煩雑なActive Directory管理を自動化し、IT部門が本業に集中する方法期末のオブジェクト更新、毎日のパスワードリセット、何とかならないのか……

新年度を間近に控えた今、ユーザーアカウントの管理に悩み始めているIT担当者も多いのではないだろうか。人事異動や組織変更に伴い、Active Directoryの情報を変更する作業は予想以上に大変だ。どうにか効率化できないか、できれば自動化できないか――予算や時間が限定的な中でも、そんな願いに応える製品が存在する。

» 2020年02月17日 10時00分 公開
[PR/@IT]
PR

1000人の人事異動情報を手作業で更新!? 負担感が増すAD管理

 システムの運用管理業務は多岐にわたる。一つ一つは小さくても毎日何度も発生する作業もあれば、年に数回しかないものの一度に多くの処理が必要な作業もある。厄介なのは、毎日少しずつ発生していながら、年に数回は業務量が急増する場合がある作業だろう。その代表的なケースがユーザーアカウントの管理だ。

 ユーザーアカウントの管理には、パスワードリセット、グループ変更といった日々の作業から、アカウントの乗っ取りがないか、権限のないフォルダーへのアクセスがないか監視する業務もある。加えて、期末や年度末などには、新入社員のアカウント作成、組織改編に伴う人事異動への対応、監査に備えたアカウント情報の棚卸しなど、大掛かりな対応が必要になる。

 このようなユーザーアカウント管理で重要な役割を果たすのが、Windows Serverに標準搭載されている「Active Directory(以下AD)」だ。ADは、ユーザーのログインIDやパスワードだけではなく、氏名や所属、役職、コンピューター名、フォルダー/ファイルへのアクセス権限などの情報をオブジェクトとしてまとめて格納し、統合的なアカウント管理を実現できる。

 ただ周知の通り、ADはユーザーアカウント管理のための仕組みであるため、それだけで管理作業自体を効率化できるわけではない。例えば、パスワードを再設定するには、Windows Serverにログインし、「サーバーマネジャー」などの管理ツールからユーザーを見つけ出して、パスワードのリセットを行う必要がある。これを手作業で行えば、当然、件数が増えるに従って工数も増大することになる。仮に人事異動で1000人分のユーザーの所属を手作業で変更するとなれば、期末や年度末の作業はとても1人では対応できないほどの負荷になる。

 もちろん、作業を効率化するために、ADでは「Windows PowerShell」などのコマンドレット/スクリプトを活用することで、情報の登録や変更を自動化することは可能だ。ただ、そのためにはPowerShellに習熟する必要がある他、スクリプトの変更や内容チェックなどの作業はやはり発生する。PowerShellに慣れた担当者がいればよいのだが、人手不足が深刻化し、教育にも時間をかけにくい状況で、そうした担当者をそろえることは難しいのが現実だ。

 では、予算や人的リソースに制約がある中、こうしたAD管理にまつわる課題をどのようにして解決すればよいのだろうか。その“解”として注目されているのが、ゾーホージャパンが提供するAD統合運用管理ツール「AD360」だ。

AD360でAD管理の2大課題、「現状把握」と「登録作業」を簡単・確実に

ALT ゾーホージャパン
ManageEngine インサイドセールス部
ADカンパニー
リーダー
五十嵐寛文 氏

 ゾーホージャパンの五十嵐寛文氏は、「日々のパスワードリセットから人事異動への対応まで、ADの管理業務は非常に多岐にわたり、多くのIT担当者が負担を感じています。特に年度末などの人事異動においては、大きく2つの作業が課題になりがちです」と解説する。

 1つ目の課題は、アカウント情報の現状把握だ。どのユーザーがどのような組織に属し、どのような役割、権限を持っているかを正しく把握できていないことが多い、と五十嵐氏は指摘する。ADの登録情報と実際の情報がきちんと対応していないため、期初や年度初めの組織変更に向けて、数カ月前からアカウント情報の棚卸しを行うケースもあるという。

 2つ目の課題は、アカウントの登録作業だ。企業の中には、表計算シートを配布して現在の所属と新しい所属を記入してもらい、それを集約して手作業でADに登録しているケースさえあるという。年に数回とはいえ、こうした作業に膨大な時間と工数を取られることは、社員の生産性を著しく落とすことになりかねない。

 「年数回の人事異動だけではなく、パスワードリセットやファイルサーバーのアクセス権変更など、日々の運用業務でもAD関連の作業が数多く発生しています。業務に忙しい中でPowerShellの操作を学ぶことも負担になりますが、かといってADのオブジェクト変更を手作業で行うとなると、作業が煩雑でミスも発生しやすくなります。つまり、コンプライアンスやセキュリティの面でもリスクになり得るのです。これを解決するには、オブジェクトの一括更新、パスワードリセットのセルフサービス化、不正が疑われるアカウント使用に対する自動的なアラート発信など、AD管理を“自動化”することがカギになります」(五十嵐氏)

 AD360はそうした考え方の下、開発されたという。具体的には、同社が既に提供しているAD運用管理ツール「ADManager Plus」、アカウント管理セルフサービスツール「ADSelfService Plus」、ADのセキュリティログ可視化ツール「ADAudit Plus」、「Microsoft Office 365」の監査・監視・管理ツール「O365 Manager Plus」の4製品をバンドルし、ADやOffice 365の管理を一元的に実行できるように構成した製品となっている(図1)。

ALT 図1 AD360は、ADManager Plus、ADSelfService Plus、ADAudit Plus、O365 Manager Plusの4製品を1つのコンソール画面に表示し、統合的なアカウント/Office 365管理環境を提供する《クリックで拡大します》
ALT ゾーホージャパン
ManageEngine 営業部
プリセールスグループ
塩川雄史 氏

 ゾーホージャパンの塩川雄史氏は、AD360のメリットを次のように説明する。

 「AD360は、ADやOffice365管理に必要な機能を包括的に提供することで、幅広い課題に容易に対応できるようにしています。1台のサーバーで4製品を統合的に管理する仕組みのため、サーバーコストを削減できる他、ユーザーアカウントの管理、パスワード管理のセルフサービス化、Active Directoryの変更監査、Office365監査など、必要な機能を選択してスモールスタートが可能です」

 AD360の大きな特長は、各製品の機能が連携しながら、前述したAD管理にまつわる「現状把握と可視化」「アカウント登録の効率化と自動化」「コンプライアンスやセキュリティの確保」といった課題を包括的に解決できることにある。

 現状把握と可視化については「権限の可視化レポート」や「フォルダーへのアクセス履歴レポート」「ユーザー登録情報の可視化レポート」「Office365のライセンス割当状況の可視化レポート」などの機能により、ADオブジェクトを統合的に可視化し、棚卸しすることができる。例えば、「権限の可視化レポート」では、誰がどのフォルダーにアクセスできるかを簡単に把握することができる(図2)。

ALT 図2 AD360の「権限の可視化レポート」では、誰がどのフォルダーにアクセス可能かなどを把握できるので、権限の棚卸し作業も容易になる《クリックで拡大します》

 「ある営業担当者が、営業用フォルダーだけではなく、開発用フォルダーにアクセスできるかどうかを調べたいとします。この場合、AD、営業用ファイルサーバー、開発用ファイルサーバー、それぞれの状況を調査して表計算シートなどにまとめる必要があります。各サーバーにログインしてアクセス権を調査していくのは大きな手間です。AD360を利用すると、わずか数クリックで、それぞれの環境から必要な情報を収集し、リアルタイムに状況を把握できるようになるのです」(塩川氏)

 アカウント登録の効率化と自動化についても、「ADオブジェクトの一括操作」や「ポリシーベースの自動運用」が可能だ。

 「PowerShellスクリプトは複雑で面倒ですし、属人化、ブラックボックス化しやすいという問題があります。AD360は、Webベースの操作画面で社員の入社時のアカウント登録や退職時のアカウント停止、組織改正・プロジェクト編成時の更新などを一括で実施できます(図3)。アカウント作成に申請・承認が必要な場合もワークフロー機能があるので、安全・確実に実施できる他、ポリシーベースの自動運用によって、例えば契約期間60日の社員アカウントを作成する場合、『作成から60日後にアカウントを自動的に無効化する』といったことも可能です。また、シンプルなWebベースの操作画面なので、PowerShellスクリプトのように次の管理担当者への業務引き継ぎができないといったこともありません」(塩川氏)

ALT 図3 AD360では、Webベースの画面上で複数のADオブジェクトを一括操作できる《クリックで拡大します》

AD管理の自動化を推し進め、「経営に貢献」するIT部門に

 以上のように、AD360ではIT部門のアカウント管理の負荷を大幅に下げることが可能だ。ただ、五十嵐氏は「単に業務負荷を下げるだけではなく、“IT部門が本来行うべき業務”に専念できる環境を整備できることが、AD360の真のメリットです」と話す。

 「弊社で行った企業へのヒアリング調査によると、ヘルプデスク業務のうち、パスワードリセットやアカウントロック解除業務が、全業務の2〜3割を占めていることが分かりました。こうした非効率な繰り返し作業に、IT部門はもちろん、ユーザー部門も多大な時間と工数を取られている状況です。その点、AD360を使ってパスワードリセットをセルフサービス化すると、ユーザー自身でパスワードをリセットできるようになるので、IT部門もユーザー部門も本業に集中できる環境が整うのです」(五十嵐氏)

 こうした管理の自動化が操作ミスを防止し、セキュリティやコンプライアンスの強化につながることは言うまでもないだろう。さらに、AD360は、各種イベントログを監視したり、異常を検知してアラートを出したりする機能も提供する。「使われていないはずのアカウントが使われていないか」「深夜など業務時間外にアカウントが使われていないか」などを監視できるため、常に業務環境の安全を守ることができる。PCへのログオン状況も可視化できるため、従業員の勤怠を視覚的なレポートで出力することで、働き方改革の取り組みに活用することも可能だ。

 AD360は4つのコンポーネントのうち、必要な機能だけを選んでスモールスタートし、状況に応じて機能を拡張できることも特長だ。価格は保守サポートサービス付きで年間71万5000円(税込)からとリーズナブルな上、前述のようにインストールに時間も手間もかからず、すぐに使い始めることができる。

 五十嵐氏は、「組織変更や人事異動のたびにアカウントの棚卸しに苦労しているという声は本当によく聞きます。AD360を活用してアカウント管理業務の効率化を進めるとともに、働き方改革に貢献するなど、ぜひ“経営への寄与”に集中いただければと思います」と話す。

 塩川氏も「これからの時代、IT部門に求められる役割は増えていきます。弊社としてはAD360の提供を通じて、無駄な業務を削減し、IT部門が本来行うべき業務に集中できる環境整備を支援していきたいと考えています」とエールを送る。

 これまでもアカウント管理の課題を認識していながら、日々の業務に追われ、なかなか解決に乗り出せなかった企業は多いのではないだろうか。その点、多くの企業が年度末を間近に控えた今こそ、AD360の導入に最適な時期かもしれない。ゾーホージャパンでは、AD360の全機能を60日間試せる無料評価版も用意しているので、ぜひこの機会に抜本的なアカウント管理の課題解決に乗り出してはいかがだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ゾーホージャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年3月16日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。