ユーザーがどこからでもアクセスでき、どんなデバイス/OSからでも、統一されたアプリケーション環境を利用でき、いつでも安全にデータへアクセスすることができる環境を構築するには、どのような点に留意すればいいだろうか。ここで重要な役割を担うべくマイクロソフトが提供開始したのが、Active Directoryと連携させることで高度なモビリティを実現する新しいソリューション
「Enterprise Mobile Suite(EMS)」である。
「モビリティ」とは、"ユーザー(ユーザーID)""デバイス""アプリケーション""データ"の4要素に可動性を持たせることである--。こう強調する、同社テクニカル・エバンジェリストの安納順一氏に聞いた。
ユーザーIDを管理するだけがActive Directoryの仕事ではない
モバイルデバイスは、すぐれたビジネスツールであることに異論はないだろう。優れた数々のデバイスとアプリケーションが登場したことによって、旧来から多くの経営者やビジネスパーソンが憧れていた「いつでもどこでも仕事ができる」という環境が、私たちのモノになった。
こうしたモバイル環境も、スマートデバイスが普及しただけでは成り立たない。注目すべきは、私たちが"何を持ち運びしているのか"という点だ。これをしっかりと把握することによって、経営者や管理者が、"何を管理・統制すべきか"が見えてくる。
日本マイクロソフト株式会社
安納順一氏
日本マイクロソフトでテクニカル・エバンジェリストを務める安納順一氏によれば、「モビリティ」とは、"ユーザー(ユーザーID)""デバイス""アプリケーション""データ"の4要素に可動性を持たせることであるという。つまり、ユーザーがどこからでもアクセスでき、どんなデバイス/OSからでも、統一されたアプリケーション環境を利用でき、いつでも安全にデータへアクセスすることができる環境だ。
「業務を行うのはユーザーです。デバイスにせよデータにせよ、ユーザーを起点としてつながるべきものです。したがって、利用者を中心としたIT──『People-Centric IT』こそが生産性を高めます。モバイル環境というものは生産性を高めるために導入するのですから、ただスマートデバイスを用意しただけでは不足です。これらの4要素すべてにモビリティを与えるインフラが必要なのです」(安納氏)
※クリックすると拡大画像が見られます
People-Centric ITを実現するためには、「Identity and Access Management(IAM)」システムが不可欠だ。IAM基盤上で、ユーザーIDやデバイスID、アプリケーション、データを結びつけて、統合的に管理することが必要である。
ここで安納氏は、ユーザーの勘違いを正したいと主張する。これらの4要素のうち、マイクロソフト製品で管理できるのはユーザーIDとデバイスの一部にすぎないという"幻想"だ。
ユーザーIDやデバイスの管理と言えば、「Windows Server Active Directory」を思い浮かべる読者は少なくないだろう。実際、多くの企業でActive Directoryが利用されており、普及率は非常に高い。しかしながら、安納氏によれば、その活用は限定的なものだという。
「Active Directoryの管理対象が、ユーザーIDとWindowsデバイスだけだと思っているユーザーは少なくないようです。例えば、Kerberos、LDAPといった標準的なプロトコルに対応しており、LinuxやMac OSなどのデバイスもActive Directoryドメインの管理下に置き、コンピューターとユーザー認証に活用することができます。実のところ、Active Directoryは、IAMに必要となる認証・証跡・アクセス制御を提供する包括的な『Identity Provider(IdP)』となるのです」(安納氏)
真のモビリティに必要となる包括的な機能を提供するEMS
ただし、セキュアで利便性の高いエンタープライズレベルのモビリティを実現したいとなると、Windows Server Active Directoryの標準機能だけでは不十分なところもある。そこでマイクロソフトは、Active Directoryと連携させることで高度なモビリティを実現する新しいソリューション「Enterprise Mobile Suite(EMS)」の提供を開始した。
EMSを導入することにより、ユーザー管理においては、Active Directory標準の認証機能に加えて、「多要素認証」を扱えるようになる。
モバイルデバイス認証に関しては、デバイスのOSや持ち主を識別して許可のないデバイスや場所からのアクセスを制御できるようにする標準機能「Workplace Join(社内ネットワーク参加)」に加えて、ドメインに参加できないモバイルデバイスを管理するためのMDM機能として「Intune」が用意された。(米国時間10月27日より、名称を「Micosoft Intuneへ変更)
アプリケーションのモビリティについては、各デバイスへどう配信するかがポイントとなる。1つの方法としては、「Remote Desktop Service」を用いて、Windows ServerやVDIへアクセスする方法がある。
さらにマイクロソフトは、クラウド上にアプリケーションを配置してクライアントデバイスへ仮想的に配信する「Azure RemoteApp」を準備中である。近いうちに正式なリリースが発表されることと思われるが、すでにプレビュー版が配信されているため、興味のある読者は試してみてはいかがだろうか。RDP(リモートデスクトッププロトコル)を使用するため、どんなデバイスからでもWindowsアプリケーションを利用することが可能だ。
最後に、モビリティにおいては、持ちだされたデータの保護が非常に重要である。まず暗号化は必須である。さらに、暗号化データを閲覧できても転送できない、あるいはローカルに保存できないといった、ユーザーのロールに応じた制御が必要となる。これを制御するのが「Rights Management Service(RMS)」である。従来から、社内のWindowsシステム向けに「Active Directory RMS」として提供されていたが、これをAzureに搭載し、iOSやAndroidなどのスマートデバイス上のデータも管理できるようになった「Azure RMS」の提供が開始されている。
