皆さん、こんにちは。国井です。
今回も、米国シカゴで開催されたMicrosoft Ignite 2015というカンファレンスから
マイクロソフトのID管理技術について、方向性を見てみたいと思います。
(上の写真はカンファレンスで紹介されたスライドからの1枚です)
御社の今後のID管理技術の実装をする際の参考にしてみてください。
今日のトピックはこちら。
Azure ADがActive DirectoryやADFSの機能を取り込むので、将来的にオンプレミスのActive DirectoryやADFSは要らなくなるのでは?
これも色々な方から、よくいただく質問です。
私が開発しているわけではないので、将来がどうなるかはわかりませんが、
Microsoft Igniteの中で提供されている情報をまとめると、
「将来はわからないけど、今の時点ではActive DirectoryやADFSがAzure ADにとって代わることはない」
というのが答えです。
では、その理由を見てみましょう。
①オンプレミスのアプリを簡単にクラウドへ移行することはできない
今までオンプレミスで稼働させてきたアプリケーションをクラウドへ移行するようなトレンドがありますが、実際にアプリケーションをクラウドに移行することって簡単でしょうか?実際に移行しようと思っても、現時点では断念してしまうことも多いのが実情ではないかと思います。
技術的にクラウドへの移行が可能か?
ということに加えて、会社のセキュリティポリシー的にクラウドへ移行してもよいものか?
など、技術的な部分以外で移行を妨げる要素が色々と思い浮かぶことでしょう。
そう考えると、クラウドが登場しても一定部分はオンプレミスに残すこともあるでしょうし、
一部でもアプリケーションがオンプレミスに残っている限りはActive Directoryを削除することはできない、というのが1つ目の理由です。
(Windows Server 2016でもActive Directoryは継続されますし、
セキュリティ面での新機能がIgniteカンファレンスの中ではクローズアップされていました)
②Windows Server 2016 でもADFSに対する投資が行われているから
今度は技術的なサイドからのアプローチです。
今度新しく登場するWindows Server 2016では、ADFSに対する新機能の実装は予定されています。(このあたりはMVPふじえさんの投稿が役に立つと思います。)
この点だけ、とってみてもADFSは今後も継続して使ってもらおうという意思が感じられます。そして付け加えるならば、ADFSはHybrid IdPを実現するための機能強化に絞ってきていることがわかります。
Hybrid IdPとは、オンプレミスとクラウドのID基盤を連携させて運用する技術のことで、
オンプレミスではActive Directory+ADFS、クラウドではAzure ADをそれぞれ利用して
オンプレミスとクラウドのID基盤を連携させ、シングルサインオンを実装しようというものです。
このように、クラウドだけにすべてのリソースを傾けて、みんなに無理矢理クラウドシフトさせるようなことを強制するのではなく、お使いいただいている自社の環境に合わせて、クラウドのみ、もしくはオンプレミス+クラウドの構成のいずれかが選択できるようなID基盤の構築方法を今後も残していくのだな、ということがセッションの端々から確認できました。
③デバイス認証はADFSを使わないと実現できないから
今度はもうちょっと各論に入っていきます。
現状、Azure ADで提供されているデバイス登録サービス(DRS)はデバイスを登録できるけれど、登録されたデバイスを使っているときだけアクセスを許可する「デバイス認証」はオンプレミスのADFSを使わなければなりません。
しかし、この問題はWindows 10のデバイス登録機能(Workplace Join)によって解決されるようです。この件については私もアウトラインしかわからないので、詳細は追ってご紹介しますが、少なくとも「ADFSがないとデバイス認証はできない」というのがオンプレミスのサーバーを残さなければならない理由になることは近い将来なくなりそうです。
4.グループポリシーを提供できないから
オンプレミスのActive Directoryにあって、クラウドのAzure ADにない機能として「グループポリシー」があります。
Windows 10でAzure ADにデバイス登録する機能が実装される予定であり、その機能をもって、クラウドに「ドメイン参加」できるようになると謳うメディアもありますが、それでもActive Directoryにあるグループポリシーと全く同じ機能が提供されるわけではありません。今までグループポリシーを利用して組織のデバイス管理を行ってきた経緯を考えると、クラウドシフトするために、グループポリシーを捨てるというのは簡単にできない決断だと思います。
いかがでしたでしょうか?
クラウドに移行すれば、Active Directoryは要らない、オワコンだ、などとする乱暴な論調が目立ちますが、
基本的にオンプレミスにサーバーリソースやクライアントコンピューターが残る限り、
(どのくらい先かはわかりませんが)少なくとも近い将来ではActive Directoryが要らなくなることはないようですね。
今後のアーキテクチャの決定の参考になれば幸いです。
