Azure Active Directory を導入した話

こちらのnoteは、Active Directory を利用していない企業に入社した際に、オンプレAD導入か、IDaaSだけでよいか検討したときの内容です。

現在の会社に入社する採用面接の段階で、Active Directory(以下AD)の導入と、ISMSの認証を実施してほしい、という要件があり、同じ時期に入社した方がISMS、僕はADの導入検討メイン担当となりました。

PCは、Windows100台、macOS 60台ほどの環境です。ADがないので、ローカルユーザーで運用していました。

なぜADが必要なのか、と思ったのかの上長の回答は、
・NASやオンプレのJIRA/Confluence 、GitHubなどAD連携してアカウンティングの工数削減（ADFS認証させたい）のようでした。

以下のパターンで実績のある取引先へ見積をとっていきました。

①物理サーバーを購入しWindows Server をインストールし、AD設定。

②AWSなどのパブリッククラウドにWindows Server を作成し、クラウド⇔各拠点とはVPN接続を実施。
こちらの記事が非常にわかりやすかったです。

弊社はデータセンターの契約もなく、拠点のサーバールームのみなので、物理サーバーの選択肢はなかったのですが、冗長化可能なミニマム構成で、物理が初期150万円ほどでした。
パブリッククラウドの場合は、AWSと、Azureで情報収集したところ、
環境構築後は、2台で冗長化して、月額6万円ほどではないか、ということでした。
どちらの場合も、とりいそぎ、初期設定して各PCがドメイン参加してポリシー反映させる、といったところは自力で出来そうではあったのですが、冗長化の部分であったり、ADアカウントと連携の部分に自信がなかったので、委託するとおおよそ①②どちらも委託費200万ほどでした。
構築外注200万というのは、まぁ稟議おりませんね、ということとなりまして、当初より自分としては、GoogleやメルカリなどADなしの企業が増えてきており、弊社も

・macOSユーザーも多いこと

・ファイルサーバーをグーグルドライブに移管する予定する場合、ほぼADメリットがない

・AD導入する場合、各PC現在のプロファイルが利用できなくなるので莫大なアカウント再作成工数がかかる。

などを理由に、
「AD導入は不要でシングルサインオン（IDaaS）だけ導入」でよいと思われる、ということを提案のうえ承認を得ました。
シングルサインオンは、
Okta（前職で利用）、Onelogin、Azure ADなど、比較記事 を参考にしながら、検討し、日本語サポートしてもらうことが可能で、MSサービスが廃れることもなく安心ということで、Azure ADを採用しました。（月額単価700円ほどです）
承認をもらう段階で、SSO予定だった、GsuiteとSlack⇔Azure ADともに検証用のドメインを作成し、グローバルIPアドレス制限などテスト完了していました。

Azure ADを発注し、初期設定を行い、全ユーザーを登録のうえ、周知⇒切り替え、と無事完了していきました。

いくつか不明点が発生しても、Azure ADは、問い合わせメールすると、2営業日ほどで、返信や電話連絡をくれるので安心でした。
その後、なかなかSaaS導入する稟議は下りず、SSOや、プロビジョンイングの機能をあまり活用はできていないのですが、この導入が活きる機会が発生するよう、上長へ提案を続けていければと思います。

Windows Server Active Directory（オンプレAD）を導入しないデメリット

macOSは、ADユーザーでログインするか、Jamfなどの管理ツールを別途インストールしないと、パスワードポリシーの設定ができないようでした。そのほかは、特に管理者として不便に感じることは、いまのところありません。

まとめ

働き方改革や、各種クラウド移行にともなって、社内NWのWindowsファイルサーバーにデータ保管している企業も減ってきていると思います。

スタートアップする会社については、macOSや、Chromebookなどの利用も多いと思いますので、ADを作ってドメインユーザー管理するの時代は、終了を迎えると予想されますので、新しいテクノロジーに頼って、社内IT管理も効率化、工数削減していけたらと思います。