熟成されて15年、昔も今も変わらないActive Directory――でも、なぜ“Active”なの?

連載目次

あらためて、なぜActive Directoryなのか?

 「Active Directory」が初めて実装されたWindows 2000 Serverが登場したのは、今から15年前の2000年2月18日(日本における一般発売開始)でした。Windows 2000はWindows NT 4.0の後継OSとして、「Windows NT 5.0」という名称で開発されていました。

 最初のベータ版「Beta 1」が提供されたのが1997年10月、その後「Beta 2」「Beta 3」「Release Candidate(RC)1」「RC 2」のリリースを経て、数年越しでようやく完成しました。この生みの苦しみのおかげでしょうか、Active Directoryは基本的な部分は現在も変わらず、企業のIT環境の重要な基盤サービスとして働いています。

 15周年の今、“なぜActive Directoryなのか?”、あらためて思いを巡らせてみました。「企業のIT基盤として、なぜActive Directoryが必要なのか?」なんてことを言うつもりはありません。なぜ“Active(アクティブ)”を冠しているのかについてです。

マイクロソフトは“Active ○○”がお好き!

 15年前、いや、その数年前からマイクロソフトは“Active(アクティブ)”という名前が大好きでした。

 最初の“Active ○○”が何か、記憶をさかのぼってみたところ、1995年発売のWindows 95に搭載された「ActiveSync」テクノロジにたどり着きました。ActiveSyncは今でも、マイクロソフトのExchange ServerやExchange Onlineに接続して、メールや連絡先、カレンダーなどの情報を同期するプロトコルとして使用されています。

 レガシーなテクノロジですが、AndroidやiOSといったスマートフォン/タブレット用OSも標準でサポートしていることもあって、まだまだ現役といったところです。セキュリティポリシーの配布やリモートワイプの実行など、企業におけるモバイルデバイス管理(MDM)の重要なテクノロジでもあります。しかし、Exchangeを使用するモバイルデバイスユーザーでなければ、ActiveSyncを利用する機会はないでしょう。

 Windowsユーザーならほとんどの人が使用している、あるいは使用したことがある“Active ○○”としては「ActiveX」テクノロジがあります。ActiveXテクノロジは、1996年の夏に公開された「Internet Explorer(IE)3.0」に初めて実装されたJavaへの対応技術です。

 このテクノロジは、「ActiveXコントロール」「ActiveX Script(Active Scripting)」「ActiveX Documents」「ActiveX Data Objects(ADO)」などなど、“Active ○○”のオンパレードでした。

 ActiveXは現役のテクノロジです。しかし、Web技術の標準規格である「HTML5」が普及した今となっては、ActiveXは早々に手を引くべきレガシーなテクノロジになりました。

 ActiveXはしばしばセキュリティの問題を引き起こすこともあり、特定のActiveXコントロールを無効化するセキュリティ更新(Killbitの更新)が何度となく配布されましたし、IE 8〜11では2014年9月から古いActiveXコントロールを標準でブロックするようになりました。Windows 10に搭載される予定の「Microsoft Edge」(開発コード名:Project Spartan)では、とうとうサポートされなくなるようです。

 続いて登場した“Active ○○”は、1996年末に公開の「Internet Information Server(IIS)3.0」に初めて実装された「Active Server Pages(ASP)」でしょうか。現在の.NET Frameworkベースの「ASP.NET」の前身となる、レガシーなテクノロジです。現在のIIS 8.5でも「クラシックASP」としてサポートが続いています。最近では、ASPがActive Server Pagesの略であることを知らない技術者も多くなってきたようです。

 1997年公開のIE 4.0で、Windows 95に追加された「Active Desktop」もありました。WindowsのデスクトップにWebコンテンツを表示できるあの機能です。Windows 98からWindows XPまでは、Active DesktopはWindowsの標準機能でした。Windows Vistaでは廃止され、代わりに「Windowsサイドバーとガジェット」が提供されました。現在は、ガジェットの利用は深刻なセキュリティリスクがあるため、サイドバーとガジェットの機能を無効にすることが強く推奨されています。Windows 8では廃止されました。

 大トリが、Windows 2000の「Active Directory」になるでしょう。Active Directory登場以後、“Active ○○”という製品やテクノロジが出たという記憶はありません。それ以外では「Microsoft Active Protections Program(MAPP)」というセキュリティ製品ベンダー向けのプログラムや、「Microsoft Active Protection Service(MAPS)」というマイクロソフトのセキュリティ製品に関連するコミュニティがありますが、こちらは“活動”という意味での“Active”でしょうから、製品やテクノロジの意味不明な“Active ○○”とはちょっと違います。

 マイクロソフトの“Active ○○”は、いずれも15年以上前に名付けられた歴史の長いテクノロジばかりです。もうレガシーになって消えつつあるものもありますが、Active DirectoryとASP.NETは今後も企業のIT基盤やWebアプリを支えるメインストリームのテクノロジであり続けるでしょう。

オンプレの重力から解き放たれたActive Directory

 Active Directoryのディレクトリサービスは、Windowsのログオン(最近は「サインイン」と呼びますが)認証やリソースへのアクセス許可の要です。また、Active Directoryが提供するグループポリシー管理機能は、企業におけるPCやセキュリティ管理になくてはならないものです。Active DirectoryはWindowsとともに着々と進化してきましたが、基本的な仕組みや管理ツールは変わらず、また、最大限の下位互換性を提供してきました(画面1)。

画面1画面1 Windows 2000 ServerのActive Directory。「マイクロソフト管理コンソール(MMC)」ベースの管理ツールは今でも変わらない

 最近になって、Active Directoryにも大きな変化がありました。2013年4月からのプレビュー提供を経て、2014年、Active Directoryは「Microsoft Azure Active Directory」として、クラウドの世界にデビューしました。

 Azure Active DirectoryはKerberos認証やグループポリシーをサポートするものではないため、企業におけるID認証基盤を置き換えるものではありません。しかし、SAMLやOAuth、OpenID Connect、WS-Federationといった認証プロトコルをサポートし、クラウドアプリのためのID基盤を提供します。例えば、Office 365のIDを認証したり、他社のSaaSアプリやオンプレミスのWebアプリのシングルサインオン(SSO)アクセスを可能にしたりできます。

 また、オンプレミスのActive Directoryとディレクトリ同期/連携することで、Active DirectoryのIDによるOffice 365やSaaSアプリのSSOを実現したり、社外にいるユーザーやデバイスをActive DirectoryのIDで認証したりできます(画面2)。

画面2画面2 Azure Active Directoryと同期されたWindows Server 2012 R2のActive Directory

 Windowsの次期バージョンである「Windows 10」では「Azure Active Directory Join(Azure AD Join)」という機能が追加され、従来のローカルアカウント、Microsoftアカウント、Active DirectoryのID(ドメイン参加)に加えて、Azure Active Directoryのドメインに参加してAzure Active DirectoryのIDでWindowsにサインインするという方法が可能になる予定です(画面3)。

画面3画面3 Windows 10の「Azure Active Directory Join(Azure AD Join)」機能。画面はWindows 10 Insider Previewビルド「10074」

 オンプレミスはWindows ServerのActive Directory、クラウドはAzure Active Directoryで棲み分けながら、両者をハイブリッドに統合する、そんな世界がすでに利用できるようになっています。

クラウドは時間の進み方がオンプレとは違います

 誕生から15年たったActive Directoryですが、オンプレミスのActive Directoryの設計、導入、運用管理の方法は15年でさほど変化はありません。一方、クラウドデビューを果たしたAzure Active Directoryは、どんどん変化していくと予想します。クラウドの時間の進み方はオンプレミスとは異なり、ちょっと目を離していると追いつくのが大変です。

 Microsoft Azureは2010年1月に「Windows Azure Platform」という名前で正式なサービスを開始しました。以下の画面4はサービス開始当初の管理ポータルで、画面5が最新の管理ポータルになります。たった5年でこんなにもポータルが変わり、サービスの種類も、プレビューを含めると把握するのが難しいほど拡充されました。

画面4画面4 サービス開始当初のWindows Azure Platformの管理ポータル。開始当初は、Web/WorkerロールのPaaSと、SQL Azure、Azureストレージくらいの機能しかなかった
画面5画面5 Microsoft Azureの最新ポータル。Azure Active Directoryなど一部のサービスはまだ準備中のために管理できないので、クラシックポータル(前出の画面2)を使用する

 今、ITの15年を振り返ることができても、15年後に果たして過去15年のITの変化を振り返ることができるでしょうか。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Hyper-V(Oct 2008 - Sep 2015)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


Copyright© 2015 ITmedia, Inc. All Rights Reserved.