会社に入ってコンピューターのことについて研修等で学習すると、早い段階で「ワークグループとドメインの違い」について学習する機会があると思います。そこでは「ドメインを利用すれば、1回のサインイン操作でドメインの範囲内にあるリソースにアクセスできるようになります」という趣旨の説明があったと思います。
ここでいう1回のサインイン操作でアクセスできる「リソース」というのはドメインに参加するサーバーで共有設定されたアプリケーション、フォルダー、プリンターなどのことをさします。
会社で管理するリソースにアクセスするのに、
などと入れていたら、とても面倒だからドメイン、つまりActive Directoryを利用して1回のサインイン操作で、すべてにアクセスできるように集約しましょう、ということだったのです。
図1. Active Directoryを利用すると1回のサインインで、すべてのドメイン参加のサーバーにアクセスできる
ところが、最近ではクラウドの登場により、会社に用意されているActive Directoryではサインイン操作を集約できなくなってきています。
「私はActive Directoryでサインインをしたので、パスワードを追加で入れることなく、あなたの共有フォルダーにアクセスさせてよ」とお願いするときには、Kerberos(ケルベロス)と呼ばれるプロトコルを使って、その連携を行っていました。しかし、クラウドでは基本的にKerberosを使った連携はできないことが理由です。
そのため、Active Directoryを持っている会社でも、クラウドサービスにアクセスするときには別途、ユーザー名とパスワードを入力しなければならないのです。
クラウドサービスにアクセスするときだけユーザー名とパスワードを入力すればよいと考えるかもしれませんが、ある調査によれば、従業員一人当たりが平均的に使用するクラウドサービスの数は20以上あると言われています。それだけユーザー名とパスワードを入力すれば、パスワードの管理など面倒になり、どこのサイトでも同じパスワードにしてしまうとか、簡単なパスワードを設定してしまう、などのおざなりな管理になる可能性が高くなります。
このような問題を解決するために、クラウドサービス用のActive Directoryとして、マイクロソフトではAzure Active Directoryと呼ばれるサービスを別途用意しています。
Azure Active Directory(以降、Azure AD)はクラウドサービスへのサインイン操作を集約するためのクラウドサービスで、Azure ADに一度サインインすれば、追加でユーザー名とパスワードを入力することなく、Azure ADに関連付けられたクラウドサービスにアクセスできるようになります。
図2.
Active Directoryにサインインするとドメイン参加のサーバーにアクセスでき(左)、
Azure Active Directoryにサインインすると連携するクラウドサービスにアクセスできる(右)
このように、1回のサインイン操作でどこにでもアクセスできる機能を提供するドメインの機能は、会社の中のリソース(オンプレミス)にアクセスするためのActive Directoryと、クラウドサービスにアクセスするためのAzure Active Directoryの2つがあるので、どちらか一方、または両方を利用して、何度もユーザー名とパスワードを入力することが無いように構成することをお勧めします。
先日、「ひとり情シスのためのWindows Server逆引きデザインパターン」を出版させていただき、Active DirectoryとAzure Active Directoryの設定方法を含む、Windows Serverの効果的な活用方法について解説をいたしました。新宿ラーニングセンターに献本をさせていただきましたので、新宿ラーニングセンターにお立ち寄りの際は、ぜひお手に取ってみていただければと思います。
Azure Active Directory を使用した認証基盤の構築(MSC0569G) 2日間
Windows Server 2012 Active Directoryの実装と管理(MSC0546V) 4日間
トレノケートは、2002年にMicrosoftのラーニングソリューション分野において、日本で初めてラーニング部門のゴールドパートナーに認定されました。以降、Microsoft認定資格対応研修、Windows Server 研修、Microsoft Azure 研修など幅広い分野で多数の最新コースラインナップを提供し続けています。