専門家が解説、「企業がオンプレADに縛られる理由」とEntra IDへの現実的な移行策

業務システムのクラウドシフトに伴い、オンプレミスのADからEntra ID（旧Azure AD）への移行が急務に。だが、技術的な課題や人材不足で踏み切れない企業も多い。専門家が根本原因と現実的な解決策を分かりやすく解説する。

[平 行男，合同会社スクライブ]

　デジタルトランスフォーメーション（DX）の進展に伴い、業務システムのクラウドシフトが進んでいる。特に「Microsoft 365」を基盤とした統合環境の構築が広がり、従来のオンプレミス型「Microsoft Active Directory」（オンプレミスAD）から「Microsoft Entra ID」（Entra ID）への移行が進みつつある。

　だが、移行の複雑さや技術的な課題の高さから、多くの企業は踏み切れずにいる。特に中堅・中小企業では、検討段階で立ち止まり、オンプレミスADの利用を継続するケースが多い。こうした移行の壁を乗り越えるための対策について、AD移行に精通する東芝デジタルエンジニアリングとクエスト・ソフトウェアの専門家にインタビューし、話を聞いた。

企業がオンプレADからEntra IDに踏み出せない根本的な原因

　クエスト・ソフトウェアの橋場仁亮氏（営業部 シニアアカウントマネジャー）によると、移行ニーズの約6割がオンプレミスAD間の移行であり、Entra IDへの移行は依然として限定的だという。これは、グローバル企業のAD統合案件やM＆Aによるシステム統合が要因の一つだと考えられる。一方で、大企業ではEntra IDへの移行プロジェクトが多数進行しており、今後2〜3年の間にその成果が中堅・中小企業（SMB）へ波及する可能性がある。

　東芝デジタルエンジニアリングで長年ADの構築・移行支援を手掛ける藤井氏（ITソリューション事業部）は、「中堅・中小企業ではポリシー管理やファイルサーバ移行などの課題から、依然としてオンプレミスADを利用し続けるケースが多いのです」と語る。

　さらに、公共機関では5年ごとのリース切れに伴うハードウェアリプレースのタイミングでAD移行を迫られることが多い。このような組織では、ハードウェアの更新に加えて、セキュリティガバナンス強化の観点から分散していたAD環境の統合を推進する動きが見られる。

　AD移行の最大の障壁は、技術的な複雑さと移行リスクだ。従来の移行手法では、ベンダーが提供する手順書に基づきFSMO（Flexible Single Master Operations）の転送やローリングアップグレードが一般的だったが、これらには根本的な課題がある。

　「既存の手法では、トラブル発生時のリカバリーが極めて困難です。特にFSMOが破損すると復旧不可能であり、企業のIT基盤全体が機能停止に陥る危険があります」と橋場氏は警告する。FSMOはドメイン全体の制御を担う重要な役割を持つため、その転送が失敗すると深刻な影響を及ぼしかねない。

　また、Microsoftの無償移行ツール「Active Directory Migration Tool」（ADMT）には実用上の制約がある。最新のWindows OSへの対応が不十分である他、ファイルサーバのアクセス権移行機能がない。ADMTを使用すればユーザーオブジェクトやパスワードの一時コピーは可能だが、アクセス権の移行には対応しておらず、移行後に手動で再設定する必要がある。特にオンプレミスADからEntra IDへの移行では、デバイス管理に固有の課題が生じる。

　「ドメイン移行時にはPCごとに個別作業が必要です。手順書を作成してもユーザー側でその通りに進めるのは難しく、現場の負担が大きくなります」と橋場氏は述べる。従来の手法では、数百台から数千台のPCを手作業でドメイン切り替えする必要があり、膨大な労力と作業ミスによるシステム障害のリスクが伴う。

　さらに、Entra IDと「Microsoft Intune」の組み合わせにはデバイス登録に関する特有の制約がある。管理者によるデバイス追加は1ユーザー当たり最大1000台までと制限されている他、セルフ登録を許可すると個人デバイスの無制限登録が可能になり、ガバナンス上の問題を引き起こす可能性がある。

「ADを知る人がいない」AD運用における深刻な問題

　AD移行の課題は技術的な複雑さだけでなく、人材不足の問題にも深く関係している。特に、オンプレミスADの運用・管理を担う技術者の減少が、多くの組織にとって深刻な懸念材料となっている。

　1990年代後半〜2000年代前半にかけてADの構築・運用を経験した技術者が退職期を迎える一方で、若手技術者はクラウド技術の習得を優先する傾向が強い。その結果、ADに精通した人材が減少し、運用が特定の担当者に依存する構造が生まれている。

　「かつては企業の情報システム運用において、ADの構築やポリシー設定が必須スキルでした。ですが、クラウドシフトが進むにつれ、ADの専門知識を継承する機会が減少しているのです」と橋場氏は懸念を示す。

　AD専門技術者の不足は、障害発生時の対応力の低下だけでなく、長期的なAD環境の最適化やガバナンス維持の困難さにもつながる。このような課題を克服するための適切な対策が求められている。

　オンプレミスADの運用を続けることは、セキュリティ面で大きな負担を伴う。近ごろ、サイバー攻撃の高度化が進み、従来の対策では十分な対応が難しくなっている。

　オンプレミスAD環境では、自社でセキュリティパッチの適用やアクセス制御の強化、監査ログの管理を担わなければならない。加えて、最新の脅威に関する知識や対策技術の習得も求められるが、社内の限られたリソースでは対応が困難なケースが多い。

　「ファイルサーバへの不正アクセス、アカウント乗っ取り、ランサムウェア被害などのセキュリティインシデントが増加しています。企業は対策の必要性を認識しつつも、AD環境に関する具体的な対処法や専門知識を持たないケースが多いのが現状です」と橋場氏は指摘する。

企業を「AD運用の負担」から解放する支援サービスが登場

　クラウドサービスであるEntra IDは、Microsoftによる継続的なセキュリティ強化により、安全性の向上が期待できる。企業がAD環境の管理を外部サービスに委ねる背景には、社内でのセキュリティ対策の難しさや専門人材の確保が困難という課題がある。そのため、クラウドベースのソリューションを採用する企業が増加している。

　「企業は、自社でセキュリティ対策を継続するか、クラウドサービスに委ねるかの選択を迫られています。オンプレミスADからEntra IDへの移行により、セキュリティ対策の多くをMicrosoftに任せられる点は大きなメリットでしょう」と藤井氏は述べる。

　だが、Entra IDへの移行には幾つかの障壁がある。既存のグループポリシーの移行、ファイルサーバやプリンタなどのハードウェアとの連携、アプリケーション認証方式の変更など課題は多岐にわたる。また、移行プロセス自体にもリスクが伴う。一度に全てを移行すると業務への影響が大きくなるため、多くの企業が慎重に移行計画を策定している。

　東芝デジタルエンジニアリングは、従来の移行手法の課題を解決するため、2025年6月より「Active Directoryマイグレーションサービス」を開始する。これはクエスト・ソフトウェアの「Migrator Pro for Active Directory」と「On Demand Migration for Active Directory」を活用し、現状分析から移行計画の策定、パイロット移行、本格移行、移行後の検証までを専門チームがトータルで支援するサービスだ。

　特に注目すべき点は、テレワーク環境においてもリモートで移行作業が可能であり、PCの再ログインのみでドメイン参加やプロファイル移行が完了する点だ。これにより、従来の煩雑な手順を省き、移行前のデスクトップ環境を維持したまま移行を実現する。

　さらに、ドメイン移行後にはファイルサーバのアクセス権限が自動的に再設定され、権限管理の整合性が確保される点も特徴だ。東芝デジタルエンジニアリングがクエスト・ソフトウェアの製品を採用した背景には、1996年頃のバックアップ製品から続く長年の協業と信頼関係がある。

　「クエスト・ソフトウェアの製品の強みは、Microsoftとの緊密な連携に基づく高い品質です。オブジェクト移行だけでなく、GPO（Group Policy Object）やファイルサーバのアクセス権まで考慮した設計で、実運用における安心感が違います」と藤井氏は評価する。

　本サービスは、オンプレミスAD間の移行や、オンプレミスADからEntra IDへの移行、さらには両者の併用という3つの移行パターンに対応し、多様な企業ニーズに応える包括的な支援サービスだ。

　Entra IDへの移行は、もはや「いつか実施する」ものではなく、「いつ実施するか」を検討すべき段階にある。まずは自社のAD環境を把握し、業務影響を分析した上で、移行の優先順位を決定し、最適なツールとサービスを選定すべきだろう。