catch-img

オンプレミスとクラウドのActive Directory

Active Directoryでサインイン操作を集約

会社に入ってコンピューターのことについて研修等で学習すると、早い段階で「ワークグループとドメインの違い」について学習する機会があると思います。そこでは「ドメインを利用すれば、1回のサインイン操作でドメインの範囲内にあるリソースにアクセスできるようになります」という趣旨の説明があったと思います。

ここでいう1回のサインイン操作でアクセスできる「リソース」というのはドメインに参加するサーバーで共有設定されたアプリケーション、フォルダー、プリンターなどのことをさします。

会社で管理するリソースにアクセスするのに、


  • アプリケーションにアクセスするためのパスワード
  • 共有フォルダーにアクセスするためのパスワード
  • 共有プリンターにアクセスするためのパスワード


などと入れていたら、とても面倒だからドメイン、つまりActive Directoryを利用して1回のサインイン操作で、すべてにアクセスできるように集約しましょう、ということだったのです。


図1. Active Directoryを利用すると1回のサインインで、すべてのドメイン参加のサーバーにアクセスできる


クラウドの登場による変化

Active Directoryでサインイン操作を集約できない

ところが、最近ではクラウドの登場により、会社に用意されているActive Directoryではサインイン操作を集約できなくなってきています。


「私はActive Directoryでサインインをしたので、パスワードを追加で入れることなく、あなたの共有フォルダーにアクセスさせてよ」とお願いするときには、Kerberos(ケルベロス)と呼ばれるプロトコルを使って、その連携を行っていました。しかし、クラウドでは基本的にKerberosを使った連携はできないことが理由です。


そのため、Active Directoryを持っている会社でも、クラウドサービスにアクセスするときには別途、ユーザー名とパスワードを入力しなければならないのです。


1人が使用するクラウドサービスの数は20以上!?

クラウドサービスにアクセスするときだけユーザー名とパスワードを入力すればよいと考えるかもしれませんが、ある調査によれば、従業員一人当たりが平均的に使用するクラウドサービスの数は20以上あると言われています。それだけユーザー名とパスワードを入力すれば、パスワードの管理など面倒になり、どこのサイトでも同じパスワードにしてしまうとか、簡単なパスワードを設定してしまう、などのおざなりな管理になる可能性が高くなります。



Azure Active Directory

このような問題を解決するために、クラウドサービス用のActive Directoryとして、マイクロソフトではAzure Active Directoryと呼ばれるサービスを別途用意しています。


Azure Active Directory(以降、Azure AD)はクラウドサービスへのサインイン操作を集約するためのクラウドサービスで、Azure ADに一度サインインすれば、追加でユーザー名とパスワードを入力することなく、Azure ADに関連付けられたクラウドサービスにアクセスできるようになります。


図2.

Active Directoryにサインインするとドメイン参加のサーバーにアクセスでき(左)、

Azure Active Directoryにサインインすると連携するクラウドサービスにアクセスできる(右)


このように、1回のサインイン操作でどこにでもアクセスできる機能を提供するドメインの機能は、会社の中のリソース(オンプレミス)にアクセスするためのActive Directoryと、クラウドサービスにアクセスするためのAzure Active Directoryの2つがあるので、どちらか一方、または両方を利用して、何度もユーザー名とパスワードを入力することが無いように構成することをお勧めします。


先日、「ひとり情シスのためのWindows Server逆引きデザインパターン」を出版させていただき、Active DirectoryとAzure Active Directoryの設定方法を含む、Windows Serverの効果的な活用方法について解説をいたしました。新宿ラーニングセンターに献本をさせていただきましたので、新宿ラーニングセンターにお立ち寄りの際は、ぜひお手に取ってみていただければと思います。


Azure Active Directory関連コース


Azure Active Directory を使用した認証基盤の構築(MSC0569G)   2日間

Windows Server 2012 Active Directoryの実装と管理(MSC0546V)   4日間



Designed by Freepik

国井 傑(くにい すぐる)

国井 傑(くにい すぐる)

株式会社ソフィアネットワーク / トレノケート株式会社パートナー講師 / マイクロソフト認定トレーナー
   

Active Directory に関する記事

人気記事

人材育成専門企業トレノケート【公式ブログ】
© Trainocate Japan, Ltd. All Right Reserved. 2008-2018