前編では、「Azure Active Directory」(以下、Azure AD)とオンプレミスの「Active Directory」の違いやライセンス選定のポイントを解説した。
後編となる本稿では、Azure ADの機能やオンプレミスのActive Directoryからの移行ポイント、運用負荷を減らすコツを紹介する。
前編同様、Azure ADを活用した開発に携わり、2020年にMicrosoftより「Microsoft MVP Award」の「Microsoft MVP Office Development」を受賞した内田洋行ITソリューションズの大川貴志氏に開発するエンジニア目線の話を聞いた。
また、長年にわたり自治体、教育委員会のITシステム構築・運用サービスの提供に携わり、直近では埼玉県鴻巣市教育委員会の教育ICT基盤のフルクラウド化やAzure AD導入などを担当した内田洋行の永山達也氏に、導入するエンジニア目線の話を聞いた。
Azure ADの便利な機能の一つとして挙げられるのは、SAML(Security Assertion Markup Language)による認証だ。対応する各種アプリとシングルサインオンが可能で、オンプレミスのActive Directoryよりも簡単に設定できる。
大川氏は社内アプリケーションの開発に携わる立場から、「勤怠や経費精算などさまざまなアプリケーションでAzure ADの認証機能を使っています。個別にIDとパスワードを管理する必要がなく、『Microsoft 365』にログインする際の情報が使えて便利です」と言う。
「社内システムの開発では、ユーザーの管理に手間がかかります。従来は、システムごとに同じようなマスターが登録され管理が煩雑でしたが、Azure ADの情報を正の情報として扱い、『Microsoft Graph』で情報を吸い出して他の認証でも使えます」と、大川氏は開発者目線でメリットを述べる。
内田洋行ITソリューションズでは、内製の受注管理システムにAzure ADを連携させることで、承認ワークフローに必要な「所属している部署」や「上司の情報」などを取り込み、反映させているという。
ログインや認証周りの仕組みをAzure ADに任せることで、システムやアプリケーションごとに認証基盤を作りこむ必要がなくなり、開発工数の削減とリスク移転ができる点でも利点を感じられるという。
「Azure AD上のログイン情報を用いることで、ユーザー情報を管理する必要がほとんどなくなり、ビジネスロジックの作りこみに専念できるようになりました。ログイン画面は簡単に見えて、セキュリティリスクが盛りだくさんです。そういった部分をMicrosoftに一任できるのも、大きな利点だと思います」(大川氏)
また、開発に必要なライブラリが一通りそろえられているのも、工数削減に役立っているという。
Azure ADを新たに導入する場合と違い、オンプレミスのActive DirectoryからAzure ADに移行する場合は、両者の違いを理解することが重要だという。
「これまでと同じように設定できるか」はもちろん、「どのタイミングでActive Directoryの情報をAzure ADにジョインするか」を事前に詰める必要がある。その上で、「Azure AD Connect」でユーザーIDの移行を進めれば、移行ハードルはそんなに高くないという。また、オンプレミス環境のActive Directoryで運用してきた「グループポリシー」を移行したい場合は、一から作るという手段もある。
ただ、それでも「ファイルサーバ」という大きな課題が残る。
「当社でも問題になっているのが、ファイルサーバをどうするかです。全てのユーザーをAzure ADに所属させてしまうと、オンプレミスに置かれたファイルサーバへのアクセス権限管理ができなくなります」(永山氏)
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。