自社でActiveDirectory(AD)を運用してアカウント管理を行っている企業は多いかと思います。ログイン認証の他、ファイルサーバのアクセス権やグループポリシーの配布など、組織内の管理として優れており、操作も比較的平易で、ActiveDirectory自体円熟した技術であることから日本語によるドキュメントも非常に揃っています。
一方で、インターネットを通じた通信技術が発達し、近年は自社でサーバを持たず、クラウドという形でサービス部分だけを利用するサブスクリプションモデルが生まれ、また、新型コロナウイルスのまん延により、テレワークが主要な働き方の一つとなってくることで、これまでの管理方式だけでは間に合わないケースも出てきているかと思います。
今回は、今まさに、技術やワークスタイルの転換期にある組織にとって、重要な選択の一つとなるMicrosoft Entra ID(旧Azure AD)の導入についての概要についてとなります。
↓PCトラブルなど社内IT環境にお困りなら↓
オンプレミスADの限界が迫る?
現在でも、WindowsServerのActiveDirectory(オンプレミスAD、以下「オンプレAD」)は非常に強力なWindows管理システムです。組織の大小にかかわらず、必要な管理機能が柔軟に構築可能で、非常に安定しておりセキュリティも優れています。ただし、オンプレADのままだと時代の流れに合わなくなってきている部分があることも事実です。
Active Directoryについては別記事がありますのでご参考ください。
テレワークが増え、管理は社内ネットワーク外へ
オンプレADは、組織内ネットワークでのみ有効です。これまで、組織は事務所へ出社し管理されたネットワーク内で使用することで統制が取れてきました。もちろん、一時的に社外を出て活動する、外回りの営業担当者もいたと思いますが、彼らも外回りを終われば一旦事務所に戻って、社内ネットワークに再接続をします。それも難しい場合はVPNを使ってインターネットから仮想的に社内ネットワークに接続するといったケースもあったかもしれません。
いずれにしても、これまでは物理的に固定された社内のネットワークに属することが前提でシステムが構築され、業務が定まっていました。オンプレADもそのような前提に基づいています。
しかし、新型コロナウイルスのまん延は、世界のテレワーク導入を一気に促進しました。これまでは少数派の働き方の一つでしかなかったテレワークが広く普及し、インターネットさえあれば働く場所を問わない時代が訪れました。中にはこれまで通りオフィス出勤に戻す組織もありますが、テレワークでも業務がこなせると判断できた組織では、固定費がかかるオフィスを縮小しテレワークを主流なスタイルへと変化した場合もあるでしょう。
その場合、これまで「特定のネットワークに接続することで管理」出来ていたオンプレADの前提が崩れることとなります。もちろんVPNを使ったり、ADに依存しないクラウド環境上に基幹システムを移行したり、リモートデスクトップ型を活用する等、これまでの土台は変えずにニューノーマルに適用する方法もありますが、もしこれらの方法で現状のオンプレAD管理を維持されている組織では、一旦、見直しをする段階にきているかもしれません。
買い切り版(永続版)Officeの終焉が来る…かも?
WindowsOSを使っているのであれば、かなりの人が利用しているであろう、買い切り版(永続版)Office(Word,Excel,PowerPointなど)も切っては切れない関係です。買い切り版(永続版)Officeとはそれぞれの製品名の後ろがリリースされた西暦になっているものです。現在サポート中の買い切り版(永続版)Officeは以下の通りです(2022/3/31現在)。
- Office2013(メインストリームサポート終了済、延長サポート2023/4/11)
- Office2016(メインストリームサポート終了済、延長サポート2025/10/14)
- Office2019(メインストリームサポート2023/10/10、延長サポート2025/10/14)
- Office2021(メインストリームサポート2026/10/13、延長サポートなし)
※最新のサポート情報は、以下Microsoft公式ページをご確認ください。
機能等の違いについては以下の記事をご参考ください。
直近では、2021年版買い切り版(永続版)Officeが出ているものの、Microsoftとしてはサブスクリプション版OfficeであるMicrosoft365への移行を推し進めており、かつてはサブスクリプション版が若干割高だったこともありましたが、今はほぼ価格的にも釣り合いが取れている状態です。
次期買い切り版(永続版)Officeが出るかどうかわからないことや、なぜかOffice2016とOffice2019の延長サポート期限が同じ日付であることなども考えると、買い切り版(永続版)Officeはあと10年続くかどうかわからない状況と言えます。逆を言えば、ここから計画的に買い切り版(永続版)Officeから脱却するかどうかの判断時期に来ているとも言えます。
これまで使ってきたwordやExcelから脱却することは難しい、でも買い切り版(永続版)が無くなるかもしれない…となると、必然としてMicrosoft365への移行を検討することとなります。実際のところ、Microsoft365の使用感はオンプレ版とほぼそん色がないうえにクラウド上での共有機能なども充実しているので、エンドユーザー的にはわりと歓迎されることが多いです。
ただし、問題は管理者側です。買い切り版(永続版)と違い、Microsoft365はクラウド上の認証機能を介します。あまり後先考えずに無料版Microsoftアカウントで発行してしまうと、後々、管理統合が大変なことになる可能性があります。一見直接は関係なさそうな買い切り版(永続版)OfficeとADは、Microsoft365への移行をする際に留意すべきポイントです。
↓PCトラブルなど社内IT環境にお困りなら↓
Microsoft365を導入するなら、Microsoft Entra ID(旧Azure AD)をいれる
従来から、ActiveDirectoryサーバを、オンプレではなくクラウド化したいという要望があるかと思います。物理サーバは持たず、仮装サーバでオンプレADを稼働させている場合もあるかもしれません。詳細は後述しますが、単純にADをクラウド化するための、Microsoft Entra IDではメリットは多くなく、逆に制限が多くなります。
組織それぞれのシステム導入計画があるかと思いますが、オンプレADを見直し、Microsoft Entra IDを導入するかどうか、最も大きな転換点は「Microsoft365を導入する(Office20xxから脱却する)」タイミングが、最も適切かと思います。現在、オンプレOfficeを使っており、サポート期限が迫っているので、Microsoft365を導入しよう、と計画している組織では、その計画の中にMicrosoft Entra IDの導入を含めると、効率よく、かつ、安全な立ち上げが可能です。
Microsoft365→Microsoft Entra IDだと都合が悪い?
正確に言うと、法人としてMicrosoft365を入れる段階で、認証システムとして必ずMicrosoft Entra IDが使われています。Microsoft365導入時にMicrosoft Entra IDに対する要請が特になければ、Microsoftのサブドメインのようなアドレス(例えば、会社名.onMicrosoft.comのような)が自動的に付与されます。このままでもMicrosoft365に対する管理権限も適切に設定はできるので、立ち上がりはそれほど不自由はなく、現状との連動無しに単独で運用する分には、Microsoft Entra IDの独自構築は必須ではありません。
しかし、将来的に管理を厳密に行いたいとなった時に、Microsoft Entra IDとは違う認証システムへの統合やある程度の規模になった場合の一括管理などがMicrosoft365と他システムで独立していると、管理工数が大きくなったり統合に大きな工数を費やす可能性があるため、できることならMicrosoft365を立ち上げる初期の段階でMicrosoft Entra IDも適切に設定されることが望ましいです。
難易度は上がるものの、Microsoft Entra IDを後で整備すること自体は不可能ではないので、まずはMicrosoft365を急ぎ立ち上げたいという方針は間違いではありませんが、Microsoft Entra IDの詳細な構築も計画的に実施することを留意するのが良いでしょう。
↓PCトラブルなど社内IT環境にお困りなら↓
Microsoft Entra ID(旧Azure AD)、できること・できないこと
Microsoft Entra IDは、単にオンプレADがクラウド上で管理されることではなく、機能的にやや似ているというだけで、出来ることはオンプレADとかなり異なります。特に、オンプレADで出来たことで、Microsoft Entra IDで出来ない部分があり、もしその機能を重用しているのなら、オンプレADを維持するか、別のソリューションで代替するか(もしくはその機能の利用自体をやめるか)という判断が必要となる部分にご注意ください。
できること:アカウントの管理・グループ化・権限設定
Microsoft Entra ID(旧Azure AD)では当然ながらアカウントの管理が可能です。アカウントの有効無効化の一元管理はもちろんのこと、権限グループを設定することで、個人個人に設定しなくても所属するグループで一括に適用できるのも、オンプレADと同じ仕組みです。特にMicrosoft365の場合はインターネットにつながっていればデフォルトではいつでもどこでも使えてしまうので、適切な最小限度の権限に設定することが求められます。
できること:Microsoft系サイトのシングルサインオン
現状Microsoft Entra ID(旧Azure AD)を導入していない場合であっても、OutlookやOneDriveなどを使っている場合はそれぞれのサービスでログインを実施しているかと思います。Microsoft Entra IDで管理することによって、Microsoft関連のサービスは一貫して認証され、毎回ログインをする手間が省けます。さらにオンプレADともつながっていれば、PCのWindows認証とも連携できるので、さらに手間が削減されます。
できること:機器制限ができるようになる(オプション:Intune)
特定の端末だけを許可したり、特定のグローバルIPでのみ利用可能な制限をかけることが可能です。これは標準の機能ではなく、Intuneという機能を併用する(もしくはIntuneが含まれるMicrosoft365プランを利用する)必要がありますが、セキュリティを高めるためには検討が必要となる機能かと思います。
できないこと:グループポリシーの配布
Microsoft Entra ID(旧Azure AD)は、オンプレADの重要な機能であるグループポリシーの配布ができません。グループポリシーでは機能制限を行ったり、統一した設定にすることでシステムの安定性を高めていたかと思いますが、Microsoft Entra ID(ではクライアントPCのOSレベルの制御を行うことができません。
できないこと:kerberos認証・LDAP認証ができない
やや専門的になりますが、オンプレADを使ってWindows認証連携をしているローカルサービスがある場合、それがkerberos認証やLDAP認証を使っている場合、Microsoft Entra IDを通して認証を利用することができません。例えばバックアップシステムやNASなどでAD連携機能を使っている場合、Microsoft Entra IDでは利用できません。
↓PCトラブルなど社内IT環境にお困りなら↓
オンプレADとMicrosoft Entra ID(旧Azure AD)の併用(Microsoft Entra Connect)
Microsoft Entra IDという名前ながら、特に現状のローカル環境に関する連携はMicrosoft Entra IDには含まれず、これらを代替する手段がない場合は、オンプレADとMicrosoft Entra IDの併用という運用が考えられます。ただし、Microsoft Entra ID単体でオンプレADとは連携できず、Microsoft Entra Connect(旧AzureADConnect)というAzureのツールを介して、オンプレADと連携することとなります。
Microsoft Entra Connectがあると、ローカルWindows認証で使用しているIDパスワードがそのままMicrosoft365の認証で使えるようになります。
注意が必要なのは、Microsoft Entra Connectの同期の方向は、オンプレAD→Microsoft Entra ID(旧Azure AD)の一方向であり、特定のプロパティ変更をMicrosoft Entra ID側で実施しても、オンプレADの内容に書き換わってしまう事です。Microsoft Entra IDにしか存在しないプロパティであれば問題ありませんが、オンプレ・Azure両方で持つプロパティ(例えば氏名や連絡先など)は、通常はオンプレAD側で管理します。
なお、個人アカウントのパスワードリセット・パスワード変更に関してのみ、Microsoft Entra ID(旧Azure AD)→オンプレADへの更新が可能です。
↓PCトラブルなど社内IT環境にお困りなら↓
どうしても上手くいかない時は
インターネットで検索して色々な方法を試してみたけどうまくいかない…
とげおネットまで
お気軽にご相談ください!!
電話・メールフォームから
お問い合わせください!
▼ ▼ ▼
とげおネットでは
出張サポートにて
お力になれます!
インターネットで検索して色々な方法を試してみたけど上手くいかない場合はとげおネットまでお気軽にご相談ください。出張サポートにてお力になることが可能です。
まとめ
Microsoft Entra ID(旧Azure AD)の導入を進めるうえで、簡単にまとめると以下の通りとなります。
- テレワーク、サブスクリプション時代に向けた新しいMicrosoftサービスの認証方式、Microsoft Entra ID
- オンプレ版Office(Office20xx)からMicrosoft365への移行する場合にもMicrosoft Entra IDが重要となる
- Intuneと組み合わせるとセキュリティを高めることができる
- オンプレADで出来て、Microsoft Entra IDではできない機能もある(グループポリシー等のローカル端末の管理)
- Microsoft Entra Connectを使うとオンプレADと連携することができる(ただし同期方向はオンプレAD→Microsoft Entra IDとなる)
今後テレワーク推進やMicrosoft365への移行を検討している場合は重要な選択となりますので、ぜひ本記事を参考にMicrosoft Entra ID(旧Azure AD)の導入の検討も進めてみてはいかがでしょうか。
