昨今では多くの企業でWindowsのパソコンを業務で使用しており、1人の従業員が複数アカウントを持つことも珍しくありません。しかし、大きな企業になるほどユーザー管理が煩雑になってしまいます。
そんなときに役立つものが、Active Directory(アクティブディレクトリ)です。Active Directoryはユーザー管理だけでなく、ソフトウェア管理にも活用でき、システム管理者の大きな味方といえます。
この記事では、Active Directoryの概要から具体的にできること、導入するメリット・デメリットなどを説明します。これらと併せて、トラスト・ログインのActive Directory連携機能についても紹介するので、ぜひ参考にしてください。
■Active Directory(アクティブディレクトリ)とは?
初めに、Active Directoryがどのようなものなのか、その仕組みや誕生した背景について見ていきましょう。
◇Active Directoryとは
Active Directoryは、Windowsパソコンの機能やユーザー情報を管理するために、Microsoftが提供するWindows Serverに設けられた機能です。Windows 2000から導入されており、Windows Serverの標準機能であるため、特別なソフトのインストールは必要ありません。
従来は、Active Directory用のサーバーを自社内で構築する必要がありましたが、近年では、Azure Active Directoryというクラウドサービスとして利用することも可能です。
Active Directoryによって実現できることは、大まかにまとめると“ユーザー認証”・“アクセス管理”・“ソフトウェア管理”・“接続機器の管理”・“操作ログの管理”です。詳しくは後ほど解説します。
◇誕生した背景と必要性
Active Directoryが登場する以前は、“NTドメイン”によってアカウントなどが管理されていました。しかし、従来の方法では以下の問題があり、より効率的な管理方法が求められるようになります。
- ドメインの階層構造が作れない
- 広範囲の利用には適していない
- データを保存するDBの容量不足
ドメインの階層構造が作れないと部署・チーム単位での管理ができず、利用人数が増えるほど細かい単位での管理が必要となるため、非常に不便です。
また、もともとNTドメインは小規模で利用することが前提で、現在のインターネット環境のような規模ではアクセスしにくいなどの問題もありました。
加えて、データを保存するSAM(Security Account Manager)の容量不足もあり、限られた人数しか利用できず、広範囲の利用に適していなかったのです。
Active Directoryはこのような問題を解決するために開発され、より効率的な管理方法を実現しました。ユーザー視点では、Active Directoryを利用することでシングルサインオンが実現します。複数システムでIDやパスワードを一括管理できるため、ユーザーは個々にパスワードを覚える必要がありません。
その結果、システムごとのパスワード忘れのリスクが減り、そのたびにパスワードリセットを行なうといったシステム管理者の負担も減ります。
加えて、システム管理者側は、Active Directoryで管理しているパソコンの管理者権限を持つことが可能です。全社的なパソコン周りの設定を管理者が一括設定することで、設定ミスが減り、効率的な設定変更が可能になります。
■Active Directory(アクティブディレクトリ)で何ができる?
では、もう少し具体的に、Active Directoryで実現できることを見ていきましょう。
Active Directoryでできることは、大きく分けて5つです。
◇IDやパスワードの管理
第一に挙げられることは、ユーザーIDやパスワードの一元的な管理です。従来はシステム(サーバー)ごとにユーザーIDとパスワードを管理していましたが、Active Directoryを活用すれば、Active Directoryサーバーでまとめて管理できます。
ユーザーIDやパスワードの個別管理がなくなることで、不正アクセスなどのサイバー攻撃のリスク軽減につながるため、セキュリティ対策としても有効でしょう。
◇ユーザーのアクセス制限・管理
Active Directoryでは、ユーザーのログイン可否の管理だけでなく、企業や組織内のユーザーに対するアクセス権限の設定・管理もできます。例えば、特定の従業員のみアクセスを許可するシステムも実現可能です。
ユーザーはActive Directoryによって認証されると、ドメイン内の情報やサーバーにアクセスできるようになります。
◇接続機器の一元管理
ID・ユーザー管理など以外にも、USBメモリやプリンターなどパソコン周辺機器の管理も、Active Directoryのできることの一つです。
例えば、管理しているすべてのパソコンにおいて、USBメモリへの読み書きを禁止するということも一元的に行なえます。また、プリンターを利用する場合も、通常であれば個別にプリンタードライバーを用意する必要がありますが、Active Directoryを通してのドライバーの配布も可能です。
加えて、プリンターのIPアドレスが変わった場合でも、Active Directory側で設定変更するだけで済むため、ユーザーは個別に対応する必要がありません。
◇ソフトウェアの管理
パソコンのWindows Updateや、セキュリティソフトの更新を一元的に管理することもできます。
Active Directoryでは、管理しているパソコンに対して同じ操作を行なえるため、常にすべてのパソコンを同じ環境に整えることが可能です。これにより、一部のソフトだけがバージョンが古い、というような環境エラーをなくせます。
ユーザーは個別の端末のメンテナンスを気にせず利用でき、システム管理者はシステム管理の効率化が実現可能です。
◇操作ログの閲覧や管理
個別のパソコンの操作ログは取得できませんが、Active Directoryに対する操作ログは、IISマネージャーから閲覧・管理できます。
ログオン時の認証やファイルサーバーに対する操作のログなど、Active Directoryに関連したサーバーに対する操作ログが対象です。
■Active Directory(アクティブディレクトリ)を導入するメリット・デメリット
Active Directoryを導入するメリットを、システム管理者側・企業側に分けて紹介します。併せて、デメリットや注意点も見ていきましょう。
◇システム管理者のメリット
システム管理者にとっての最大のメリットは、煩雑な業務を効率化できることでしょう。企業が持つリソース(ユーザー・機器・ソフトウェアなど)は非常に多く、一つひとつを管理するには多大な労力が必要です。
Active Directoryを使って管理を自動化することで、作業ミスを減らせます。また、システム管理者としての教育も容易になり、属人的な業務を減らすことも可能です。
◇企業のメリット
企業におけるリソースを一元的に管理できるようになることで、業務の効率化による利益の増加、コストの削減が期待できます。システム管理者の業務負担が減ることで、人件費などコストの削減が実現できるのです。
また、Active Directoryはセキュリティ対策としても有効であり、セキュリティ事故が発生した場合でも、被害の拡大を防げます。人為的なミスによる情報漏えいのリスクも減らせるため、顧客からの信頼も得やすくなるでしょう。
◇Active Directoryのデメリットと注意点
・デメリット
Active Directoryを導入する際には、サーバーの構築などに関する初期導入コストがかかります。また、一括でリソースを管理することから、Active Directoryが使えなくなった場合に、業務が滞る可能性がある点がデメリットでしょう。
加えて、Active Directoryの仕組みは複雑であるため、機能を使いこなすには専門的な知識や技術が必要です。そのため、専門スキルを持つ人員を確保しなければならない点も、デメリットになり得ます。
・注意点
Active Directoryを導入する際には、どの程度まで制限を設けるかの基準をしっかりと設計することが重要です。あまりに制限が厳しいと、ユーザーが操作するたびに管理者の許可が必要になり、かえって業務の効率性が低下する可能性があります。
セキュリティと利便性はトレード・オフの関係にあるため、自社にとって最適なバランスを見つけましょう。
■トラスト・ログインのActive Directory連携機能をご紹介
シングルサインオン、IDaaSを実現するトラスト・ログインは、Active Directoryとの連携が可能です。
◇シングルサインオン(IDaaS)とADを連携することでどのようなメリットがあるのか?
近年、社内システムだけでなく、クラウドサービスを業務で使う機会が増えています。これまで、社内のユーザー管理にActive Directoryを利用していた場合、そのままクラウドサービスにおけるユーザー管理も実現したいのではないでしょうか。トラスト・ログインは、そのような要望に応えられるIDaaSです。
トラスト・ログインのAD(Active Directory)連携機能を活用すれば、簡単にユーザーの同期が可能です。
シングルサインオンについてもっと詳しく知りたい方は、『SSO(シングルサインオン)とは?メリットやSSOの仕組み「SAML認証」について』をご参照ください。
◇AD連携機能のメイン機能について
・①自動登録・自動無効化(仮削除)
AD側のユーザーが同期条件に該当したときに、トラスト・ログイン側にこのユーザーが自動的に登録されます。
同期条件を柔軟に指定が可能で、段階的にユーザー登録することが可能です。詳しくは、「ユーザー同期条件について」をご参照ください。
・同期条件に該当していたAD側のユーザーが、この条件に該当しなくなったとき、また、AD上で無効になると、トラスト・ログイン上で対象ユーザーのトラスト・ログイン利用ステータスが自動で「停止」になり、ただちにトラスト・ログインの利用ができなくなります。
・AD側でユーザーオブジェクトが無効にされずに物理的に削除されると、この処理の検知が行なえず、トラスト・ログイン上でユーザーのステータスが「停止」になりませんので、トラスト・ログイン上でユーザーのステータスを「停止」とするためには、まずAD上でユーザーを無効にしていただく必要があります。
・AD連携をしているメンバーが同期対象外になった場合、トラスト・ログイン上のユーザーのステータスが「停止」となりますが、ユーザー情報の編集をすることで引き続きトラスト・ログインの利用が可能となります。パスワード認証、外部IDP連携やSCIMオプションなどいずれかのログイン方法を割り当てる必要があります。
既存のトラスト・ログインユーザーとADユーザーの紐づけについて
AD連携機能を導入する前に手動やCSVアップロードによって登録されたユーザーとAD側のユーザーの紐づけも可能です。既存のトラスト・ログインユーザーと同期対象のADユーザーのメールアドレスが一致していれば、自動的に紐づけが行なわれます。既存のユーザーが同期対象のADユーザーに含まれていない場合、ADと紐づけされず今までのままの扱いが可能です。
・AD連携機能が導入されていても、手動またCSVアップロードによりADと紐づけのないユーザーの作成が可能です。
・ADとの初回同期時に、AD内にあるメールアドレスのユーザーがすでにトラスト・ログインにいた場合、ADのパスワード、または、もともと設定されていたトラスト・ログインのパスワード両方でログインできる状態になります。トラスト・ログインのパスワードを外したい場合には、パスワード認証のリストから対象ユーザーを外してください。
・②トラスト・ログイングループの所属の制御
同期条件で、ADのセキュリティグループとトラスト・ログイングループの紐づけを行なうことで、ユーザーのトラスト・ログイングループへの所属の制御ができます。AD側でユーザーがセキュリティグループに所属すると、自動的に紐づけ先のトラスト・ログイングループ内に登録されます。また、AD側のセキュリティグループから外されたとき、トラスト・ログイン上でも紐づけ先のグループを外れます。
この際、トラスト・ログイングループに割り当てられていたアプリのご利用ができなくなり、このアプリに設定していたクレデンシャルの情報が削除されますので、ご注意ください。
・③ユーザー属性更新
AD側でユーザーオブジェクトの属性が変わった場合、トラスト・ログイン上にも該当する属性が更新されます。更新対象の項目は以下のとおりになります。
姓、名、部署、電話番号、郵便番号、都道府県、市区町村、番地
※また、デスクトップSSO に必要なUPN(samAccountName+ADドメイン名)の更新も可能です。
ご希望の方は設定を行ないますので、こちらよりご連絡ください。
・④同期タイミングについて
自動登録・自動無効化(仮削除)、トラスト・ログイングループの所属制御、ユーザー属性更新の処理は、リアルタイムではありません。数十分から数時間程度かかる点をあらかじめご了承ください(時間は設定によって異なります)。
・⑤ユーザーの情報源について
AD連携機能によって登録されたユーザー、またADと紐づけされたユーザーについて、AD側の情報がマスタになり、トラスト・ログインでこのユーザーの以下の制御が不可になります。
・属性変更
・無効化・削除
・トラスト・ログイングループへの所属制御
上記の制御が必要な場合、AD側の情報の更新、グループへの所属制御の場合には同期設定の更新をお願いします。
◇トラスト・ログインのAD連携機能の特徴
お客様にとって、最も手間がかからない導入と運用の方法を目的とし、AD連携機能の設計・実装をしています。トラスト・ログインのAD連携機能の特徴は以下のとおりです。
・お客様の環境に外部から接続をしない。
・AD に対して読み込みだけを行ない、書き込みは一切行なわない。管理者の権限も不要。
・導入するのに、特殊な知識やソフトウェアは不要(ADの管理者が数時間以内に導入できる前提)
■まとめ
Active DirectoryはMicrosoft社が提供するWindows Serverに設けられた機能です。Windowsパソコンの機能やユーザー管理のために利用されます。
Active Directoryでは、ユーザーの一元的な管理だけでなく、ソフトウェアの管理なども実現可能です。さらにトラスト・ログインのAD連携機能も活用することで、シングルサインオンへの連携もできます。企業におけるさまざまなリソースを一元管理することで、システム管理者の負担を減らし、企業活動にも多くのメリットをもたらすでしょう。
近年では、クラウドサービスを業務に利用する機会も増えており、社内システムの構築と同時にシングルサインオンを実現したいという企業も多く存在しています。そのような場合には、IDaaSのトラスト・ログインの利用がおすすめです。
この機会に、累計導入者数No.1のシングルサインオンサービスであるトラスト・ログインの利用を検討されてみてはいかがでしょうか。