●クラウド&Windows 10時代のID管理の課題とは

「Active Directoryドメインサービス(AD DS)」(単にActive Directoryと呼ばれることがあります)は、Windows 2000 Serverに標準機能として組み込まれた形で2000年に初めて登場し、それまでのWindows NT ServerのSAM(セキュリティアカウントマネージャー)ベースのID管理基盤を置き換えました。

Active Directoryドメインサービスは、Kerberos認証に基づいたID認証とアクセス制御、スマートカード認証、グループポリシー管理などを実現するWindows Server標準のディレクトリサービスであり、シングルドメイン環境であっても従来のSAMデータベースとは比較にならないスケールを提供します。また、Windowsだけでなく、UNIXやLinux、Macを含めたIDの管理統合を実現します。

企業の管理されたクライアントだけが対象であれば、これまでのActive Directoryドメインサービスで今後も運用し続けることができるでしょう。モバイルユーザーがいても、企業内のクライアントPCを持ち出し、従来方式の仮想プライベートネットワーク(VPN)接続経由で社内ネットワークにActive DirectoryドメインのIDでアクセスすることが可能です。

しかし現実は、企業におけるクラウド利用もかなり進んでおり、スマートフォンやタブレット端末など、さまざまな種類のモバイルデバイスが業務利用されるようになりました。また、そのデバイスの所有者が企業だけでなく、個人の場合も増えてきています。所有者が企業、個人のどちらであれ、さまざまなアプリやサービスの業務利用と個人利用の境界が曖昧になると、情報漏えいのリスクが高まります。

クラウドサービスを利用する場合、通常はそのサービスごとのID(またはそのサービスと連携可能なオンラインID)が必要になります。そのような多数のクラウドのIDとオンプレミスの企業内IDの多重管理は、運用管理を複雑、面倒にするだけでなく、IDの漏えいや不正利用にもつながります。

従業員の生産性を損なうことなく利便性を提供しながら、いかにセキュリティを確保するかは、ID管理上の大きな課題です。Windows 10クライアントを対象に考えた場合、Microsoftが提供するID管理ソリューションとしては次の3つの選択肢があります。Windows 10対応機能を除けば、Windows 7やWindows 8.1クライアントにも対応できます。

――
・選択肢その1:オンプレミスのActive Directoryドメインサービス(AD DS)のディレクトリ環境
・選択肢その2:Azure Active Directory(Azure AD)のディレクトリ環境
・選択肢その3:オンプレミスのAD DSとAzure ADをディレクトリ統合したハイブリッド環境
――

今回は、これら3つのID管理環境の選択肢について、概要レベルで説明します。

●選択肢その1:「オンプレミスのAD DSのディレクトリ環境」の場合

オンプレミスのAD DSで構築したActive Directoryドメイン環境では、以下のような機能をドメイン内(一部の機能はドメイン外から)で利用できるようになります。

――
・クライアントのドメイン参加
・ユーザーIDとグループ、組織単位(OU)の作成と管理
・パスワードのリセットやIDのロック
・ID認証と社内リソースへのアクセス制御(Windows Server 2012以降はダイナミックアクセス制御をサポート)
・DirectAccessによるシームレスなリモートアクセス環境
・グループポリシー管理
・マルチマスターレプリケーション、サイトの分割や読み取り専用ドメインコントローラー(Read Only Domain Controller:RODC)の設置によるログオントラフィックやレプリケーションの最適化
・Active Directory証明書サービス(AD CS)による公開鍵基盤(PKI)の導入
・Active Directory Rights Managementサービス(AD RMS)を使用した情報漏えい対策
・Active Directoryフェデレーションサービス(AD FS)とWebアプリケーションプロキシ(WAP)によるワークプレース参加、多要素認証のサポート
――

Windows 10 Homeを除く、PC向けのWindows 10の各エディションは、オンプレミスのAD DSのActive Directoryドメインへの参加を従来のWindowsと同じように完全にサポートしています。特にActive Directoryドメインのバージョン要件はありませんが、利用するActive Directoryドメインの機能によっては、フォレスト機能レベルやドメイン機能レベル、ドメインコントローラーのバージョンに要件が加わることがあります。

「ワークプレース参加」(社内参加、職場への接続と呼ばれることもあります)は、Windows 8.1/Windows RT(クライアント機能)とWindows Server 2012 R2で初めて実装された機能であり、ドメインに参加していないデバイスをAD DSのディレクトリに登録し、デバイス認証に基づいたアクセス制御を可能にする、個人所有デバイスの社内利用を想定した新しい機能です。例えば、デバイス(登録済み/未登録)と場所(社外または社内)を条件に、社内リソースへのアクセスを制御することが可能です。

ワークプレース参加はiOSやAndroidデバイス、Windows 7(ただしドメイン参加済みクライアントのみ)でもサポートされます。実は、Windows 10クライアントについては、オンプレミスのActive Directoryドメインだけでワークプレース参加を実現することはできません。Windows 10クライアントでワークプレース参加相当の機能をサポートするには、後述するAzure ADのディレクトリ環境またはハイブリッド環境が必要になります。

●選択肢その2:「Azure ADのディレクトリ環境」の場合

「Azure Active Directory(Azure AD)」は、Microsoft Azureのサービスの1つであり、クラウド環境向けのID管理サービスを提供します。AD DSとは異なり、Kerberos認証やグループポリシー管理機能は提供しません(Azure ADドメインサービスとしてIaaS環境に提供することは可能)。

Azure ADは、SAML 2.0やWS-Federation 1.2、OAuth 2.0/OpenID Connect 1.0といった、Webアプリ/サービス標準の認証プロトコルをサポートするものです。Office 365やMicrosoft Intuneのサービスは、Azure ADをID管理のためのディレクトリとして利用しています。

Azure ADでは、次のような機能が社内クライアントやさまざまなモバイルデバイスからオンラインサービス上で利用可能です。なお、Azure ADの基本的な機能を提供する「Azure AD Freeプラン」は無料ですが、Azure Multi-Factor Authentication(Azure MFA)のように料金が発生するものもあります(Azure AD Premium以上プランや個別サービスの料金)。

――
・ユーザーID、グループの作成と管理(Office 365やMicrosoft Intuneと統合)
・パスワードのリセットやIDのロック
・Office 365やMicrosoft IntuneのID認証
・Azureの各種サービスのためのID認証
・SaaSアプリのシングルサインオンアクセス
・ID使用状況のレポート
・Windows 10のAzure AD参加(このデバイスをAzure Active Directoryに参加させる)
・Windows 10のワークプレース参加(職場または学校への接続)
・Windows 10のWindows Hello for Business(旧称、Microsoft Passport for Work)
・Azure MFAの多要素認証によるID認証の強化
・Azureの各種サービスやOffice 365に対する条件付きアクセス
――

Azure ADは、オンプレミスにサーバを持たない(持ちたくない、撤去したい)中小規模の企業に適しているといえます。また、社内の情報共有基盤としてOffice 365サービスを利用する場合は、後述するハイブリッド環境を構築しない限り、Azure ADだけを利用することになります。

Azure ADは、Windows 10で導入されたさまざまなID機能に対応している点に注目してください。Windows 10はオンプレミスのAD DSにドメイン参加する代わりに、Azure ADのIDを使用して「Azure AD参加(Azure AD Join)」という方法でデバイスとIDをひも付け、Azure ADに参加させることが可能です。

ユーザーは、Azure AD参加デバイスからAzure ADのIDを使用してWindowsへのサインイン(ログオン)し、シングルサインオンでOffice 365などのサービスを利用できます。また、生体認証を使用した「Windows Hello」によるサインインも可能です。Azure ADのIDでのWindows Helloのセットアップと使用を、Microsoftアカウントで利用可能なWindows Helloに対し、「Windows Hello for Business」(旧称、Microsoft Passport for Work)と呼びます。

Microsoft AzureのIaaS環境(仮想マシン環境)でActive Directoryドメインが必要な場合、IaaS環境の同じネットワーク上にAD DSを実行するドメインコントローラーを仮想マシンとして配置するのが1つの方法です。オンプレミスの社内ネットワークとサイト間接続している場合は、オンプレミスのネットワークの延長として、追加のドメインコントローラーをIaaS側に仮想マシンとして配置して、トラフィックを最適化することができます。

もう1つ、Azure ADの機能の1つである「Azure ADドメインサービス」を利用するという方法があります。Azure ADドメインサービスは、Azure ADのディレクトリと統合されたフル機能のActive Directoryドメイン環境(ドメイン参加、Kerberos認証、グループポリシー管理など)をサービスとして提供するもので、複数台のドメインコントローラーのデプロイと更新は自動化されています(サービスに含まれます)。一部の特権レベルの管理機能は制限されますが、システム要件によってはこちらを利用した方が、管理コストを含め、低コストで導入できる場合があります。

また、Azure ADを導入すると、Microsoft Azureの次のID関連の有料サービスを導入できるようになります(Azure AD Premium以上の有料プランや個別サービスの料金)。

――
・Azure AD Privileged Identity Management(PIM)による特権アクセス管理
・Azure AD Identity ProtectionによるID不正使用の防止
・Microsoft Cloud App SecurityによるシャドーITの検出
・Azure Information Protectionによる情報漏えい対策
――

これらAzure ADが提供するサービスにより、不正アクセスのリアルタイム検出や不正利用のブロックなどで、IDの保護を強化したり、情報漏えいを防止したりできます。例えば、「Azure Information Protection」(旧称、Azure Rights Management)は、もともとはAD RMSのクラウド版として登場しましたが、最新のサービスではラベル付けによる保護設定や、条件に基づいた自動保護または推奨提示、透かしの設定、Officeドキュメント以外のテキストや画像、PDFの保護、保護されたドキュメントのマップ上での追跡と公開の停止、Windows 10 Enterpriseのセキュリティ機能であるWindows Information Protection(旧称、Enterprise Data Protection:EDP)との連携など、AD RMSにはない機能が利用できます。

●選択肢その3:「ハイブリッド環境」の場合

オンプレミスのAD DSのActive Directoryドメインは、Azure ADとディレクトリ統合したハイブリッド構成が可能です。ハイブリッド構成は、Azure ADの管理ポータルと、ポータルから入手できる「Azure AD Connect」というツールを使用して、比較的簡単にセットアップすることが可能です。なお、オンプレミス側には、AD FSおよびWAPの展開が必要です。

ハイブリッド環境では、次のような機能が実現されます。

――
・オンプレミスのIDを使用したクラウドサービス(Office 365など)のシングルサインオンアクセス
・オンプレミスのIDを使用したAzureのID関連サービスの利用
・オンプレミスのActive DirectoryドメインでのAzure MFAのサポート(AD FSの多要素認証の1つとして)
・クラウド側でのオンプレミスのIDのパスワードリセット(オンプレミスへのパスレードライトバック)
・Azure ADのデバイス登録機能を利用した、オンプレミスのIDによるワークプレース参加(オンプレミスへのデバイスライトバック)
・ドメイン参加済みWindows 10の自動デバイス登録、およびオンプレミスのAD DSでのWindows Hello for Businessのサポート
――

最後の「ドメイン参加済みWindows 10の自動デバイス登録」は、Windows 8.1の「ワークプレース参加」を置き換える機能です。オンプレミスのIDを利用したデバイス登録、AD FSの多要素認証の1つとしてのデバイス認証、およびWindows Hello for Businessのサポートは、この方法で実現されます。

また、この環境を構築するには、Windows Server 2016ベースのAD DS、AD FS、WAPを展開する必要があります。ドメイン参加済みWindows 10の自動デバイス登録の環境を構築すると、ドメイン参加時にPINの入力とWindows Hello for Businessのセットアップが要求され、Azure ADと同じSMS、電話、またはモバイルアプリで本人を確認した上で、デバイスがAD DSのディレクトリに登録されます。

 

 

関連記事】

Windows 10プレビュー版からウォータマークが消失。Fall Creators Updateのバージョンは「1709」で確定

Windows 10“Enterprise限定”の高度なセキュリティ機能として登場した「Device Guard」