MicrosoftのEntra ID（旧Azure AD）とIntuneでデバイスを効率的に管理する

以前は、社内にあるドメインコントローラーサーバーとクライアントPCから構成される、いわゆるActive Directory環境でデバイス管理が行われていました。
しかし、在宅勤務や外出先での仕事が一般的になる現代において、このような環境では十分な対応が困難になっています。

Active Directoryの限界と問題点

Active Directory環境でデバイスを管理していたころは、利用するPCは基本デスクトップPCが多く、またアプリケーションはPCにインストールするタイプが多かったので特に問題はありませんでした。
しかし、クラウドやインターネットの技術の進歩とともに周囲の状況が一変します。

• PCにインストールするアプリは衰退していき、インターネット上のサービス（SaaS）が主流となった。
• 社内で利用するPCがノートPCに変わり、社外や在宅でも利用するようになった。
• ファイルの保管にクラウドのストレージを利用するようになった。
• 上記に合わせてサイバーセキュリティーの脅威が大きくなった

こうなると、拡張性のない従来のActive Directoryでの環境では対応できなくなります。

また、サーバーをオンプレミスのように物理的なリソースとして抱えることにより定期的なメンテナンスを必要としますので、システム部門に大きな負担となることも問題となっておりました。

そこで、Microsoftが問題を解決すべく、クラウドに特化したサービスをリリースします。
その１つが、Entra ID（旧Azure AD）とIntuneです。

Entra ID（旧Azure AD）とは

Entra IDとはクラウドベースのアイデンティティおよびアクセス管理サービスです。
主な機能の一部を以下に抜粋します。

• ユーザーの認証と承認（多要素認証）
• ディレクトリサービス
• アプリケーションの管理（SAMLベースのクラウドアプリ統合）

Intuneとは

Intuneとはクラウドベースのモバイルデバイスおよびアプリケーション管理サービスです。
企業や組織が従業員のデバイスとアプリケーションを遠隔地から管理し、セキュリティを保ちながら生産性を高めることを目的としています。

主な機能の一部を以下に抜粋します。

• ノートPCやスマホ、タブレットなどのデバイス管理
• アプリケーション管理（デバイスのアプリの管理）
• ポリシーの設定や適用
• コンプライアンスやセキュリティーの確保

少し前まではIntuneはまだまだ設定できる項目も少なかったのですが、最近では十分に使えるレベルになってきました。

Entra ID + Intuneだと何がいいのか？

それでは、従来のActive Directoryから、Entra ID + Intuneにすると何がよくなるのでしょうか？
以下、代表的なものをいくつか挙げてみました。

１．クラウドベースのアクセス管理

クラウド上にありますので、どこからでもアクセスが可能です。
ですのでノートPCやスマホ、タブレットなどのクライアントデバイスがどこにあっても管理をすることができます。

例えば、外出先でノートPCを紛失してしまったケースを考えてみましょう。

管理画面からそのノートPCに対してワイプ（データ消去処理）を実行すれば、ノートPCの初期化処理が実行されますのでデータ漏洩を防げます。

併せて、BitLockerの設定や、OS起動パスワード設定を合わせてすればなお安心です。

２．拡張性と柔軟性

クラウドのサービスですので、組織の成長や変化に合わせて柔軟にスケールアップ・ダウンが可能です。
これにより、ITインフラの運用のコストを減らすことができます。

サーバーを準備する必要もありませんし、サーバーOSのバージョンアップなどの作業も必要ありません。

３．統合されたセキュリティー管理

多要素認証や条件付きアクセスなどの高度なセキュリティーが組み込まれています。

例えば、

• 信頼できる場所からしかアクセスができなくする
• 準拠しているデバイスのみアクセスできる

などの設定が可能です。

さらにWindowsに標準搭載されているMicrosoft Defenderを活用することにより、ウイルスなどのマルウェア対策が可能となります。

また、セキュリティーイベントの監視とレポート機能がありますので、デバイスのマルウェア感染状態を一元管理できます。

４．自動化されたデバイス管理

デバイスの登録、構成、ポリシー適用、セキュリティ管理を自動化できます。これにより、PC導入時のキッティング作業負担が軽減され、一貫したデバイス管理が実現します。

また、異なるデバイスやグループに対して特定の設定プロファイルを事前に定義し、それらを自動的に適用することができます。

構成例（クラウド単体構成）

ここからは具体的な構成例を２つ紹介します。

構成例の１つ目は、オンプレのActiveDirectoryを持たないクラウド単体構成です。

• 新規でDirectoryを構成する。
• 現在のオンプレActiveDirectoryを廃止する

という場合はコチラの構成となります。
今後は新規でDirectoryを構築するときは、オンプレにActive Directoryを構築するということは少なくこちらが主流ではないでしょうか。

構成例（オンプレとのハイブリッド）

構成例の２つ目はクラウドとオンプレとのハイブリッド構成です。（下記の図ではオンプレではなくAWSクラウドとなっておりますが、自社にActive Directoryサーバーがある場合はAWSクラウド部を自社として考えてください。）

この構成は、現在ActiveDirectoryを保有しておりそれを残しながらEntra ID及びIntuneを利用するケースです。

• 一気にEntra ID及びIntuneに移行するにはリスクが高いので、ワンクッション置きたい
• どうしてもオンプレActiveDirectoryを残さないといけない

という場合に採用されるパターンです

最後に

今回はActive Directory環境のクラウド移行について簡単にまとめてみました。

今回ご紹介した以外にも、クラウドを利用することによりAIなどの様々なサービスの恩恵を受けることが可能となります。

MicrosoftはMicrosoft Copilotを筆頭に新しいサービスを立て続けにリリースしており、今（2024年現在）最も注目されている企業なのではないでしょうか？

現在、Awesome Choiceでは、MicrosoftのAI Cloud Partnerとして積極的にMicrosoftサービスの構築及び販売を行っております。

ライセンスの販売やSurfaceの販売も行っておりますので、お気軽にお問合せください。