Active Directoryとは

Active Directoryとは、Microsoft社のWindows Serverに設けられている機能で、Windowsパソコンの機能やユーザー情報を管理できるディレクトリサービスです。

Active DirectoryはWindows2000から搭載されている標準機能であるため、ソフトをインストールするなどの作業は必要ありません。

Directory（ディレクトリ）は、IT用語で「ファイルの分類・整理のための一覧表」を意味します。

つまり、Active Directoryを使うことでパソコンの中の様々な情報を一括して管理できるということなのです。

これにより、システム管理者の手間が大幅に削減できるほか、効率的に管理できるため非常に有用な機能になります。

また、ネットワークの規模が拡大するほど、一元管理できるActive Directoryを利用する価値があるといえるでしょう。

Active Directoryの用語解説

Active Directoryを使うにあたって、知っておくべき用語を以下のとおり解説します。

1. 「ドメイン」と「ドメインコントローラー」
2. 「ドメインツリー」と「フォレスト」
3. 「SSO（シングルサインオン）」と「フェデレーション」

それではさっそくチェックしていきましょう。

（１）「ドメイン」と「ドメインコントローラー」

Active Directoryの中には「ドメイン」と呼ばれる、リソースを管理・共有する領域が作成されます。ドメインは大きなフォルダのようなものです。

また、リソースはたとえば以下が挙げられるのでチェックしてみましょう。

• モノ・・・パソコンやサーバーなど
• 人・・・企業や組織の関係者など
• コスト・・・技術開発にかかる費用など
• 性能・・・パソコンや周辺機器など
• データ・・・ファイルやフォルダなど

これらのリソースを管理・共有するのがドメインです。

そして、リソース同士の関係性をドメインの中に記述するのが「ドメインコントローラー」と呼ばれるものです。

たとえば以下のように、リソース同士を管理します。

• どの部署に誰が所属しているのか
• データへアクセス可能な部署や人は誰なのか
• 誰がどのパソコンへアクセス可能か

このように、リソース同士の複雑な関係を一括管理することにより、システム管理者の労力を削減できるのです。

（２）「ドメインツリー」と「フォレスト」

親会社と子会社または関連組織で別々のドメインを所持しつつ、互いのリソースにアクセス可能な状態にできるのが「ドメインツリー」と呼ばれるものです。

会社や組織の規模が拡大してくると、子会社や関連組織を作ることがあります。企業が拡大していくにつれ、膨大なリソースを抱えることになるでしょう。

その際、ドメインツリーを構築することで、親会社と子会社または関連組織との間で簡単に行き来できるため、管理が楽になるのです。

仮にドメインツリーを構築しない場合、お互いのドメインにアクセスするには、都度新しいアカウントを作らなければなりません。

そのような手間を省くために、ドメインツリーが存在します。また、ドメインツリーは信頼関係のないドメイン同士でもつながれるのが特徴で、このようなつながりを「フォレスト」と呼びます。

フォレストは1つ以上のドメインツリーから構成されるため、1つのドメインツリーでも「フォレスト」だといえます。フォレスト内のユーザーは、全リソースにアクセス可能です。

（３）「SSO（シングルサインオン）」と「フェデレーション」    

「SSO（シングルサイオン）」とは、ユーザーが属するドメインにログイン後、つながりのあるドメインツリーやフォレスト内のリソースにも自由にアクセスできるシステムです。

ドメイン内のリソースにアクセスするには、まずユーザーIDとパスワードを使って認証します。1度認証を受ければ、同じドメイン内のほかのリソースへのアクセスで、再認証を受ける必要はありません。

この仕組みをドメインツリーやフォレストにまで拡大させたのが、SSO（シングルサインオン）です。

一方で、外部のWebサービスやクラウドサービスにSSOできる関係を、「フェデレーション」と呼びます。

たとえば、新たなWebサービスを利用する際、「Google、Yahoo!JapanID、Facebookでログイン」というのを見かけたことがないでしょうか。

このように、1つのアカウントIDでほかのサービスにもログインできるシステムが、「フェデレーション」です。

Active Directoryの主な機能 

次に、Active Directoryの主な機能について以下のとおり説明していきます。

1. ID・パスワード管理
2. アクセス権限の制限や管理
3. ソフトウェアの管理
4. メディアや接続機器の設定・管理
5. 操作ログの管理

それぞれの機能を把握したうえで、有効活用してみてください。

（１）ID・パスワード管理

Active Directoryには、ユーザーIDやパスワードを一元管理できる機能があります。

従来は、サーバーごとに管理していたユーザーIDとパスワードですが、Active Directoryを活用することで、まとめて管理できるのです。

それぞれの個別管理がなくなることで、サイバー攻撃のリスクも軽減できます。

ユーザーにとっては、シングルサインオンが採用されているため業務効率向上につながるでしょう。

また管理者は、Active Directory内のパソコンの管理者権限を一括で持てるため、権限設定がスピーディーにできます。

したがって、ユーザーと管理者両方にとって効率よく業務が行えるのです。

（２）アクセス権限の制限や管理

Active Directoryはユーザーのログイン可否の管理以外にも、企業や組織内のユーザーへのアクセス権限の制限や管理もできます。

たとえば、特定のユーザーのみアクセスを許可することも可能です。ユーザーまたはグループごとに、閲覧可もしくはデータ編集可などといったアクセス権限を付与し、リストに基づいて認証を行います。

ユーザーによって、ひとつひとつアクセスできる範囲を変える作業は非効率です。そこでActive Directoryを使うことで、指定する情報にアクセスできるユーザーとそうでないユーザーをまとめて設定・管理できます。

（３）ソフトウェアの管理

Active Directoryでは、管理しているパソコンすべてに同じ操作ができるため、Windows Updateや、セキュリティソフトの更新を一括で行えます。

管理者が、端末に必要なソフトウェアを遠隔でインストールしていくので、1台ずつ設定する必要はありません。一括設定により、一部のパソコンだけが古いバージョンを使うなどのエラーを防げます。

併せて、プリンタードライバーの設定ができるので、ユーザーが自身でプリンターをインストールする必要もなくなります。

このことから、ユーザーは使用している端末のメンテナンスを気にすることなく業務に集中できるでしょう。また、管理者もシステム管理の効率化が実現できます。

（４）メディアや接続機器の設定・管理

Active Directoryでは、IDやパスワード・ソフトウェアに関わること以外にも、USBメモリなどパソコン周辺機器の設定や管理も可能です。

たとえば、管理下にあるパソコンすべてにおいて、USBメモリへの書き込みを禁止するなどの一括設定ができます。

USBメモリはマルウェアの感染や情報漏洩につながる可能性があるため、不用意に接続するのは危険です。

このように、セキュリティ上の観点から見ても、管理者がメディアや接続機器を管理することは重要なのです。また、プリンターもActive Directory経由でユーザーに配布できます。

あらかじめサーバーにプリンタードライバーをインストールしておけば、1台ずつプリンター設定をしなくても利用可能です。

（５）操作ログの管理 

Active Directoryは、管理しているパソコンの操作ログが取得できます。

これは、ログイン時の認証やファイルサーバーへの操作履歴など、Active Directoryに関するログが対象です。

Active Directory上で、ユーザーがどこにアクセスしてどういう操作をしたかを管理者側で閲覧・管理できます。

これらを管理することで、不正アクセスやサイバー攻撃などを受けた際、手がかかりとなる情報を得られる可能性があるのです。

ただし、Active Directoryに関係しない操作ログは対象外になります。

たとえば、ブラウザでどのようなサイトを閲覧しているかや、起動したソフトウェアなどの管理はできません。

Active Directory導入の注意点 

ここからは、Active Directoryを導入する際の注意点について触れていきます。

1. 導入時コストが大きい
2. クラウドサービスと連携がしにくい
3. セキュリティ対策のバージョンアップが必要

それぞれ詳しく解説していくので、チェックしてみてください。

（１）導入時コストが大きい

Active Directoryは導入時のコストが大きいため、十分な予算を確保しなければいけません。

サーバー機器やアプリケーションなどを設置して運用する「オンプレミス版」のActive Directoryの利用には、環境を含めて準備が大規模になります。

導入前から運用するまでの流れは以下のとおりです。

1. 導入前の社内環境調査
2. ドメインやネットワークの構成、ポリシー設定などの環境設計
3. 運用やバックアップ、障害時の復旧手順を決める運用設計
4. OSのセットアップやクライアント設定などの構築
5. 管理者を置いて運用開始

これらには初期費用だけでなく、管理者による適切な運営が重要になるため、ランニングコストもかかります。

また、導入前から実際にシステムを運用し始めるまでの準備期間も必要です。

（２）クラウドサービスと連携がしにくい

クラウドサービスとの連携がしにくいところも、Active Directory導入時に注意すべき点です。

オンプレミス版のActive DirectoryでID管理を行っていて、クラウドサービスを利用したい場合、まずアカウント情報をエクスポートしなければなりません。

そしてクラウドサービスにインポートし、ディレクトリ同期ツールを使ってアカウント情報を連携させます。

アカウント情報のエクスポートやインポートが、煩わしい作業になってくるでしょう。

また、人事情報やパスワードが変わるたびにこの作業を繰り返すと、アカウント情報が流出する可能性があります。セキュリティ上のリスクを負うため、操作には十分な注意が必要です。

（３）セキュリティ対策のバージョンアップが必要 

Active Directoryにはセキュリティ対策のバージョンアップが必要で、これを怠ると脆弱性を狙われる可能性があります。

企業は、常にサイバー攻撃から会社の機密情報を守らなければならず、セキュリティ対策は一番重要な管理だといえるでしょう。

Active Directoryは多くのアプリケーションと連携しているため、最新のセキュリティが必要です。

バージョンアップに関してミスがあると、社内業務がストップしてしまうと言っても過言ではありません。

そのため、セキュリティ対策に関しては、慎重な作業が求められるうえに、間違いが許されないのです。

ここまでお伝えしてきた、Active Directoryでは対応しづらい点を克服する方法として、クラウド型サービスの活用があります。

ID管理や認証・認可も含めた認証基盤として有効なのが「IDaaS」(Identity as a Service) です。

IDaaSは、オンプレミスで必要な初期投資がなく、クラウドサービスとの連携も容易にできます。さらに、バージョンアップも不要なため、管理しやすいです。

ぜひ、利便性と安全性が非常に高いIDaaSを活用してみてはいかがでしょうか。

まとめ

今回は、『Active Derectory』をわかりやすく解説しました。

Active Directoryに関わる用語は以下のとおりです。

• 「ドメイン」と「ドメインコントローラー」
• 「ドメインツリー」と「フォレスト」
• 「SSO（シングルサインオン）」と「フェデレーション」

また、主な機能については以下の5つをご紹介しました。

• ID・パスワード管理
• アクセス権限の制限や管理
• ソフトウェアの管理
• メディアや接続機器の設定・管理
• 操作ログの管理

最後にActive Directoryを導入する際の注意点についても触れているので、考慮しつつ導入時の参考にしてみてください。