Active Directory(アクティブディレクトリ:「AD」と略される場合もある)は、社内のユーザやPCなどの端末情報を一元管理し、ログイン時の本人確認(認証)やアクセス権の管理を容易にする仕組みです。
本コラムでは、Active Directory の基本的な役割を「IT資産の名簿」と「通行証」に例えて解説します。さらに、ADの役割、基本の仕組み、導入メリットから、Microsoft Entra ID(旧称:Azure AD)との違いまで、図解を交えて初心者向けにわかりやすく解説します。
Active Directory とは?会社の「IT資産の名簿」であり「通行証発行所」
「Active Directory」は、Microsoftの Windows Server に搭載されているディレクトリサービスです。ディレクトリサービスとは、社内ネットワーク上のユーザやデバイス、リソースなどの情報を階層構造で整理・管理し、検索や参照を効率化するための仕組みです。
主に Windows 環境におけるユーザの認証と認可(アクセス制御)の役割を担う、企業ネットワークの中核的な基盤です。
その歴史は、Windows 2000 Server に「Active Directory」という名称で搭載されたことから始まります。その後、Windows Server 2008 でディレクトリサービス以外の機能も提供されるようになり、現在では下記のようなサービス群で構成されています※。
- Active Directory Domain Services(AD DS)
- Active Directory フェデレーション サービス (AD FS)
- Active Directory 権利管理サービス(AD RMS)
- Active Directory 証明書サービス(AD CS)
※ ID と Access のドキュメント より
今でも、「Active Directory」というと、一般的に「Active Directory Domain Services(アクティブディレクトリドメインサービス:AD DS)」を指す場合が多いため、本コラムでもそれに準じています。
この Active Directory は一見難しそうに思えるかもしれませんが、身近なものに例えるなら、会社の「IT資産の名簿」であり「通行証発行所」です。
まず「IT資産の名簿」として、社員(ユーザ)やクライアントPC、サーバ、プリンタ、共有フォルダ、そのほかのさまざまなデバイスなど、会社が管理すべき情報を一元管理します。これにより、「誰が在籍しているか」「どの端末が業務端末か」「どの部署・役割に属しているか」を整理しやすくなります。
また、「通行証発行所」としては、ユーザアカウント、パスワードを管理し、ユーザが社内システムにアクセスする際の本人確認(認証)を行います。さらに、ユーザごとに利用できる範囲、すなわちアクセス権を管理する「認可」も担います。
もしActive Directoryがなかったら?
「IT資産の名簿」と「通行証発行所」という重要な役割を担うActive Directory ですが、もしこれがなく、管理が各部門の担当者や個人任せに分散していたらどうなるでしょうか。Active Directory 利用前後の状況を考えてみましょう。
- 【Before】Active Directory がない場合
- Active Directory がない企業の場合、PCの設定が担当者任せになるなど組織的な管理が困難になり、次のような問題が発生しがちです。
-
- 「IT資産の名簿」がないため、PCの命名規則が統一されず、未登録・重複登録の端末や管理者が不明な端末が混在するなど、管理状況がブラックボックス化しかねません。
- サーバなどへアクセスする際、システムごとに「通行証」を発行することになり、利用者分のアカウント作成や権限設定が必要です。結果として、管理漏れや削除漏れが発生しやすくなります。
- PCなどの端末設定が、1台ずつの手作業になりがちです。
このように、Active Directory がなければ、ユーザやPCなどコンピュータリソースは部門ごと・担当者ごとに分散し、非効率になります。
これは管理者の負担を増やすだけでなく、情報漏えいや不正アクセスにつながるリスクも高めます。
例えば、退職者のアカウントや、異動後も古い権限が残っていると、不正アクセスの原因となり、情報漏えいにもつながりかねません。
- 【After】Active Directoryがある場合
- Active Directoryがある環境では、会社の「IT資産の名簿」にユーザやPCなどコンピュータリソースを登録し、一元管理できます。また、「通行証」としての認証・認可情報の発行・更新も、個人単位ではなく組織単位で効率的に対応できるようになります。
Active Directory の主な役割(できること)3選
Active Directory には多様な機能があり、どこから学べばよいか迷ってしまうかもしれません。そこで、Active Directory の必要性を理解するために欠かせない3つの役割を紹介します。まずはこの3点を押さえ、Active Directory の価値を理解しましょう。
- 1. ユーザ情報と権限の一元管理(認証)
- 2. クライアントPCや端末の一元管理
- 3. ポリシーの一括適用(グループポリシー)
1. ユーザ情報と権限の一元管理(認証)
Active Directory では、ユーザ情報と、そのユーザが属するグループ(部署・役割など)をまとめて管理できます。これが、PCや共有サーバなどにログインする際の本人確認(認証)の基盤となります。ユーザごとに異なるアクセス権限を設定することで、アクセス可能なITリソースを制御できます。
なお、「認証」とは「本人であることを確認すること」です。認証には、IDとともに以下の3要素のうち、いずれかが用いられます。
- 1. 知識情報(パスワード、PINコードなど)
- 2. 所持情報(USBキー、スマートフォン、ICカード、トークンなど)
- 3. 生体情報(顔や指紋など)
これらの3要素から、異なる複数の要素を組み合わせて認証するのが「多要素認証」です。
参考:
認証とは?認可とは?情シスが知っておきたいID管理の用語
2. クライアントPCや端末の一元管理
Active Directory では、社内ネットワークに接続された各種デバイスを効率的に管理できます。例えば、クライアントPC、サーバ、プリンタなどを一元管理することが可能です。社内ネットワーク上のデバイスは数多く、その管理は複雑で手作業では困難です。これらを集中管理できる点は Active Directory の大きな特長の1つと言えます。
3. ポリシーの一括適用(グループポリシー)
Active Directory では、「グループポリシー」という機能を使って、ユーザやクライアントPC に対して共通のポリシー(ルール)を一括で適用できます。例えば、クライアントPCの設定(スクリーンセーバ、USBメモリの使用制限、パスワード設定など)を統一することが可能です。これにより、効率的にルールを適用して設定のばらつきを減らし、運用工数の削減にもつながります。
3. Active Directoryの仕組みをわかりやすく図解
Active Directory の仕組みを理解するためには、基本的な用語を学ぶ必要があります。ここでは、Active Directory における管理範囲を示す単位である「ドメイン」、それを管理するサーバである「ドメインコントローラ」、組織単位である「OU」、権限を束ねる「グループ」の4つの用語について解説します。
ドメインとドメインコントローラ
これまで述べてきた通り、Active Directory はユーザやクライアントPCなどの端末を管理するサービスです。この、ユーザやPCなどの端末をまとめて管理する単位を「ドメイン」と呼びます。Active Directory ドメインは、管理対象となるユーザ、PC、サーバなどと、それらを管理するドメインコントローラ(ドメインサーバ)で構成されます。
ドメインコントローラ(DC)は、ドメインを構成するすべての要素を管理するサーバで、「ドメインサーバ」とも呼ばれます。ドメインへのユーザやITリソースの追加、IDとパスワードの認証、ポリシーの適用、セキュリティ管理といった役割を担います。例えば、従業員Aさんが使うPCをドメインに参加させることで、AさんはそのPCで業務ができるようになります。
また、ドメインには必ず1つ以上のドメインコントローラが必要です。万が一、ドメインコントローラに障害が発生すると、認証やポリシー適用ができなくなり業務に支障をきたす恐れがあるため、複製して2台以上で運用(冗長化)することが推奨されています。
OU(組織単位)とグループ
「OU(組織単位:Organizational Unit)」は、ユーザアカウントやPCなどのオブジェクトを整理するための「箱」や「器」によく例えられます。部署や拠点ごとなど、管理しやすい単位でオブジェクトを格納するために使われます。
一方、「グループ」は、アクセス権という「通行証」をまとめて配るための集まりです。OUがオブジェクトを管理するための「場所」であるのに対し、グループは権限とアクセス権を制御するための「集まり」と言えます。
例えば、ある共有フォルダへのアクセス権を特定のグループに付与し、アクセスが必要なユーザをそのグループに所属させる、といった運用が可能です。
また、全社的なソフトウェアのアップデートを行う際に、まずテスト用のグループに先行配信し、問題がなければ段階的に他のグループへ展開していく、といった使い方もできます。
Active Directory を導入する3つのビジネスメリット
Active Directory を導入することで、企業はどのようなメリットが得られるのでしょうか。次の3つのメリットを紹介します。
- メリット1:セキュリティの強化
- メリット2:IT管理者の運用工数の削減
- メリット3:従業員の利便性向上
メリット1:セキュリティの強化
Active Directory には、社内ネットワーク内の基本的なセキュリティ対策に効果的な機能が搭載されています。特に、社内のセキュリティルールや設定を統一しやすくなるため、属人的な運用や設定ミスを減らすことにつながります。具体的には、以下のような点でセキュリティを強化できます。
- アクセス認証による不正利用の防止
- 適切なアカウント管理と権限管理の実現
- セキュリティポリシーの一括適用による統制強化(パスワードポリシー、画面ロック、USBメモリの使用禁止など)
- セキュリティパッチやソフトウェア更新の一括適用
- 操作ログの取得による監査対応力の向上
メリット2:IT管理者の運用工数の削減
社内のユーザや端末数が増えるほど、IT管理者の運用管理の負担は増加します。Active Directory を利用すれば、さまざまな設定や変更をまとめて扱えるため、運用工数の削減に貢献します。
例えば、ファイルサーバのアクセス権設定を考えてみましょう。Active Directory がない環境では、ファイルサーバごとにユーザIDやアクセス権を管理する必要があり、ユーザ管理が分散しがちです。Active Directory を導入すると、それまで分散していたユーザ情報を一元管理できます。また、グループに対して権限の設定ができるようになるため、設定作業の大幅な効率化につながります。
メリット3:従業員の利便性向上
Active Directory を利用することで、従業員はIDとパスワード管理の煩雑さから解放され、PCの初期設定などを自分で行う必要もなくなります。アクセスすべき共有フォルダや業務システムが多いほど、メリットは大きいでしょう。
さらに、シングルサインオン(SSO※)を活用できる環境であれば、IDとパスワードの入力が一度で済むため、従業員はより快適にITシステム環境を利用できるようになります。 ※シングルサインオン(SSO):特定のサービスに一度ログインし認証するだけで、一定時間、ほかのアプリケーションなどにアクセスできるようになる認証方式
【今さら聞けない】オンプレミス Active Directory と Microsoft Entra ID の違い
「Active Directory と Microsoft Entra ID(旧 Azure Active Directory)は何が違うの?」と疑問に思う方も多いでしょう。
簡単に解説すると、オンプレミスの Active Directory は、「社内ネットワーク環境を前提とした」ディレクトリサービスです。一方、Microsoft Entra ID は、「クラウドサービス利用を前提とした」ID基盤(IDaaS)です。この両者の違いをもう少し詳しく見ていきましょう。
オンプレミス Active Directory:社内を守る従来型
オンプレミスの Active Directory は、社内ネットワークにあるIT資産やユーザ情報を一元管理するためのディレクトリサービスです。
ドメイン/ドメインコントローラを中心に、社内PCへのログオン時に本人確認(認証)を行い、定められたルールに沿って社内資産へのアクセスを制御します。社内ネットワーク内の利用者と資産を統制しやすい、社内を守る従来型の基盤です。
Microsoft Entra ID:クラウドサービス利用の要
Microsoft Entra ID は、Microsoftが提供するクラウドベースのIDおよびアクセス管理サービス(IDaaS)です。
ユーザ認証、アクセス制御、シングルサインオン(SSO)などの機能を備え、Microsoft 365をはじめとするさまざまなSaaSと安全に連携する基盤として広く利用されています。
両者を連携させる「ハイブリッドAD」が主流に
近年、Microsoftは「Modern Management」を提唱し、オンプレミスの Active Directory などを活用した「従来の管理」から、クラウドベースの「新たな管理(PC運用管理のモダナイズ)」への移行を推奨しています。(下図参照)
また、その「過渡期」にはオンプレミスとクラウド双方を活用したハイブリッドの期間があることも示されています。今後は、オンプレミスの Active Directory とEntra IDを連携させ、段階的に利用範囲を広げていくハイブリッド構成が多くの企業にとって現実的な選択肢となるでしょう。
※ Microsoft「組織内の Windows デバイスを管理する - 最新の管理に移行する」
より(一部改変)
【チェックリスト】Active Directoryの導入・見直しを検討すべきポイント
ここでは、Active Directory の導入や見直しが必要となる際の「3つのサイン」をチェックリスト形式で紹介します。当てはまる項目があれば、課題が顕在化しているサインと捉え、Active Directory の導入・見直しを検討してみてはいかがでしょうか。
サイン1:社員やPCが増え、手作業での管理が限界に達している
社員数や端末数が増えると、IT資産台帳の更新や各種設定が追いつかず、設定漏れ・更新漏れが起きやすくなります。まずは下記の項目に心当たりがあれば、現状の棚卸しと運用ルールの整備が必要です。
- ☐ IT資産台帳(ユーザ/端末)の更新が追いつかない
- ☐ 端末の初期設定が担当者ごとにバラつく/漏れる
- ☐ どの部署・拠点・役割で管理すべきか決まっていない
サイン2:入退社や異動が多く、アクセス権限がブラックボックス化している
- ☐ 退職者/異動者の権限が正しく削除できるかわからない
- ☐ 誰がどの共有フォルダに入れるか、どのアプリを利用できるか完全に把握できていない
- ☐ 権限変更の履歴(いつ・誰が・何を)が追えない
サイン3:外部監査やセキュリティ認証(ISMS等)への対応が必要になった
外部監査やISMSなどのセキュリティ認証では、Active Directory の設定不備が全社的なセキュリティリスクと見なされるため、「特権IDの管理」や「ログの監視」といった項目が特に重視されます。
下記のような状況がないかチェックしてみましょう。
- ☐ 権限の付与・変更・削除のルールが整理されていない
- ☐ 監査で提示できるログ(誰が・いつ・何を変更したか等)が保存されていない
- ☐ 特権IDの棚卸しや見直しができていない
まとめと次のステップ
本コラムでは企業のセキュリティと業務効率化を支えるITインフラの土台となる Active Directory について、基本的な情報を中心に解説しました。Active Directory の自社での導入検討や本格的な活用にぜひ役立ててください。
また近年は、クラウドシフトの加速に伴い、Microsoft Entra IDの重要性も増しています。今後、Active Directory をオンプレミスで運用し続けるのか、全面的にクラウドへ移行するのか、あるいはハイブリッド構成で運用していくのか、自社のIT戦略に合わせて検討する必要があります。
その検討の一助として、本記事とあわせて以下の情報も参考にしてみてはいかがでしょうか。
- <ADを学ぶコラムシリーズ>
- 【基礎】Active Directoryとは?仕組み・メリットを情シス初心者向けに解説
【セキュリティ】Active Directory のセキュリティ対策の基本とは?設定・監視、到達させない仕組み作りが重要
【移行】Active Directory(オンプレAD)クラウド移行ガイド│オンプレADのよくある課題と移行プロセス
「何から手をつければ良いかわからない」方へ。
アセスメントから日々の運用・保守支援まで、経験豊富なエンジニアが伴走します。
まずはお気軽にご相談ください。
ソフトクリエイトの Active Directory トータルサービス
はこちら