AD連携とは？ADの基本やクラウドADサービスも紹介

ネットワーク上のリソースやアカウント情報は、Microsoftの機能であるADを利用することで効果的に管理することができます。クラウドでも利用できるADも存在しており、連携で効率化が可能です。ADからAD連携まで詳しく解説していきます。

ADとは？

Microsoftから提供されているADについて、基本的な情報を理解しましょう。ユーザーアカウントや端末情報の管理だけではなく、どのような機能があるかがポイントです。

企業や組織がADを導入する理由や導入したことで得られるメリットについて解説します。

Active Directoryのこと

ADとは「Active Directory」の略称です。Microsoftから提供されている機能であり、ユーザーアカウントや端末情報を管理することができます。

Windows10やWindows11といった個人向けOSではなく、サーバー用OSであるWindows Serverにプリインストールされている機能です。システム管理者のリソース管理面でも効果的な利用が期待できます。

Acrive Directoryはコストを掛けることがなく利用が可能です。企業や組織は、アカウント情報や端末情報を管理する必要があります。そのような場合に、別途ソフトウェアを必要とせずに解決できるでしょう。

Active Directoryを導入する理由

Active Directoryは、データアクセスへの認証を管理するために利用されます。企業や組織において誰もが内部のデータにアクセスできるのは、セキュリティ面で好ましくありません。権限がないユーザーと認証情報を共有するのは運用としても問題です。

アクセス権限があるユーザーのみを認証し、許可を出すのがActive Directory(AD)の役割です。ユーザー認証をするにあたっては、ユーザー名とパスワードが利用されます。

ユーザーは一度認証を通過するだけで、アクセスできる範囲に継続してアクセスが可能となります。効果的なリソース管理機能として役に立つのです。

ADのメリットは管理者の負担軽減

システム管理者は、アクセス制御の役割をになっています。新卒、中途の社員が入ってきた時や人事異動が起きた場合に、度々権限を割り振ることになるでしょう。

ADのメリットは、部署や役職といった属性でアクセス制御が可能なことです。これによりユーザーごとに制御の設定をする必要がなくなります。

セキュリティ管理だけではなく、グループポリシー機能によって利用端末の自動セットアップが可能です。利用端末に対して、組織のルール適用やソフトウェアのインストール、アップデートの管理もできます。

システム管理者の負担軽減が実現できるでしょう。

ぴったりのセキュリティソフトを診断する

Active Directoryを構成する4要素

Active Directoryは四つの要素で構成されています。「ドメイン・組織単位・ドメインツリー・フォレスト」の4種類です。

アクセスできる管理単位やアクセス制御、ドメインの管理方法といった内容について詳しく解説していきます。順番に確認していきましょう。

ドメイン

Active Directoryの管理単位をドメインといいます。「インターネット上の住所」を想像する人もいるでしょう。Active Directoryで指しているドメインとは、データ共有の範囲を意味しています。

企業や組織はドメイン単位で情報を管理しており、認証されたユーザーがアクセスすることが可能です。ドメイン外のユーザーはアクセスすることができないため、セキュリティ管理に役立ちます。

ドメインの制御システムはドメインコントローラーといわれ、Active Directoryのデータベースを制御しています。

組織単位

Active Directoryの利用において、企業や組織のリソースが大きくなることがあります。例えば、規模が大きくなることや地方に支社ができるなどです。そのような場合、細々としたドメインでの管理では全容を把握しきれなくなる可能性があります。

組織単位という考え方があり、「Organization Unit」と呼ばれています。規模が大きくなった場合に作成することで、全体としてひとつでありながら、中身は支社ごとの管理ができるのです。

組織単位で管理することによって、個別にグループポリシーの割り当てやアクセス権限の制御を可能にします。

ドメインツリー

ドメインを細かくわけて、それぞれ異なるルールで管理したい場合、ドメインツリーを利用します。ユーザーやリソースの管理に対する方針が異なれば、個別の管理が必要です。

そのため、複数のドメインを作成して管理しやすくしています。ドメインツリーを作成する場合は、元となるドメイン名の一部を継承して子となるドメインを作ります。

リソースに関しては、お互いのドメイン間で「信頼関係」の設定を行うことで相互利用が可能です。別ドメインでありながらアクセスするリソースの管理を可能にすることで、効果的な制御ができます。

フォレスト

ドメインツリー単位で別管理としたい場合には、フォレストという考え方を利用します。同じ組織の中にあっても「ドメインツリーA」と「ドメインツリーB」を作成することで可能です。

二つのドメインツリーに対して「信頼関係」を設定することで、双方のドメイン名が別々でも管理することができます。複数のドメインツリーの集まりがフォレストです。ドメインの単位がひとつでも、ドメインツリーが集まっていればフォレストという扱いとなります。

フォレストに所属しているドメインのリソースに対して、管理を別々にしながらアクセスすることを実現しています。

ぴったりのセキュリティソフトを診断する

Active Directoryの機能

Active Directoryには大きく3種類の機能が備わっています。「ユーザー情報の管理」「アクセス権の管理」「ソフトウェアや外部デバイスの管理」の三つです。これらの機能がどのように役に立つのか解説していきます。

ユーザー情報の管理

会社や組織で利用する、システムやアプリのユーザー情報を管理する機能です。ログインIDやパスワードといった個別の情報を管理できます。

Active Directoryを利用しないでユーザー情報を管理するには、端末ごとに情報管理が必要となります。端末ごとの情報を一元的に管理できない場合、維持体制には多くのコストが割かれるでしょう。

ユーザー情報の管理機能を利用することで、端末単位ではなく企業単位、組織単位でのユーザー情報の管理を可能にします。これにより管理コストの低減が実現可能です。

アクセス権の管理

部署や役職は、ユーザー属性と呼ばれます。アクセス権はユーザー属性ごとに管理することが可能です。フォルダへのアクセスは組織単位で設定ができるため、組織変更が行われた場合でも、ユーザー情報の移動によって容易に変更可能です。

企業の中では異動は珍しいことではありません。その度にアクセス権を設定し直すのは手間がかかります。

たとえば部署Aから部署Bに異動した際は、部署Aの情報をアクセス不可にしたいと考えるでしょう。システム管理者は部署Aに存在していた「ユーザー情報」を部署Bのフォルダに移動するだけで、設定が完了します。

部署ごとにルールが設定されているため、ユーザーを移動することで自動的にアクセス権が変更されるのです。

ソフトウェアや外部デバイスの管理

ソフトウェアや外部デバイスの管理は、セキュリティ面で大きな課題です。インストールして欲しくないソフトウェアや、外部記憶装置の利用には制限が必要です。これらはグループポリシーの設定によって容易に管理できます。

ソフトウェアのインストール制限機能によって、禁止ソフトウェアの利用防止だけではなく、マルウェアによる意図しないインストールも防ぐことが可能です。

外部記憶装置の利用制限では、USBメモリや外付けHDDに対しての読み込み、書き込み制御ができます。持ち出し禁止ファイルやマルウェア感染を防ぐために効果的でしょう。

ぴったりのセキュリティソフトを診断する

Active Directoryの認証方法

企業のネットワークには、複数の端末が接続されています。小規模な場合、管理することは容易であるといえますが、大規模な場合は端末の区別だけで時間がかかります。

「ワークグループ」と「ドメイン(ケルベロス認証方式)」を使いわけることで、素早くアクセスすることが可能です。効果的に管理する認証方法についてみていきましょう。

ワークグループ

ワークグループでは、各端末に専用のデータベースを持っています。ドメインによる認証ではなく、各端末に専用のデータベースを保持することで、リソース管理やユーザー認証を端末ごとに実行しています。

端末に名前をつけて管理するワークグループは、小規模なネットワークでは効果的に利用することができます。低コストであり、構築も容易だからです。

ただしワークグループでの管理は接続端末の数が増えていくごとに、管理コストが増大していきます。大規模ネットワークを管理する場合は、ドメイン管理を利用しましょう。

ドメイン(ケルベロス認証方式)

ドメイン管理は、別名「ケルベロス認証方式」と呼ばれています。ユーザーと利用端末がドメインに参加することで、情報の一元管理と認証が可能となるのです。ドメインサーバーを利用することで管理することができます。

ケルベロス認証方式は、ドメインに参加した端末にログインする際に行われる認証方式です。まず認証データがサーバーに送信され、サーバーで正誤チェックが行われます。

正しい場合はアクセス先の端末に対する認証を試み、端末がアクセスの許可を出すのです。

正誤チェックの時点で間違っている場合は、その時点で認証失敗になります。セキュリティとしても効果的に利用することができるのです。

ぴったりのセキュリティソフトを診断する

AD連携機能を持つツール

Active Directoryは汎用的に利用できるだけではなく、ツールとの連携によってセキュリティのレベルを引き上げることもできます。

連携して利用することができるツールを二つ紹介します。

トラスト・ログイン

トラスト・ログインはGMOグループが提供するIDaaSの一つです。IDaaSはIdentity as a Serviceの略称であり、クラウド経由のID認証やSSOと呼ばれるシングルサインオンなどのサービスを表しています。

Active Directoryとトラスト・ログインを連携することで、ユーザー情報の取り込みを行うことができます。再度のユーザー登録をしなくてもSSOや多要素認証、ワンタイムパスワードといった複数の認証方式を新たに利用することができるのです。

連携するだけで利用できるため、導入コストが低いといえるでしょう。

トラスト・ログイン

NAS

NASとは「Network Attached Storage」の略称です。ネットワーク接続ハードディスクと訳すことができます。通常の外付けハードディスクは一台のコンピュータと接続し、その他の端末はアクセスできません。

NASはネットワーク上のハードディスクのため、複数の端末からアクセスが可能です。NASとActive Directoryを連携することで、NASは登録されているユーザー情報を読み込み、NASのユーザー認証として利用することができます。

またActive Directoryを連携すれば、ユーザー情報の変更があった場合にも自動でNASと共有されます。変更に柔軟に対応することが可能です。

NAS

ぴったりのセキュリティソフトを診断する

クラウドAD連携

Active Directoryにはクラウド上で利用されるタイプも存在しています。また、オンプレミス環境で利用されているActive Directoryと連携することによって、効率化が可能です。

複数のクラウドADについて、製品の紹介と連携について解説します。

Azure AD

Azure ADはMicrosoftが提供するクラウドActive Directoryです。Azure ADはクラウドサービスのアカウントを一元的に管理し、安全なユーザー認証を提供します。Azure ADは主にクラウドサービスに利用されています。

データ保護やアプリケーション統合機能などが備わっており、拡張性の高いサービスです。さらにAzure ADはオンプレミスのADと連携でき、連携した状態は「Hybrid Azure AD」と呼ばれています。

連携はADを構築している専用サーバに「Azure AD Connect」をインストールして設定を行うことで利用可能です。

Azure AD

AWS Managed Microsoft AD

AWS Managed Microsoft ADは、AWSで動くActive Directoryを提供するマネージドサービスです。AWSとは「Amazon Web Service」のことを指しています。

AWS環境でOffice365などをサポートするための専用Active Directoryが必要なとき、AWS Managed Microsoft ADは利用されます。連携方法はAD connectorだけでなく、AWSへVPN接続し、フォレストとして信頼関係を結ぶことで実現可能です。

連携するとAWSのADはオンプレミスADと同期します。ひとつのログインIDとパスワードでシステムに接続できるようになるのです。

AWS Managed Microsoft AD

ぴったりのセキュリティソフトを診断する

ActiveDirectoryの仕組みを知って、AD連携をしよう

ADの基本を解説し、AD連携ができるクラウドサービスやツールを紹介しました。

AD連携が可能なサービスを利用すると、ユーザー情報や端末情報を連携先でも利用でき、アカウント管理のコストが軽減します。またSSOや多要素認証などを使えば、セキュリティ向上も期待できます。

自社のセキュリティポリシーや管理ルールなどに注意しながら、自社の環境に適したADの構築や外部サービスとの連携を検討してみてください。