Active Directory あくてぃぶでぃれくとり
簡単に言うとこんな感じ!
会社の「社員名簿+入館カード管理システム」を一手に引き受ける仕組みだよ!「誰がどのパソコンにログインできるか」「どのフォルダにアクセスできるか」を一か所でまとめて管理できるんだ。Windowsオフィス環境の定番中の定番!
Active Directoryとは
Active Directory(アクティブ ディレクトリ、略称 AD)は、Microsoft が提供するディレクトリサービスの実装です。社内のユーザーアカウント・コンピューター・プリンターといったリソースを一元管理し、「誰が・どのリソースに・どんな権限でアクセスできるか」を組織全体でコントロールします。Windows Server に組み込まれており、2000年の登場以来、企業のオンプレミス(自社設備)IT 環境における認証・認可の基盤として広く普及しています。
Active Directory の最大のメリットは一元管理です。従業員が入社すれば AD にアカウントを作るだけで PC・メール・社内システムへのアクセス権を一括設定でき、退職時はアカウントを無効化するだけで全アクセスを遮断できます。またグループポリシーという機能により、「全社員のスクリーンセーバーを10分でかかるようにする」「USB メモリの使用を禁止する」といったセキュリティ設定をネットワーク越しに一斉配布することも可能です。
クラウド時代には Microsoft 365 と連携する Azure Active Directory(現 Microsoft Entra ID)も登場し、オンプレミスの AD とクラウドをハイブリッドで統合するアーキテクチャが主流になっています。オンプレミス AD を「AD DS(Active Directory Domain Services)」と呼んで区別する場合もあります。
Active Directory の主要コンポーネント
| コンポーネント | 役割 | わかりやすい例え |
|---|---|---|
| ドメイン(Domain) | 管理の単位。ユーザーやPCをまとめたグループ | 会社の「部署」 |
| ドメインコントローラー(DC) | AD の中核サーバー。認証を担当 | 守衛室・入館管理センター |
| OU(組織単位) | ドメイン内でオブジェクトをグループ化する入れ物 | 部署の中の「チーム」 |
| フォレスト(Forest) | 複数ドメインの最上位グループ | 関連会社全体のグループ |
| ツリー(Tree) | 同じ名前空間を共有するドメインの集合 | グループ内の系列会社 |
| グループポリシー(GPO) | 設定・制限をまとめて配布する仕組み | 全店舗向けの業務マニュアル一斉送付 |
「FLDT」で構造を覚える
AD の構造は外から順に F → T → D → OU と入れ子になっています。
Forest(フォレスト)
└─ Tree(ツリー)
└─ Domain(ドメイン)
└─ OU(組織単位)
└─ ユーザー / コンピューター / グループ「フォレストの中にツリー、ツリーの中にドメイン、ドメインの中にOU」 と唱えれば OK です。
認証プロトコル:Kerberos と LDAP
Active Directory は 2 つの重要なプロトコルを組み合わせて動いています。
| プロトコル | 役割 | 例え |
|---|---|---|
| Kerberos | ログイン認証(本人確認)を担当。チケット方式でパスワードをネットワークに流さない | 入館証を発行してもらい、それで各部屋に入る仕組み |
| LDAP | ディレクトリ情報の検索・取得を担当 | 社員名簿を「名前で検索」するサービス |
歴史と背景
- 1990年代前半:企業 LAN の普及に伴い、「複数のサーバーへのログインをいちいち別々に管理するのが大変」という課題が顕在化。各サーバーにローカルアカウントを作る運用はセキュリティリスクも高かった。
- 1993年:IETF が LDAP(Lightweight Directory Access Protocol) を標準化。ディレクトリ情報を共通の方法で扱う基盤が整う。
- 1996年:Microsoft が Windows NT 4.0 でドメイン管理機能を提供。ただし規模拡張性に限界があった。
- 1999年:Windows 2000 Server とともに Active Directory が初登場。LDAP・Kerberos・DNS を組み合わせた本格的なディレクトリサービスとして企業に急速普及。
- 2003〜2008年:Windows Server 2003 / 2008 でフォレスト機能強化・グループポリシー拡充。グローバル企業の標準基盤に。
- 2010年:Microsoft が Azure Active Directory(Azure AD)を発表。クラウド上の ID 管理サービスとして展開開始。
- 2022年:Azure AD が Microsoft Entra ID へブランド変更。ゼロトラストセキュリティの文脈で進化を続けている。
オンプレミス AD ↔ クラウド(Entra ID)の関係
オンプレミス AD とクラウドの Entra ID は、Microsoft Entra Connect(旧 Azure AD Connect)というツールでアカウント情報を同期させることができます。社員は社内 PC でも Microsoft 365 でも同じ ID・パスワードでログインできるハイブリッド環境が実現します。
AD DS vs Entra ID 比較
| 比較項目 | AD DS(オンプレミス) | Microsoft Entra ID(クラウド) |
|---|---|---|
| 認証プロトコル | Kerberos / LDAP | OAuth 2.0 / OIDC / SAML |
| 管理場所 | 社内サーバー(DC) | Microsoft クラウド |
| 向いている対象 | 社内 PC・ファイルサーバー | Web アプリ・SaaS・モバイル |
| グループポリシー | ◎ ネイティブ対応 | △ Intune で代替 |
| インターネット越し | 要 VPN | ネイティブ対応 |
| 導入コスト | サーバー設備が必要 | サブスクのみ |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4511 | LDAP(Lightweight Directory Access Protocol)バージョン3の仕様 |
| RFC 4120 | Kerberos 認証プロトコル(バージョン5)の仕様 |
| RFC 4178 | SPNEGO(認証ネゴシエーション)の仕様。AD の統合 Windows 認証で使用 |
| RFC 2307 | LDAP を使って Unix ユーザー情報を格納するスキーマの仕様 |
関連用語
- LDAP — ディレクトリ情報を検索・取得するためのプロトコル。AD の内部でも使われている
- Kerberos — チケット方式のネットワーク認証プロトコル。AD 認証の中核
- シングルサインオン(SSO) — 一度のログインで複数システムにアクセスできる仕組み
- Microsoft Entra ID — AD のクラウド版。旧称 Azure Active Directory
- グループポリシー — AD でクライアント PC の設定を一元配布・制御する機能
- ゼロトラスト — 「社内だから安全」を前提にしない現代のセキュリティ概念
- OAuth 2.0 — クラウド時代の認可フレームワーク。Entra ID でも採用
- ディレクトリサービス — ネットワーク上のリソース情報を管理・提供する仕組みの総称