none
10人弱の組織です。ローカルアカウント、マイクロソフトID、ActiveDirectoryのどれがいいのでしょうか? RRS feed

  • 質問

  • マイクロソフト コミュニティで質問したところ、TechNetの方が相応しいというアドバイスを受けたので、こちらに再投稿します。

    https://answers.microsoft.com/ja-jp/windows/forum/windows_10-other_settings/10%E4%BA%BA%E5%BC%B1%E3%81%AE%E7%B5%84%E7%B9%94/924efb36-a572-4bab-934a-eba0659a9c34

    --- 自分の質問ここから ---

    10人弱の組織の一応管理者です。
    Macを使うデザイナーなど一部を除き、Windows 10 Proのパソコンを導入しています。
    また、Office 365 Business Premiumも人数分導入しています。
    ユーザーがPCにログインする方法として、Microsoftアカウントを使うべきなのか、ローカルアカウントを使うべきなのか、はたまた、ActiveDirectory(AzueAD)を使うべきなのか悩んでいます。以前は、Microsoftアカウントとして自社ドメインのメールアドレスを割り当てられたのでそれで運用していたのですが、
    https://blogs.technet.microsoft.com/mssvrpmj/2016/09/30/azuread-%E3%81%A8-microsoft-%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AE%E9%87%8D%E8%A4%87%E5%95%8F%E9%A1%8C%E3%81%AB%E5%AF%BE%E3%81%99%E3%82%8B%E5%8F%96%E3%82%8A%E7%B5%84%E3%81%BF/
    のなか「Azure AD で構成済みの電子メール ドメインでは、職場または学校のメール アドレスを使用して Microsoft アカウントを新規作成することが禁止されました。」という記載のとおり出来なくなっています。
    「まとめと推奨事項」を読むと、
    (1) パソコンにログインするには、@outlook.comでMicrosoftアカウントを作り、それでログインしろ
    (2) Office365は、自社ドメインのメールアドレスを使え
    と読めるのですが、それが最適の運用なのでしょうか?それともAzure ADを利用するほうがいいのでしょうか?そもそも、Office 365 Business Premiumユーザーであれば、Azure ADというものを利用することが可能なのでしょうか?
    皆さんどうしていますか?

    --- 自分の質問ここまで ---

    --- 回答 ここから ---
    Office 365 Business Premium のユーザー アカウントは Azure AD アカウント(AAD アカウント)なので、一番使い勝手が良くなるのはオンプレミス側で Active Directory を構成してユーザーはクライアントに AD ユーザーでサインインし、AD と AAD を同期(または - ちょっと大変ですが- フェデレーション)する方法でしょう。そうすれば、AD のクライアントから Office 365 にシングル サイン オンできます。
    この辺りの構成の話はここより TechNet フォーラムの方が向いているでしょう。疑問点や追加の質問はそちらに投稿してください。
    --- 回答 ここまで ---

    上記の回答が正しいとしたら、

    オンプレミスでActiveDirectoryを立てないとだめなのでしょうか?自分は、Azure ADというのは、ActiveDirectoryのクラウド版だと思っていたので、オンプレミスでサーバーを立てる必要はないと思っていたのですが、この認識は間違っているのでしょうか?
    正直言って、10名弱の組織で、ActiveDirectoryを運用するのはちょっとキツイです(なんのドキュメントを読んでも難解すぎです)ビジネス版のOffice365を導入した組織ではそれをやっているのでしょうか?

    という実にTechNetにふさわしくない質問なのですが、基本的な知識不足で困っています。なにかアドバイスをいただけたら幸いです。

    よろしくお願いいたします。
    2017年11月14日 6:16

回答

  • チャブーンです。

    まず、

    ですので、きっと「一般的な運用事例」というようなベストプラクティスがあるのではないかと期待しています。

    ですが、残念ながらそのような資料はありません。マイクロソフトはアメリカの会社ですが、アメリカでは「自社のシステムは自分自身で検討する」という文化で、SIerにあたる人材を自社雇用して対応するため、金太郎あめのような汎用構成を前提とした顧客対応をMSが行うことは、たぶんありません。

    日本のMSでも、規模や業務が様々な中小(SOHO)では、システムへの優先順位が全く異なるため、「お奨めの構成」はどうしても数十人からになり、それを管理するにはActive Directoryは必須なため、そこは外せない場合が多いと思います。

    最初にご自身で、業務側(とくに管理の側面)から、方針を決められてはどうでしょうか。

    • 社内の管理者が「他人のパソコンやIDを管理する」必要があるかどうか
      必要がある場合、オンプレのActive DirectoryまたはAzure ADは必須です。人数は関係ありません。ワークグループやMicrosoftアカウントには他人がアカウントを管理する機能はないためです。「やれる」という方がいるかもしれませんが、それは管理者が(ユーザーがやるべき作業としての)アカウント管理作業そのものを代行しているだけで、無駄な作業をたくさんすることになってしまいます。
    • ユーザビリティ(利用者の利便性)をどう考えるか
      最小限の構成システムの場合、WindowsにサインインするアカウントとOffice 365にサインインするアカウントは一致しない(IDパスワードが同じでも提供元が違うからです)ため、何度もパスワードを入力する必要があります。オンプレのファイルサーバーへのアクセスも、原則的には同じ考え方になります。オンプレのActive DIrectoryを導入し、Office 365のAzure ADと連携させれば、パスワードはWindowsサインインだけ入力すれば、あとは不要となり、ユーザーは快適にアプリケーションが使えたり、セキュリティが向上したりしますが、お金と手間がかかります。「お金がかかるからしません」と言い切ればそれまでですが、ユーザー利便性やセキュリティを向上させたい、が高いプライオリティであれば、お金と手間をかけるしかありません。

    上記を考えながら、以下の資料を読んで、Windowsのシステムを理解されてはどうでしょうか。国井さんは国内屈指のMSMVPであり、トレーナーでいらっしゃるので、難しい話しを易しく語ることができます。

    http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0%E3%81%A8%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2/

    うえの記事を軸に、関連する記事を「国井さんのブログ」から検索して読まれると、最初のつかみはわかりやすいのではないでしょうか。そのうえでSIerに相談することで、相談の価値が高くなると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年11月15日 6:05

すべての返信

  • フォーラムオペレーターの栗下 望です。
    WelcomeUpdate_But_DontChangeUI さん、ご投稿いただきありがとうございます。

    ご投稿いただいたスレッドの形式がディスカッション形式で投稿されていたため、
    勝手ながら質問形式に変更させていただきました。

    ディスカッション形式ですと、
    スレッドのクローズをすることが出来ませんので、ご了承いただければと思います。

    また、今後参考になる回答が寄せられた際は、
    [回答としてマーク]の設定をしていただければと思います。

    どうぞよろしくお願いいたします。


    MSDN/TechNet Community Support 栗下 望

    2017年11月14日 7:20
    モデレータ
  • オンプレミス側での管理(オンプレミス側のリソースに対するアクセス制御やグループポリシーなど)の要求レベルが低ければ、オンプレミス側のクライアントも AAD に直接参加させて AAD アカウントでのサインインにするという手はあるでしょう。

    ただし Active Directory も 25ユーザーまで対象の Windows Server Essentials というエディションもあるので、10人前後の規模が過少すぎるということはないと思います。何がやりたいのか(逆にやりたくないのか)ということがポイントです。

    この辺りはユーザー(お使いになる皆さん)側の具体的な要件しだいなので、こうした場で全体的な構成から細かな相談に至るまでの全てを対象にするのは向かないかと思います。ご自身もある程度の学習が必要でしょうし、十分な学習コストが書けられないのであれば、SIer などに相談されるのが無難だと思います。


    hebikuzure




    2017年11月14日 7:43
  • >何がやりたいのか(逆にやりたくないのか)ということがポイントです。

    全く仰るとおりポイントだと思います。ただ、それを自社で決める能力(知識と経験)がないので困っています。

    総務省の資料によると自分たちと同じ規模の事業所は、全事業所の3割程度を占めるそうです。ですので、きっと「一般的な運用事例」というようなベストプラクティスがあるのではないかと期待しています。難しいことは言わず、まずは、それを導入したいと考えています。マイクロソフトが用意している事例集とかはないのでしょうか?

    仮にSIerに相談するとしても、まさに上記の質問をすることになると思います。


    2017年11月15日 2:26
  • 正直言ってそれは「コンサルティング」になるので、お金を払ってやってもらう内容(逆に言えばそれを仕事にしている人がここの回答者には多くいるので、対価無しで気軽に相談に乗る訳にはいかない)でしょう。

    Microsoft のサイトだと

    辺りでしょうか。Microsoft の場合、中小中堅企業向けは基本的にパートナー経由でのソリューション提供なので、自社内でナレッジやスキルが無い場合はやはり SIer やコンサルに相談されるのが一番良いです。


    hebikuzure

    2017年11月15日 5:45
  • チャブーンです。

    まず、

    ですので、きっと「一般的な運用事例」というようなベストプラクティスがあるのではないかと期待しています。

    ですが、残念ながらそのような資料はありません。マイクロソフトはアメリカの会社ですが、アメリカでは「自社のシステムは自分自身で検討する」という文化で、SIerにあたる人材を自社雇用して対応するため、金太郎あめのような汎用構成を前提とした顧客対応をMSが行うことは、たぶんありません。

    日本のMSでも、規模や業務が様々な中小(SOHO)では、システムへの優先順位が全く異なるため、「お奨めの構成」はどうしても数十人からになり、それを管理するにはActive Directoryは必須なため、そこは外せない場合が多いと思います。

    最初にご自身で、業務側(とくに管理の側面)から、方針を決められてはどうでしょうか。

    • 社内の管理者が「他人のパソコンやIDを管理する」必要があるかどうか
      必要がある場合、オンプレのActive DirectoryまたはAzure ADは必須です。人数は関係ありません。ワークグループやMicrosoftアカウントには他人がアカウントを管理する機能はないためです。「やれる」という方がいるかもしれませんが、それは管理者が(ユーザーがやるべき作業としての)アカウント管理作業そのものを代行しているだけで、無駄な作業をたくさんすることになってしまいます。
    • ユーザビリティ(利用者の利便性)をどう考えるか
      最小限の構成システムの場合、WindowsにサインインするアカウントとOffice 365にサインインするアカウントは一致しない(IDパスワードが同じでも提供元が違うからです)ため、何度もパスワードを入力する必要があります。オンプレのファイルサーバーへのアクセスも、原則的には同じ考え方になります。オンプレのActive DIrectoryを導入し、Office 365のAzure ADと連携させれば、パスワードはWindowsサインインだけ入力すれば、あとは不要となり、ユーザーは快適にアプリケーションが使えたり、セキュリティが向上したりしますが、お金と手間がかかります。「お金がかかるからしません」と言い切ればそれまでですが、ユーザー利便性やセキュリティを向上させたい、が高いプライオリティであれば、お金と手間をかけるしかありません。

    上記を考えながら、以下の資料を読んで、Windowsのシステムを理解されてはどうでしょうか。国井さんは国内屈指のMSMVPであり、トレーナーでいらっしゃるので、難しい話しを易しく語ることができます。

    http://azuread.net/2015/08/18/azure-ad-%E3%81%B8%E3%81%AE%E5%8F%82%E5%8A%A0%E3%81%A8%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2/

    うえの記事を軸に、関連する記事を「国井さんのブログ」から検索して読まれると、最初のつかみはわかりやすいのではないでしょうか。そのうえでSIerに相談することで、相談の価値が高くなると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年11月15日 6:05
  • 昨日、一昨日と出張で返信ができませんでした。申し訳ありません。

    とても分かりやすい情報ありがとうございます。選択肢がなにか分かりました。

    > 社内の管理者が「他人のパソコンやIDを管理する」必要があるかどうか
    > ユーザビリティ(利用者の利便性)をどう考えるか

    この2つだけでネットワーク構成の基本方針が決まるシンプルな考え方は驚きでした。
    また、国井さんの記事を読んでようやく、Azure AD、Active Directory、WorkGroup、Microsoftアカウントの関係性が理解できました。

    Azure ADを2年程度かけて(今後のパソコンの買い替えタイミングで)徐々に導入していこうと思います。
    ありがとうございます。


    2017年11月17日 0:38