することで、メリットが3つあります。

  1. 管理者の業務負担軽減
  2. コスト削減
  3. アクシデントにも強い

1つめですが、外部の業者が提供するActiveDirectoryを使うため、管理者の業務負担を減らすことができます。オンプレミスでは無くなるため、管理に必要だったランニングコスト削減や管理者に残業代を支払っていた場合、残業代カットにも効果があります。また、クラウド上にActiveDirectoryのレプリカを作っておくこともできるため、システム障害などによるアクシデントにおいても、レプリカを利用することで業務への支障を最小限に抑えることが可能です。

AzureAD

Azure Active Directory (Azure AD) は、マイクロソフトが提供しているクラウド上で認証を行うことができる、クラウド版のActive Directoryになります。
主な機能は下記になります。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

1つめのシングルサインオンは、1度の認証で様々なアプリの利用が可能になります。シングルサインオンを利用することで、Microsoft Office 365、Concur、SAPなどのアプリに、1個のパスワードでアクセスすることができます。また登録しておきたいアプリやサービスをまとめて登録することが可能なので、上記以外でもGoogleやSlack、Workdayなどよく利用するサービスを、一括で登録しておくと便利でしょう。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

そして、2つめと3つめに関わってくるのが多要素認証です。従来のパスワードだけでなく、スマートフォンでのSMSやアプリを使った認証を行っています。具体的には、SMSやアプリに届く認証コードを正しく入力しないと、アプリやサイトにアクセスできない仕組みを取っています。例えば、何らかの形でパスワードのみが流出しても、認証コードがわからないため、ログインをすることができません。

2段階の認証を導入することで、パスワードだけのセキュリティ対策よりも、情報流出や漏洩のリスクを軽減することができます。

ActiveDirectoryをそのままに、快適なテレワーク環境を構築するゼロトラストセキュリティをご存知ですか?今だけ資料を無料プレゼント中!