ユーザーやコンピューターリソースの管理基盤として、多くの企業や官公庁、自治体などでActive Directory(アクティブディレクトリ)を利用しているかと思います。
ここではActive Directoryの概要、歴史、機能、メリット・デメリット、AzureADついて紹介します。

Active Directoryとは

Active Directoryは、Windows Server OSに備わっている機能の一つで、組織内のシステム管理者がユーザーやコンピューターなどのリソース情報を一元管理するのに有用な仕組みです。
Active Directoryの語源ですが、「Directory」は、di-「離れて」rect「導く」-ory「こと」から「遠く離れた所へ導くもの」を意味し、日本語訳は「住所録」や「指令書」となります。ユーザー情報やコンピューター情報を直接管理するのではなく、住所録により、関係性や保存先を分かりやすく指令する役割を持っています。
多くの企業、官公庁、自治体などで一般的に利用されているActive Directoryですが、なぜ拡がったのか、歴史的な背景から触れてみます。

Active Directoryの歴史

Active Directoryが登場する前の時代に、「Windows NTドメイン」というサービスによりリソース情報を管理していましたが、以下のような課題がありました。

① ドメインの階層構造が作れない
② 1つのドメインで管理できる容量が少なく、広範囲での利用に適していない

NTドメインでは、ドメイン間をグループ化して管理することはできません。ドメインで管理する人数が増えれば増えるほど、部署やグループに分けて管理する必要がありますが、NTドメインにはその機能がないため非常に不便です。
また、小規模なネットワーク環境で利用される前提で作られたシステムであるため、データベース内で管理できるリソース数は、約4万件までです。NTドメインは、世界的な企業で利用することには適していない状況でした。
さらに、クライアントOSとしてWindows 95やWindows 98の拡がりに伴い、企業内でも一人1台の利用が当たり前になり、管理すべき端末台数がNTドメインでは事足りなくなったという背景もあります。上記の問題を解決するための手法として、Windows 2000 ServerからActive Directoryが導入され、大規模なネットワークでの運用も想定されているなど拡張性が向上しています。

Active Directoryの機能

Active Directoryの主な機能は以下の通りです。

リソースの管理

Active Directoryでは、ユーザー情報(=人)、コンピューターやサーバー、プリンターなど(=モノ)、ファイルやフォルダなど(=データ)を「リソース」と捉えて、それらのリソース情報を階層的、かつ一元的に管理します。主なリソース情報は以下の通りです。

ユーザー アカウント 利用者の情報を管理する場所
ユーザーIDやパスワード、住所や電話番号、E-mailなども管理できる。
コンピューター アカウント コンピューター情報を管理する場所
OSのバージョン管理やリモートアクセスの可否などを設定できる。
セキュリティ グループ グループ情報を管理する場所
管理者や一般ユーザーの区分けや、人事階層に応じてグループに分けることで、グループに応じたアクセス権限が設定できる。
OU(組織) ユーザーやコンピューターを管理する場所
コンテナ(下記)とは異なり、管理者が企業の部署や部門の構成に合わせて新たにOUを作成することができ、OUの中にさらにOUを作るといったツリー構造にすることもできる。
コンテナ ユーザーやコンピューターの管理する場所
OU(上記)とは異なり、Active Directoryに最初から準備された入れ物で、「Users」コンテナや「Computers」コンテナがある。

 

ユーザー認証とアクセス管理

Active Directoryでは、ユーザーアカウントに管理されているIDとパスワードを用いてユーザー認証を行います。また、ユーザーアカウントに対して、コンピューターの利用可否やファイルサーバーの利用可否が設定可能です。利用者はActive Directoryの認証により、ドメイン内の情報やデータに対してアクセスできるようになります。
さらに、Windowsのグループポリシーの機能と組み合わせることで、定期的なパスワード変更を強制することも、パスワードの文字数や複雑性を設定することも可能です。

ソフトウェアや接続機器の管理

コンピューターで利用するセキュリティソフトウェアやドライバなどの管理を、一括で行うことが可能です。Active Directoryでは、ソフトウェアのインストールをリモートから自動で行えるため、運用者が1台1台設定してまわるという手間が省けます。
また、グループポリシーの機能と組み合わせることで、USBメモリやDVDドライブなどの機器の利用を禁止にする設定が可能です。

Active Directoryのメリット・デメリット

Active Directory導入のメリット・デメリットを以下にまとめました。
メリット

対象者 メリット
一般利用者 システムごとにパスワードを設定する必要がなくなる。
ドメインに所属する端末であれば、基本的にアクセスが可能となる。
管理者 コンピューターの一括管理が可能であり、運用業務の負担が減る。
ユーザーアカウントの追加、変更をコマンドラインにより行うことで、人為的なミスを減らすことができる。
企業 ソフトウェアの配信機能により、セキュリティを常時保った状態が維持でき、情報漏洩や流出を防ぐことができる。
運用業務が効率化されるため、運用コストをカットできる。

 

デメリット

対象者 デメリット
一般利用者 特になし
管理者・企業 ユーザーアカウントを誤って削除した場合、復旧できる技術がないと情報が紛失してしまう。
アクシデントの対応を迅速に行うためにも、管理者を2名以上推奨とする。
Active Directoryのメインサーバーが停止すると、全ての業務が停止してしまう。
セキュリティ対策が十分にされていないと、全データの流出につながってしまう。

Azure ADについて

クラウドサービス用にマイクロソフト社が「Azure Active Directory」として、サービス展開しています。ここでは、「Active Directory」(オンプレAD)と「Azure Active Directory」(Azure AD)との違いに触れてみたいと思います。

Azure ADとは

Azure ADは、マイクロソフトが提供しているクラウド版Active Directoryで、主に以下の機能があります。

  • クラウドサービスのユーザーアカウント管理
  • アプリケーションのシングルサインオン

マイクロソフト社が提供するMicrosoft 365のようなサービスの管理はもちろんのこと、マイクロソフト社以外のクラウドサービスでも活用できます。
また、これらのサービスに対するシングルサインオン機能も提供されており、複数のクラウドサービスのアカウント情報とAzure ADのアカウント情報を紐づけることにより、一度Azure ADのIDでログオンするだけで、他のクラウドサービスも同じIDを使ってログオンできます。

Active Directoryとの違い

利用用途が異なり、オンプレADは企業内の認証に、Azure ADはクラウドサービスの認証に利用されます。オンプレADは、閉じられたネットワーク内のリソース情報を管理対象としていますが、Azure ADは、サービスを利用するユーザーアカウントを管理対象としています。
Azure ADが、オンプレADのすべての機能をサポートしていないため、オンプレADの情報をAzure ADに完全に置き換えて利用することはできませんが、「Azure AD Connect」というツールを導入することで、オンプレADからAzure ADへアカウント情報を同期することが可能です。このツールにより、管理者はオンプレADのみを管理すれば良く、コンピューターへの一度のログオンで、アプリケーションのシングルサインオンまで実現できます。