はじめに
情シス部門に配属された新人の方や、他部署で長年IT機器に触れている中堅社員の方であれば、「PCをドメインに参加させる」「AD(エーディー)のアカウント」といった言葉を一度は耳にしたことがあると思います。
情シスが行うPCセットアップにおいて、「ドメイン参加」は最も重要な工程の一つです。しかし、これが技術的に何を意味していて、なぜ必須の作業となっているのか、正確に説明できる人は意外と少ないのではないでしょうか。
今回は、会社PCのインフラの根幹を担う「AD(Active Directory)」と「ドメイン参加」の仕組み、そして情シスがどのようにPCを統制しているのかについて、現役メーカー情シスの視点で詳しく解説します。
すべての中枢「AD(Active Directory)」とは?
まず、ドメイン参加を理解するためには、その親玉である「AD(Active Directory)」を知る必要があります。
ADとは、Microsoftが提供している「ネットワーク上のユーザーやPC(リソース)を一元管理するためのシステム」です。通常、社内のサーバルームなどにある専用のサーバー(ドメインコントローラーと呼びます)上で稼働しています。
社内に存在する全社員のID・パスワード情報、全PCのコンピュータ名、そして「誰がどのデータにアクセスして良いか」という権限情報のすべてが、このADという巨大なデータベースに集約されています。
【裏話】絶対に止めてはいけない会社の心臓
情シス目線で言うと、ADは数あるサーバーの中でも「絶対にダウンさせてはいけない心臓部」です。 もしADが停止すると、社員はPCにログインできなくなり、ファイルサーバーにもアクセスできず、工場を稼働させるための社内システムも認証エラーで止まります。情シスが最も神経をすり減らして運用・保守しているのが、このADなのです。
PCの「ドメイン参加」とは?
では、「PCをドメインに参加させる」とはどういうことでしょうか。
購入したばかりのWindows PCは「ワークグループ」という状態にあり、パスワードや設定はすべて「そのPCの中(ローカル)」だけで独立して管理されています。100台あれば、100通りの設定を1台ずつ手作業で行う必要があります。
この独立したPCを、先述したAD(親玉)の管理下(ドメインという領域)に登録する手続きが「ドメイン参加」です。 これにより、PCは個別の独立管理から外れ、会社の巨大なITインフラの一部として「中央集権的な管理」に移行します。
ドメイン参加が生み出す3つの絶大なメリット
情シスがわざわざ全PCをドメインに参加させるのには、会社全体のセキュリティと利便性を担保するための明確な理由があります。
メリット①:統合ID(共通ID)でのログイン ドメインに参加したPCは、認証をPC内部ではなく「AD」に問い合わせるようになります。そのため、社内の「どのPC」に座っても、自分が普段使っている「共通の社員IDとパスワード」でログインできるようになります。PCごとに個別のアカウントを作る必要がなくなります。
メリット②:PCの正確な資産・セキュリティ管理 情シスは、ADを見るだけで「現在社内に何台のPCが存在し、どのPCに誰がログインしているか」を正確に把握できます。長期間ログインされていない不正なPCや、退職者のアカウントを即座に無効化し、セキュリティを保つことができます。
メリット③:全社共通ポリシーの「強制適用」 情シスにとって最大のメリットがこれです。ADから社内の全PCに対して、「この設定にしなさい」という命令を一斉かつ強制的に配信することができます。この機能について、次でさらに深掘りします。
【深掘り】情シスの遠隔操作「グループポリシー(GPO)」
ADからPCへ降ってくる強制的な設定や命令のことを、専門用語で「グループポリシー(GPO:Group Policy Object)」と呼びます。 皆さんが普段「会社のPCって、ここが制限されていて不便だな」と思う設定の多くは、情シスがこのGPOを使って裏でコントロールしています。
代表的なGPOの具体例をいくつか紹介します。
- USBメモリの接続制限(読み取り専用化) 私物のUSBメモリを挿しても、データの書き出しができないようにする設定です。メーカーにおいて、図面データや顧客情報の持ち出し(情報漏洩)を物理的に防ぐための必須ポリシーです。
- スクリーンセーバーと画面ロックの強制 「PCを操作せずに10分経ったら、強制的にパスワードロック画面にする」設定。工場やオフィスで離席した隙に、他人に勝手に操作されるのを防ぎます。ユーザー側でこの時間を「無効」に変更することはできません。
- 共有フォルダ(ネットワークドライブ)の自動割り当て 制限だけでなく、便利なGPOもあります。PCにログインした瞬間、その人の所属部署をADが判断し、必要なファイルサーバーのフォルダを自動的に「Zドライブ」としてPCに表示させる魔法のような設定です。
- 壁紙の強制指定 全社員のPCの壁紙を、会社のロゴや「今月の安全スローガン」などに強制変更し、個人で変更できないようにロックする設定です。(ユーザーからは少し不評な「あるある」設定です)。
【コラム】次世代の常識「Entra ID(旧Azure AD)」
ここまで解説したのは、社内にサーバーを置く「オンプレミス」と呼ばれる従来型のADの話です。
しかし近年、クラウド化やテレワークの普及により、このADの機能をクラウド上に持たせた「Microsoft Entra ID(旧称:Azure AD)」への移行が世界中の企業で進んでいます。 現在は、社内の従来型ADとクラウドのEntra IDを連携させる「ハイブリッド」環境で運用している企業が大半です。ITの仕組みに興味がある方は、この「Entra ID」というキーワードを押さえておくと、今後のシステム導入などで一目置かれるはずです。
まとめ
「ドメイン参加」とは、ただPCの初期設定をしているわけではありません。 PCを独立した箱から「会社の統制下(ADの管理下)」へと組み込み、セキュリティ(GPOによる制限)と利便性(共通IDによるログイン)を両立させるための、極めて重要なインフラ構築作業なのです。
明日から会社のPCを使うとき、「あ、このUSBが使えない設定も、壁紙が変えられないのも、裏でADからGPOが降ってきているんだな」と、ITインフラの仕組みを少しでも実感していただけたら嬉しいです。
コメント