Active Directory

第8回 オブジェクトの管理(1)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryデータベース内で管理されているオブジェクト「OU」と「ユーザー」について解説 これまでのコラムでは、Active Directoryのデータベースやドメインコントローラーについて解説してきました。今回から2回にわたって、Active Directoryデータベース内で管理する「オブジェクト」について解説します。 ■ オブジェクト オブジェクトとは、Active Directoryデータベース内に登録されるアカウントやリソースの総称です。Active Directoryデータベースには様々な情報を登録し、その情報を利用することができますが、それらは総称してオブジェクトと呼ばれます。Active Directoryデータベースに登録する代表的なオブジェクトには、以下のようなものがあります。 ・ OU ・ ユーザー ・ コンピューター ・...

ADManager Plus , セキュリティ , 一般 1 min read

二要素認証とは?今、二要素認証が必要な理由と使える製品

Reading Time: 1 minutesこの記事の所要時間: 約 3分 近年「二要素認証」や「多要素認証」といった言葉を耳にする場面が増えてきたと思います。「スマホを落としただけなのに」という映画&漫画でもなりすましの怖さがよくわかります。セキュリティ侵害は日に日に増加しており、ユーザー名とパスワードのみを利用してユーザーアカウントの安全性を保つことはできなくなりつつあります。 パスワードを強固にするだけでなく、より強力なソリューションによって、不正なユーザーを振るい落とすためにセキュリティを向上させる必要があります。今回の記事では「二要素認証 とは?」「なぜ二要素認証が必要なのか」「二要素認証を導入するための製品」についてお話していきます。 二要素認証 とは? なぜ二要素認証が必要なのか 二要素認証を導入するための製品 1.二要素認証 とは 「そもそも二要素認証ってなんだろう」「二要素認証 とは?」そんな疑問を持っている方も少なくないかと思います。 二要素認証とは文字通り2つの要素を使用して認証を行うことです。 身近なものだとATMやSMSなどのワンタイムパスワードもそこに含まれます。 また要素とは、以下の3つになります。 ・本人だけが知っていること (パスワードやIDなど) ・本人だけが所有しているもの (スマホやカードなど) ・本人自身の特性 (指紋や顔認証など) 二要素認証とは、上記の2つが揃っていないと認証が通らない仕組みのことです。 今まで1つの要素だけで認証していたものを2つの要素にすることでセキュリティの強化を図る手法のことを二要素認証と言います。また、多要素認証とは、2つ以上の認証要素を使用してユーザーを認証することを意味します。...

ADSelfService Plus 1 min read

第6回 Active Directoryのサイト【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ サイトの概要について解説 ・ サイトを利用するメリットについて解説 前回のコラムでは、既定でどのようにレプリケーションが動作するのかについて解説しました。しかし、レプリケーションの間隔や頻度などを環境に合わせて変更したい場合もあります。例えば、組織の中で「東京」と「大阪」のように物理的に離れた拠点を持っており、その拠点間は低速な回線で接続されている場合などです。このようなシナリオでは、Active Directoryのレプリケーションは夜間におこないたいというニーズや、間隔を調整したいといったニーズが考えられます。このようなニーズに対応できるように、Active Directoryには「サイト」という情報があります。今回は、サイトそのものと、サイトをまたいでおこなうレプリケーションについて解説します。 ■ Active Directoryのサイトとは Active Directoryデータベースの複製には、「サイト」という情報が利用されます。Active Directoryにおけるサイトとは、高速に通信できる単位となる情報です。例えば、組織の拠点が東京と大阪にある場合、各拠点内のドメインコントローラー同士は高速に通信することができます。しかし、東京と大阪の間をつなぐネットワークは高速であるとは限りません。WANを介した通信であるため、信頼性が低かったり、速度についてもLANに比べて低速である場合が考えられます。そのような場合には、東京サイト、大阪サイトというように拠点ごとにサイトを分けることが可能です。そうすることで、ドメインとしては1つであっても、いくつかの離れた各拠点にドメインコントローラーが配置されているということをActive Directoryに認識させることができるようになっているのです。 ただし、Active Directoryの既定の設定では、Default-First-Site-Nameという名前の1つのサイトのみが存在しており、すべてのドメインコントローラーはDefault-First-Site-Nameというサイトに所属します。つまり、前回のコラムで解説したレプリケーションは、1つのサイト内でのレプリケーションです。サイト内でのレプリケーションの動作は前回のコラムで解説したように、ほぼリアルタイムに複製をおこないます。 ■ サイトを分けることで得られるメリット 複数のサイトを構成し、各サイトにドメインコントローラーを配置することで、どのようなメリットを得られるのでしょうか?そのメリットの1つに、サイト間のレプリケーションをおこなう時間帯や間隔を制御することが可能になることが挙げられます。本コラムの冒頭にも記載したように、日中は業務のためにネットワーク帯域を確保したいことを目的として、Active...

セキュリティ , 一般 1 min read

第5回 Azure ADのユーザー・グループの管理(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ Azure AD Connectを使用した活用方法について解説 ・ Azure AD Connectを使用してActive DirectoryとAzure ADを同期する際の注意点について解説 ・ Azure AD Connectを使用して同期の設定を行う際のポイントについて解説 前回、Azure ADでユーザーやグループを作成する際、GUIから作成する方法や、Windows PowerShellコマンドレットを使って作成する方法をみてきました。Azure ADでは、これらの方法だけでなく、Azure Active...

ADManager Plus , セキュリティ , 一般 1 min read

紙で勤怠管理の時代はもう終わり?ログを活用した勤怠管理という選択肢

Reading Time: 1 minutesこの記事の所要時間: 約 2分 皆さまの企業では、どのように勤怠管理をしていますか? ビジネスの収益性に大きく影響するのが従業員の「実務時間」、つまり日々の業務の中で、従業員がどれほどの時間を業務に費やしているかです。しかし、勤怠をタイムカードや出勤簿、あるいはエクセルシート等で管理していた場合、その正確性は従業員の裁量にゆだねられるため、提示された情報か正しいかどうかの判断が難しいという面があります。 東京都産業労働局が公開した「労働時間管理に関する実態調査(平成29年3月)」によると、以下の調査結果が報告されています。 労働時間の管理方法は、一般労働者については、「タイムカード・ICカード等」(62.2%)が最も多く、次いで、「自己申告」(19.9%)、「上司が確認・記録」(10.6%)となっている 管理職についても「タイムカード・ICカード等」(53.3%)が最も多く、「自己申告」(23.4%)がこれに続いている。 この結果からも見てわかる通り、現在でも従業員本人の申告に基づく勤怠管理を行っている企業が過半数を占めており、勤怠のつけ忘れ等といった人的ミスを防ぐための対策が必須となります。そこで、近年では社内PCの操作ログを取得し、コンピューターの起動時間、停止時間を集計することで、より正確な実務時間の把握を目指す企業が増加しています。 ADAudit Plusの「ユーザーアテンダンス」レポートでは、収集したイベントログを元に、従業員が実際にコンピューターを操作した時間を算出します。活動時間を算出する際はユーザーのログオン/ログオフ時間を追跡しますが、退勤の都度ログオフやシャットダウンを実施しないというユーザーのため、スクリーンセーバーの起動、画面のロック、リモートセッションの切断などの情報も加味して活動時間を算出します。これにより、従業員が実際に社内PCを操作していた時間を、正確に把握することが可能となります。 ADAudit Plusとは? Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。Windowsドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。   以下が、ADAudit Plusの実際のレポート画面です。 さらに、[詳細]リンクをクリックすると、以下のようにスクリーンセーバーの起動やロック時間を除いた、実際の勤務時間が一覧で表示されます。 また、レポートはCSV/PDF/XLS/HTML形式でのエクスポートに対応しているため、定期的にローカルへ保存、あるいは担当者へメール送付することが可能です。 このように、ADAudit PlusではActive Directoryで発生した変更を可視化するだけではなく、ログに基づく従業員の勤怠管理にも対応しています。 なお、実際にADAudit Plusを操作して機能をご確認されたい場合は、30日間無料でフル機能をご利用いただける評価版もございますので、是非一度ご評価いただければと思います。...

ADAudit Plus 1 min read

第5回 レプリケーションのしくみ【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ レプリケーションの仕組みについて解説 皆さんこんにちは。Active Directoryのコラムを担当している新井です。第3回のコラムで、データベースファイル内には論理的な仕切り (パーティション) があり、どの情報がどのパーティションに格納されるが決まっていること、またパーティションによってどの範囲のドメインコントローラーに複製されるかが異なることについて解説しました。今回は、その複製のしくみについて解説します。 ドメインコントローラーは、組織内のユーザー認証など重要な役割を持つサーバーです。ドメインコントローラーがダウンしてしまうと、認証ができなくなり、システム全体に大きな影響を及ぼしてしまいます。そこで、一般的な運用ではドメインコントローラーを2台以上用意し、どのドメインコントローラーでも同じ情報を使用して認証でき、いずれかのドメインコントローラーがダウンした場合でも認証を継続できるようにすることが求められます。そして、そのためには、どのドメインコントローラーも同じ内容のデータベースを保有している必要があります。 ■ ドメインコントローラー間でおこなわれるレプリケーション ドメインコントローラー間でデータベースの同期をとるために使われるのが、レプリケーションと呼ばれる複製のしくみです。ドメインコントローラー同士はレプリケーションの処理をおこなうことで、保持しているデータベースの内容を定期的に確認し、それぞれが保有するデータベースの内容が同一となるように同期をとっています。この動作によって、ドメインコントローラーがホストしているデータベースは他のドメインコントローラーに複製されます。例えば、DC1でユーザーを作成すれば、その変更内容はほぼリアルタイムにDC2に反映されます。逆もまた然り、DC2でユーザーの部署などのプロパティの変更が行われれば、その変更内容はDC1にほぼリアルタイムで反映されます。RODCを除く、通常のドメインコントローラーであればどのドメインコントローラーでもデータベースに対する変更をおこなうことができるようになっており、その変更内容は他のドメインコントローラーに複製されます。このような動作により、データベースの整合性が保たれているのです。 ■ 複製のための特別な設定は不要 前回のコラムでは、追加のドメインコントローラーを展開することについて解説しましたが、特別な設定をしなくてもレプリケーションは自動的に動作します。2台目以降のドメインコントローラーを追加すると、どのドメインコントローラーとどのドメインコントローラーの間で複製をおこなうかがシステムによって決定され、複製が開始されるようになっているのです。つまり、複数のドメインコントローラーを展開するだけで、結果的にドメインコントローラーの負荷分散や障害対策になります。 どのドメインコントローラーがどのドメインコントローラーと複製をおこなうのかは、「Active Directoryサイトとサービス」という管理ツールによって確認することができます。この管理ツールはドメインコントローラーに既定でインストールされ、管理ツールを開いてツリーを展開すると、選択したドメインコントローラーの直接の複製相手である「複製パートナー」を確認することができます。 既定では自動的に複製パートナーが決定されますが、管理者が手動で複製パートナーを設定することも可能です。2台のドメインコントローラーではお互いが複製パートナーになりますが、3台以上のドメインコントローラーがいるシナリオでは必ずしもレプリケーションが直接的におこなうことが最適とは限らないからです。そのため、DC1の複製パートナーとしてDC2とDC3の両方を設定することもできますし、DC1の複製パートナーはDC2のみに設定し、DC2を介してDC3に伝達されるように構成することも可能です。 ■ レプリケーション処理のタイミング ドメインコントローラー間でおこなわれるレプリケーションは、変更通知を用いたプルレプリケーションです。ただし、複製パートナーが複数存在する場合には、同時にレプリケーションがおこなわれるのではなく、少しだけタイミングをずらして処理がおこなわれるようになっています。例えば、あるドメインコントローラーがデータベースに対して変更をおこなった場合、15秒待ってから1つ目の複製パートナーに変更通知を送ります。その変更通知を受け取ったドメインコントローラーは、変更の差分情報を要求し、レプリケートをおこないます。複製パートナーが複数存在する場合には、さらに3秒待ってから次の複製パートナーに変更通知を送ります。このように動作することで、あるタイミングでレプリケーション処理が集中してしまうことを回避しつつ、ほぼリアルタイムに複製をおこなうことでデータベースの内容を同一に保っているのです。...

セキュリティ , 一般 1 min read

第3回 Active Directoryのキホン(2)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryのキホンとなる3つのキーワード (スキーマ、パーティション、管理ツール) について解説 本コラムは前回に続いて、Active Directoryを管理していく上で「キホン」となる概念やキーワードについて解説していきます。まだ前回(第2回)のコラムをご覧いただいてない方は、ぜひ前回のコラムと併せてご覧になってください。今回は、「スキーマ」、「パーティション」、「管理ツール」という3つについてピックアップして解説します。 ■ スキーマ スキーマとは、Active Directoryの「オブジェクトに関する定義情報」となるものです。スキーマでは、どの種類のオブジェクトがどのような属性を使用するのかを関連付けて管理しており、オブジェクトの作成時などにはスキーマの情報が参照されます。Active Directoryには様々な種類のオブジェクトがありますが、ここではユーザーを例に考えてみましょう。ユーザーの作成そのものについては別のコラムで紹介しますが、ユーザーを作成してプロパティを確認すると、最初から様々な属性の項目が用意されています。これらが用意されているのは、スキーマ内で「ユーザーで使用する属性はコレとコレと…」というように既定で定義されているためなのです。 スキーマには、「クラス」と「属性」という2つの情報が存在します。このうち、「クラス」がオブジェクトの種類を表すもので、ユーザー、コンピューター、グループなどの様々なクラスが存在します。一方、「属性」は各オブジェクトのプロパティの項目を表すもので、表示名、ログオン名、電話番号、電子メール、などの様々な属性が存在します。スキーマではこの2つの情報を関連付けて、どのクラスでどの属性を使用するかを管理しています。そのため、いつオブジェクトを作成しても同じ属性の項目が使用できるようになっているのです。 ■ パーティション パーティションとは、「Active Directoryデータベース内の論理的な”仕切り”」です。Active Directoryデータベースはntds.ditという単一のファイルで存在し、ドメインコントローラー上で管理されます。しかし、このファイル内には、論理的な仕切りであるいくつかのパーティションを持っており、どの情報がどのパーティション内に格納されるかが決まっています。また、Active Directoryデータベースは可用性を高めるために複数のドメインコントローラー間で複製されますが、パーティションによってどの範囲のドメインコントローラーと複製するのかも異なります。Active...

ADManager Plus , セキュリティ , 一般 1 min read

第3回 Azure ADの利用開始【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ Azure ADにおける「ディレクトリ」の意味について解説 ・ Azure ADディレクトリの作成方法について解説 今回からいよいよAzure Active Directory (Azure AD) の具体的な操作も交えながら、その特徴について見ていきます。 Azure ADでは「ディレクトリ」と呼ばれる単位で管理を行います。オンプレミスで運用するActive Directoryで言うところの「ドメイン」に当たるものだと思ってもらえれば、分かりやすいと思います。Azure ADでは「ドメイン」という言葉は、Azure ADディレクトリに対して設定する、example.comやcotoso.comのような名前のことを指すために、「Azure ADドメイン」ではなく「Azure ADディレクトリ」という呼び方をするようです。しかし、実際にはディレクトリとドメインの言葉は、区別せずに使ってしまうことが多いようです。ですので、そういう違いがあるという認識をしていただいた上で、どちらでも皆さんにとって使いやすい言葉を選択してください。...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

第2回 Active Directoryのキホン(1)【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Active Directoryのキホンとなる3つのキーワード (ドメイン、フォルスト、信頼関係) について解説 前回よりActive Directoryのコラムを担当している新井です。前回は、Active Directoryの必要性や、ワークグループとドメインの違いについて解説しました。今回は、このコラムの本題となるActive Directoryを管理していく上で「キホン」となる概念やキーワードについて解説してきます。ただ、その「キホン」となるキーワードはボリュームが多いため、2回に分けて解説していきますので、次回のコラムと併せてお読みいただければと思います。今回は、「ドメイン」、「フォレスト」、「信頼関係」という3つについてピックアップして解説します。 ■ ドメイン ドメインとは、Active Directoryの「オブジェクトを管理する単位」です。オブジェクトとは、Active Directoryに登録されるアカウント (ユーザー、コンピューター、グループなど) やリソースの総称です。オブジェクトの管理方法などについては次回以降の連載で解説しますが、現時点ではオブジェクトは「アカウントなどの総称」として捉えていただければと思います。さて、本題となるドメインに話を戻しますが、ドメインはオブジェクトを管理する単位であるため、1つのドメイン内ではドメインコントローラー (DC) 同士が複製の仕組みを使用して同じオブジェクトの情報を共有します。逆にドメインが分かれている場合にはオブジェクトの管理も分かれるということになります。例えば、下の図のようにAドメインとBドメインがある場合、保有するオブジェクトはそれぞれ別物であるということになります。 ■...

ADAudit Plus , ADManager Plus 1 min read