Active Directoryとは？詳しく解説させていただきます

TOP
コラム
Active Directoryとは

Active Directoryの概要について

企業では様々な部署で社員がPCをタブレットなど多くの端末を利用して業務を進めており、社員数が増えたり支店が増えるとその数も増加します。また、一人で複数端末を使用するケースも多いため、管理者はパスワードや権限など様々なその管理をしっかりと行う必要があります。ここでは、システム管理に関連性の高い言葉としてActive Directoryについて説明させていただきます。
Active Directoryはアクティブディレクトリーと読み、ADと略されることもあります。 Active DirectoryはMicrosoft社が提供するディレクトリーサービスであり、Windows Serverに標準搭載されている機能となります。 Active Directoryはシステム管理者が複数のユーザーを一元管理するためのシステムであり、活用することでシステム管理者の様々な負荷を下げる効率的な運用や監視を実現することができるようになります。 Active Directoryが導入された背景として、PCやタブレットの普及に伴い管理コストの増加が影響している以外にも、企業のコンプライアンスや情報漏洩対策が重視され、企業内の情報資産の管理とセキュリティが求められるようになってきている時代背景も影響しております。 Active Directoryを導入することにより、管理者側と社員側両方にとってメリットが存在することも知っておきましょう。
まず管理者側のメリットについて説明させていただきます。管理者側のメリットとしてはサーバーなどのアクセス権を管理することができる点や、個別の端末についても一元的に管理することができる点となります。また、アカウント・IDの管理や、プリンターやネットワークの管理も行えるため社内のシステム全般についての管理がスムーズに実行できるという点も大きなメリットとなります。社員側のメリットについて説明させていただきます。社員側のメリットとしてはActive Directoryを導入することでセキュリティー面について様々な設定を行う必要がなく、管理者側に任せることができるというメリットがあります。また、プリンターなどの登録も管理下にあるためスムーズに利用することができる点もメリットと言えるでしょう。特に大企業や社員数の多い企業の場合ですと、管理するPCや端末の台数が多くなるため一台一台管理することは非常に大変となります。Active Directoryがあれば管理者がリモートで全て設定を実行することができるため、業務の効率が上がります。 Active Directoryを理解するために重要となる用語がありますので、ここでは用語を中心に説明させていただきますので参考にしてみてください。また、Active Directoryのメリットなどについても紹介させていただきます。

Active Directory導入前の準備

Active Directory導入に必要なヒアリングポイントやな確認ポイントをいくつか紹介させていただきますので、参考にしてみてください。まずActive Directory導入前に行うことは、導入のための目的を明確化することとなります。それにあたり既存の構成や課題を検証し、Active Directoryを導入することでどうのような課題を解決したいのかということに基づいて設計を行っていくことが基本的な考え方となります。また、導入後にActive Directoryの構造を変更することは手間がかかるということも理解して、しっかりと事前準備や調査を行うことがActive Directory導入前において最も重要なポイントと言えるでしょう。
Active Directory導入の初期段階に確認する点についてもう少し説明させていただきます。例えばActive Directory導入を行う時期についてもヒアリングを行う必要があります。また、将来的な事業の展開予定もしくは拡張予定などについても確認していくことでドメインの構成を行う際の参考になるでしょう。もちろん現在の企業の全体像をしっかりと把握することも当然です。例えば企業ごとの拠点におけるサーバー数やユーザー数もその中の一つです。合わせてサーバーの構成や物理的ネットワークの状況についても把握していく必要があるのはいうまでもありません。

ドメインとドメインコントローラーについて

ドメインとはリソース全体もしくはリソース領域を表す言葉として理解していただければと思います。リソースとはユーザー、プリンタ、PC、共有データ、部署やプロジェクトチーム、データなどを指しActive Directoryにおいてはこれらのリソースをドメイン単位で考えます。ドメインの中のリソースが増えると複雑化してきてきますが、ドメインコントローラーではリソースを管理する役割を持ちます。ドメインコントローラーではユーザーIDとパスワードを使いユーザーの認証を行います。また、ドメインコントローラーでは細かい権限を設定することができるだけでなく、 OSやセキュリティソフトの更新、遠隔サポートなどを一括で実行することができるため非常に便利です。

ドメインツリーとフォレストについて

Active directoryでは、ドメインを複数設定し管理をすることが可能となります。親ドメインと子ドメインといった縦の関係を設定することをドメインツリーといい、企業においては上部組織・下部組織においてアクセスポリシーを設定し、ドメイン管理を行うこととなります。例えば企業の親会社と子会社においてはドメイン間の信頼関係を構築しドメイン内のリソースを権限内で自由にアクセスしてもらうことが可能となり、これにより一からアカウントの作成を行うなど無駄な手間を省くことができます。次に、フォレストはActive Directoryが管理する最大の単位であり、ドメインツリーもしくは他のドメインなどを包括的に含んだ組織の呼び方となります。企業同士の合併やグループ会社など縦だけでなく横の関係においてアクセスを自由に許可するケースによく見られます。

シングルサインオンとフェデレーションについて

シングルサインオンは一度のログインでドメインツリーとフォレストにアクセスできるようになることです。ドメインコントローラーに一度認証されると再度認証を受ける必要がありますので、例えばGoogleのサービスにログインすると他のサービスにもログインすることができるシステムに似ております。フェデレーションは外部のクラウドサービスやウェブサービスにおいてもシングルサインオンができることを指します。

Active Directoryのメリット

Active Directoryの最大のメリットは管理者の負荷を下げることとなります。例えば大企業や社員数の多い企業の場合、管理者が個別でユーザーのパスワードや権限に対しての対応を行うと非常に時間と手間がかかってしまいます。管理者にとって手間がかかる機器の設定や管理、ドメインへのアクセス権限の付与なども Active Directoryを導入することでスムーズに管理を実行できるため管理者の負荷が下がることは間違いありません。また、セキュリティー対策としても有効でありセキュリティー事故の被害を最小に組み止めることが可能です。

Azure Active Directoryについて

昨今では働き方の多様化により、必ずしも出社して業務を行うのでなく自宅や出先から様々なクラウドサービスを利用して働くという働き方が非常に増加してきているため、今後もその傾向は続くことは間違いありません。 Active Directoryはオンプレミス環境の認証や管理を行うための機能であることは説明させていただきました。しかしながら企業のクラウド化が進む中で、クラウドサービスの認証基盤やセキュリティー管理を行うサービスが必要となりAzure Active Directoryが誕生しました。 Azure Active DirectoryはActive Directoryを完全に互換する機能が完備しているわけではありませんが、クラウド版のActive Directoryという立ち位置でクラウド化が進む企業を強力に支援します。 Azure Active Directoryの機能についていくつか紹介させていただきますので、参考にしてみてください。

クラウドサービスのアカウント管理を行う機能

Azure Active Directoryの機能の一点目がクラウドサービスのアカウント管理を行う機能となります。利用しているクラウドサービスをAzure Active Directoryに登録すると、クラウドサービスをまとめて管理することが可能となります。 Active Directoryと同様、それぞれにクラウドサービスに対してシングルサインオンで利用することが可能になりますので便利です。管理できるクラウドサービスはMicrosoft以外にも非常に多くのクラウドサービスを利用できますので、興味のある方は公式サイトのドキュメントを確認してみてください。

ID管理機能

Azure Active Directoryの機能の二点目がID管理機能となります。 IDとパスワードを入力して管理する以外にも、二段階認証や生体認証を行いセキュリティーを高めることが可能となります。二段階認証はアカウントの保護のため実行するセキュリティー認証であり、それ以外にも機械学習を使ったID保護機能で機械学習を活用して怪しいサインインを試行するユーザーを検出やブロックする機能も完備することで高いセキュリティー性を実現します。

アプリケーションアクセス管理機能

Azure Active Directoryの機能の三点目がアプリケーションアクセス管理機能となります。これはユーザーごとに利用するアプリケーションを制限することができる機能となります。また、その権限やアクセス方法も細かく管理者が設定することが可能です。社員が利用するクラウドサービスなどを正しく管理するために有効な機能と言えるでしょう。

Active Directoryに関する資格について

インフラエンジニアを目指すのであればベンダーの認定する資格を取得することがおすすめです。ただし、各ベンダーの認定資格は複数あるため自身のスキルや能力に見合ったものを探すことが重要となります。 2022年現在、Active Directoryのみの知識を問う認定資格はありませんので Active Directoryの知識を体系的に学びたいのであれば、過去の認定試験を参考に学習を行いながら新しく発行されている資格についての学習を行う方法が最も効率的となります。 Active Directoryに関する知識を問う資格は当然ながらMicrosoftが主催している認定資格を取得することが推奨されます。
それでは廃止されている資格および新しく発行されている資格について説明させていただきます。 Microsoftの認定資格としてWindowsサーバー系の資格であれば「MCSAWindows Server 2016」という資格があります。「MCSAWindows Server 2016」を取得することで「ホストおよびコンピューティング環境に Windows サーバーをインストールする」「記憶域ソリューションの実装」「Hyper-V の実装」「Windows コンテナの実装」「高可用性の実装」「サーバー環境の保守と監視」「ドメインネームシステム (DNS) の実装」「DHCP と IPAM を実装する」「ネットワーク接続およびリモートアクセスソリューションの実装」「コアおよび分散ネットワークソリューションの実装」「高度なネットワークインフラストラクチャの実装」「Active Directory ドメインサービス (AD DS) のインストールと構成」「AD DS の管理と保守」「グループポリシーの作成および管理」「Active Directory 証明書サービス (AD CS) の実装」「IDフェデレーションおよびアクセスソリューションの実装」という知識を理解したことの証明を行うことができます。ただし2022年の現在、「MCSAWindows Server 2016」は廃止となっております。参考書や問題集は過去に出版されたものがありますのでActive Directoryの基礎的な知識を体系的に学習したい方は、購入して学習することをおすすめします。
また、MCP(Microsoft Certified Professional)70-640はActive Directoryに関する資格であり、こちらもActive Directoryについての知識を獲得することができます。MCP(Microsoft Certified Professional)70-640で問われる知識については「Active Directoryインフラストラクチャの構成」「Active Directoryのドメインサービスのドメインネームシステム（DNS）の構成」「Active Directoryオブジェクトの作成および保守」「グループポリシー」「Active Directory環境の保守」「Active Directory証明書サービスの構成」「セキュアなドメインコントローラーの構成」となります。 MCP(Microsoft Certified Professional)70-640はActive Directoryについて一通りの知識を証明することが可能な資格でしたがこちらも現在は廃止されております。
また、2020年には「マイクロソフト認定ソリューションアソシエイト」（MCSA：Microsoft Certified Solutions Associate）と「マイクロソフト認定ソリューションデベロッパー」（MCSD：Microsoft Certified Solutions Developer）「マイクロソフト認定ソリューションエキスパート」（MCSE：Microsoft Certified Solutions Expert）が廃止されました。このように複数の資格が廃止される背景には当然ながら、最新のテクノロジーを反映した資格試験を行う必要があるというMicrsoftの意向があることはいうまでもありません。特にMicrsoftでは認定資格を「Azure」「Microsoft 365」「Dynamics 365」などクラウド分野に移行するという意図があったこともその理由となります。ただし、その一方でWindows Serverに関する専門的な知識やオンプレミス環境でのインフラテクチャについての知識を証明する資格がなくなってしまうという課題もありました。

このような経緯もあり、新しく導入される資格がWindows Server Hybrid Administrator Associateです。 Windows Server Hybrid Administrator Associateは二つの資格を発行する予定となります。それがAZ-800：Administering Windows Server Hybrid Core InfrastructureとAZ-801：Configuring Windows Server Hybrid Advanced Servicesです。
AZ-800：Administering Windows Server Hybrid Core Infrastructureでは、Windows Server オペレーティングシステムの広範な操作経験が必要とされ、オンプレミス、ハイブリッド、クラウドのテクノロジを使用してWindows Server のコアワークロードを管理します。 ID、管理、コンピューティング、ネットワーク、ストレージなどのオンプレミスおよびハイブリッドソリューションの実装と管理に関する専門知識が必要です。また、Windows Admin Center、PowerShell、Azure Arc、IaaS 仮想マシンの管理などを含む、管理ツールとテクノロジを使用します。試験内容および配点については「オンプレミスおよびクラウド環境でのActiveDirectoryドメインサービス（AD DS）の展開と管理（30〜35％）」「ハイブリッド環境でのWindowsサーバーとワークロードの管理（10〜15％）」「仮想マシンとコンテナーの管理（15〜20％）」「オンプレミスおよびハイブリッドネットワークインフラストラクチャの実装と管理（15〜20％）」「ストレージとファイルサービスの管理（15〜20％）」と公表されております。
次に、AZ-801：Configuring Windows Server Hybrid Advanced ServicesではWindowsServerオペレーティングシステムの豊富な使用経験が必要とされ、オンプレミス、ハイブリッド、およびクラウドテクノロジーを使用して高度なWindowsServerサービスを構成します。また、AZ-801：Configuring Windows Server Hybrid Advanced Servicesではセキュリティ、移行、監視、高可用性、トラブルシューティング、およびディザスタリカバリに関連するタスクの実行を含む、オンプレミスおよびハイブリッドソリューションの実装とWindows Admin Center、PowerShell、Azure Arc、Azure Automation Update Management、Microsoft Defender for Identity、Azure Security Center、Azure Migrate、AzureMonitorなどの管理ツールについての知識が問われます。試験内容および配点については「安全なWindowsServerオンプレミスおよびハイブリッドインフラストラクチャ（25〜30％）」「Windows Serverの高可用性の実装と管理（10〜15％）」「ディザスタリカバリを実装する（10〜15％）」「サーバーとワークロードの移行（20〜25％）」「Windows Server環境の監視とトラブルシューティング（20〜25％）」と公表されております。

まとめ

いかがでしたでしょうか？Active Directoryについて詳しく解説させていただきましたので、参考にしていただけましたら幸いです。