Windows Server 2012研究所
Windows 8.1の企業向けの機能を見る
(2013/11/7 06:00)
10月18日にWindows 8からWindows 8.1へのアップデートがWindowsストアで公開され、実際にアップデートを行ったユーザーは多いと思う。デスクトップ画面へのスタートボタンの追加や、ストア機能の改善、ライブタイルのサイズ変更など、Windows 8からは多くの変更や改善が行われている。
今回はその中で、個人向けの機能ではなく、企業向けの機能を紹介していこう。
ドメイン参加とは異なる新しいデバイス管理
Windows OSは、Active Directory(AD)ドメインという方式でサーバーやクライアントPC、ユーザー(ID管理/アクセス制御)などを管理している。ADドメインは、単にWindowsネットワークへログインを行うだけの機能ではなく、ユーザーの属性、サーバーやプリンタなどのデバイスに対するアクセス権、クライアントPCのグループポリシーの設定など、企業ネットワークにおいて必須の機能といえる。
Windows Server 2008になってからは、さらにDNSやDHCPなどと連携するようになり、企業ネットワークにおいてはますます重要な機能へと変化している。
このADドメインにアクセスするには、かつてはWindowsクライアントが必要だったが、ADドメインが多くの企業で利用されるようになるにつれ、Mac OS XやLinuxでもアクセスできるようになっている。
さらに今では、スマートフォン、タブレットなど、企業で利用されるデバイスの種類が種類が増えるに従い、ADドメインには参加しなくても、それぞれのデバイスを認証して、社内で展開されているアプリケーションにアクセスできるようにしたいという要望が強くなってきた。BYOD(Bring Your Own Device)というコンセプトのもと、私物デバイスを使って仕事を行うケースが増えてきたことも、これを後押ししている。
そこでWindows Server 2012 R2からは、ワークプレース ジョイン(Workplace Join:社内参加)というデバイス認証システムが用意された。
Workplace JoinはADを拡張しているのではなく、Windows Azure、Office 365、Windows Intuneなどのクラウドサービスと連携する時に使われていたActive Directory Federation Service(ADFS)とActive Directory Certificate Serviceを利用している。またWorkplace Join機能を利用するには、Windows Server 2012 R2が必須だ。
これを使うと、ドメインに参加していないデバイスをADに登録し、ドメイン内のリソースにアクセスする際にデバイスを認証できるようになる。デバイスとしては、Windows 8.1/RT、iOSなどに対応しており、将来的にはAndroidデバイスもサポートされる予定だ。
ただし、Workplace Joinではクレームベースでアプリケーションやデータへのアクセスを制御するため、クレームベース認証に対応していないアプリケーションでは、そのままでは利用できない点にも注意が必要だろう。
Office 365のような、クレームベース認証に対応しているアプリケーションではSSOが可能になるが、そうでない社内アプリケーションでは連携ができない。例外として、Windows Server 2012 R2のWeb Application Proxyに登録されたアプリケーションは、Workplace Joinで接続したデバイスからも利用が可能になるようだ。
このように、実体としてはADドメイン参加とは大きく異なる仕組みだが、iOS、Android、Windows RTなどでADとの連携が可能になり、シングルサインオンに対応するのは利便性の上ではメリットがある。
Windows 8時代のWindows RTでは、ADドメインへのアクセスができないということで、企業ではほとんど利用されていなかった。しかしWorkplace Joinにより、限定的とはいえ、Windows 8.1 RTでの企業ネットワークへのアクセスが可能になるため、企業においてWindows RTの導入がこれまでよりも進むかもしれない。
