●Active Directoryを大幅に拡張するワークプレース ジョイン
Windowsデバイスの認証システムとして多くの企業や組織ではActive Directory(AD)が利用されている。Windows ServerでADを動かし、クライアントPCやユーザーなどを管理している。ADを利用することで、例えば、クライアントPCのUSBメモリの使用を制限したり、ユーザーが勝手にアプリケーションをインストールしたりできなくさせることができる。
【拡大画像や他の画像】
最近では、Windowsで動作する多くのアプリケーションがADと連係して動作するようになっている。Linux上などでWindowsベースのファイルサーバ機能を提供するSambaなども、ADと連携する。しかし、昨今ではクライアントデバイスがWindowsマシンだけではなくなってきた。例えば、iPhoneやiPad、Androidのスマホやタブレットなど、様々なデバイスが企業で利用されるようになり、企業のイントラネットへのアクセスをどのようにするのかが大きな問題となっている。
そこで登場したのが、ワークプレース ジョインという機能だ。
ワークプレース ジョインは、iOSやAndroid、Windows RTなどのデバイスをAD上で認証し、社内システムを利用できるようにするシステムである。Appleが開発したiOS、Googleが開発したAndroidは、MicrosoftのADをサポートしていない。このため、Windows PCのようにADによってドメインを構築し、ユーザー認証などを行うことはできない(Windows RTもドメインをサポートしていないため、iOSやAndroidと同じような扱いになる)。
そこで、Widnows Server 2012 R2上でADと連携する「Active Directory Federation Service(ADFS)」を使い、iOSやAndroid、Windows RTのデバイスをADで認証できるようにすることで、社内リソースへのアクセスを可能にする。
これによって、例えば社内で運用しているWebベースの経費精算システムなどに、iPadからアクセスし、出先から経費精算を申請できる(ワークプレイス ジョインに対応している場合)。また、Windows Server 2012 R2でサポートされたファイルを、複数のデバイスで共有する「ワーク フォルダー(Work Folder)」などを利用できる。
注意が必要なのは、ワークプレイス ジョインを利用することで、iOSやAndroidデバイスから、社内の業務システムを全て利用できるわけではないという点だ。
ワークプレイス ジョインは、社内ITへの認証システムとなっているため、Windowsを前提にしたアプリケーションは動かすことができない。Webベースのシステムの場合、iOSやAndroidのWebブラウザで動作する可能は高い。だが業務システムの場合は、適切に動作するか検証が必要になある。特に、画面サイズの小さなスマホからのアクセスは、UIを大幅に変更しないと、使い勝手が悪い。また、iOS、Android、Windows RTなどのデバイスは、ワークプレース ジョインによってADに登録され、認証はできるものの、ADが持つグループポリシーなどの全ての機能が利用できるわけでは無い。
ワークプレイス ジョインのメリットは、シングルサインオン(SSO)を提供することにある。例えば、社内のITシステムとしてSaaSサービスのOffice 365やWindows Intuneなどのサービスを利用する場合、通常ならばそれぞれのサービスへアクセスするたびに、ユーザーIDやパスワードが必要になる。セキュリティの観点からサービスごとにIDやパスワードが異なっていても、ユーザーの観点からは煩雑で面倒だろう。
ワークプレイス ジョインの利用でいったんサインインすると、以降は様々なSaaSサービスや社内ITへのアクセス認証が一度に済む。これによりユーザーは、サービスごとにIDやパスワードを入力しなくても、ドメインに登録されているPCと同じような使い勝手でITシステムを利用できる。
また、ワークプレイス ジョインは、IDとパスワードという認証以外に、複数の認証方式を組み合わせることで、セキュリティレベルを高めている。例えば、ICカードなどのカード認証とID/パスワード認証を利用すれば、不正アクセスのリスクを低減できるといった具合だ。ワークプレイス ジョインがベースとしいる認証システムは、オープンなシステムであり、SalesforceなどMicrosoft以外のSaaSとも連携できる。
なおワークプレイス ジョインは、Windows 8.1だけでなく、Windows Server 2012 R2のADやADFSが前提となる。また、他社のSaaSサービスとSSOなどで連携するためには、広範囲なIDフェデレーションに関する知識も必要だ。このため、“お手軽に試せる”ほどハードルが低いわけではない。
ワークプレイス ジョイン自体はWindows 8.1/Windows Server 2012 R2からサポートされたため、今後のOSではより使い易くなっていく可能性が高いだろう。また、ワークプレイス ジョインではADに新しく「デバイス」という項目が追加され、ここに登録されたデバイスが表示されることになる。Windows IntuneやSystem Centerなどを利用すれば、デバイスのセキュリティを高めるMDM(Mobile Device Managerment)をデバイスにインストールすることで、簡単にデバイスのアクセスを制御したり、データを消去するWipe機能などを利用していける。
●ワーク フォルダーは社内に作られる“Dropbox”
ワーク フォルダー機能は、Windows Server 2012 R2の「ファイルサービスと記憶域サービス」に新しく追加された同期共有サービスを利用して、サーバ側の共有フォルダとクライアントのフォルダをオンラインで同期する機能だ。
今までのWindows Serverで提供されていた共有フォルダと異なるのは、クライアントのローカルストレージにファイルがコピーされているため、オフライン状態になっても利用することができる。共有フォルダにアクセスできるクライアントは、Windows PCなどが対象となっていた。しかし、ワーク フォルダーではWindows 8.1/RT、Windows 7などのWindows OSだけでなく、iOSやAndroidのデバイスでもファイルを共有できる。iOSやAndroidデバイスでワーク フォルダーを利用するには、それぞれのデバイスに専用アプリをインストールする。
ワーク フォルダーとは、いわばDropboxなどのクラウドストレージをオンプレミスのシステムで利用できるようにしたモノだ。コンシューマーサービスのクラウドストレージは、クラウドにファイルをアップすれば、PCだけでなく、スマホやタブレットから簡単にファイルを見たり、変更したりできる。もちろん、ファイルはクラウド上に唯一存在するため、個々のデバイスにコピーが作られ、どれが最新版か分からなくなるようなこともない。
ただし、コンシューマー向けのクラウドストレージを企業が利用する場合は、セキュリティ面などの問題点も多くある。ワーク フォルダーは、オンプレミスのWindows Server 2012 R2上でサービスすることで、データがクラウドにアップされず、社内のITシステムの管理下に置くことができる。
ワークプレイス ジョインでは、IRM(Information Rights Management)を使って、ドキュメントを閲覧したり、印刷することができるユーザーの制限もできる。ファイルに暗号をかけて、セキュリティを高めることも可能だ。
