今、Windows 10を導入する場合、ADとAzure ADどちらがおすすめ?
さて、ここまでAzure ADおよびIntuneによる新しい管理基盤とWindows 10の連携について述べてきたが、実際のところ企業でのWindows 10展開については、既存のやり方を踏襲したADベースの管理基盤がいいのか、インターネットに接続さえできれば対応可能なAzure AD/Intuneがいいのかと迷うところだ。
まず、既存のOSとの共存、オンプレミス環境での利用が前提となった場合には、従来通りActive Directoryベースの管理を選択するのが最善だと思う。管理の一元化とWindows 2000から続くグループポリシーによる莫大な設定項目による詳細な管理は、企業での利用を考えた場合、何物にも代えがたい。その上で、社外で使うPCやワークグループのPCなど、Active Directoryで管理ができないがインターネットにはつながっているというこれまでの管理基盤ではホワイトスペース化していたPCがあれば、初めてAzure ADで管理するのがいいだろう。
現在、クラウドファーストの言葉の通り、Windows 10の新しい管理機能は、Azure AD側でいち早く実装され、オンプレミスのActive Directoryには少し遅れて実装されるようになっている。今の時点ではAzure ADとの連携が必須なMicrosoft Passportも、次期Windows ServerのActive Directoryで利用可能になる予定だ。実際のWindows 10 PCの展開計画や自社のセキュリティポリシーに基づきながら、本当に必要な管理項目は何かを確認しつつ適切な管理基盤を選択いただきたい。
なお、Windows 10とAzure ADの連携機能の利用に際しては、利用する管理機能によって必要になるAzure ADのライセンスが異なる点に注意が必要だ。Azure ADへのデバイス登録、SSO、Azure AD用のMicrosoft Passport、管理者によるBitLocker回復パスワードの参照などはすべてのエディションで利用可能だが、Azure AD参加時のIntune自動登録や、ユーザーポータルからのBitLocker回復パスワードの参照などの機能についてはAzure AD Premiumが必要になる。機能の違いについての詳細はこちらのウェブサイトを参照いただきたい。
