Azure Managed Service Column <Azure運用コラム>

Microsoft Intune は Active Directory を置き換えられるか

Category: 実践編

2024.11.06

Intune と ActiveDirectory の共通点、異なる点とは何か。ActiveDirectory から Intune への移行はどのように進めたらよいか。

オフィスなどの環境では、端末は Active Directory により一元管理されています。Active Directory を利用する理由の一つに、ポリシーを用いた端末の制御があげられます。グループポリシーを用いることで、セキュリティ設定やアプリケーションの構成などを端末に適用し、端末を制御することができます。

しかし、昨今のリモートワークの普及や、スマートフォンなど PC 以外の端末を業務に用いる必要性の高まりにより、Active Directory では管理できない端末が増えています。そのような端末を管理するためのサービスとして、Microsoft は Intune を提供しています。Intuneは Active Directory のような、端末のポリシーによる一元管理機能を SaaS で提供しています。

とすると、すべての端末の一元管理を Active Directory から Intune に移行することも可能かもしれません。この記事では、Active Directory と Intune の共通点と差異を示し、Active Directory と Intune の使い分けや移行の進め方を示します。

1. なぜActive Directoryを置き換えるのか

Active Directory(以下 AD と略す)は、ネットワーク上のユーザーやコンピューターなどを一元管理する仕組みで、端末に対して認証やグループポリシーを用いた制御を提供します。

端末は AD サーバーに通信可能な場所に配置されている必要があり、例えばリモートワークにより端末をオフィスではなく自宅に設置する場合、一般的にこの端末は AD サーバーに接続することができず、制御を行うことができません。

Intune も端末を一元管理する仕組みで、端末に対してポリシーを用いた制御を提供します。Intune は Microsoftにより提供される SaaS サービスで、管理サーバーを自前で運用する必要がありません。また、端末はインターネット経由で Intune に接続されるため、端末を自宅などに設置した場合でも管理、制御が可能です。

以下に Active Directory を Intune に置き換えるメリットや、検討が必要なポイントを示します。

Intune と Active Directory の共通点

  • どちらも端末をポリシーにより制御することができます。

Intune と Active Directory の異なる点

  • 例えば、Intune は認証機能を提供していません。認証はMicrosoft Entra ID により提供され、Intune と組み合わせて利用します。

ほかにも、Active Directory ではできるものの Intune ではできない機能があります。

Active Directory から Intune への移行のメリット

  • 端末がインターネットに接続されていれば、場所を問わずに制御できます。
  • スマートフォンなど Windows PC 以外の端末も制御できます。
  • Active Directory サーバー自体の運用が不要になります。

Active Directory から Intune へ移行する際に検討、注意が必要な点

  • Intune の利用には、適当な Microsoft 365 ライセンスが必要になります。Microsoft 365 ライセンス費用は、利用ユーザー数に対して月額課金されます。
  • インターネットに接続されていない、接続が制限されている端末は一元管理対象にできません。

Active Directory のすべての機能を置き換えるわけではありませんが、様々な箇所に配置されている端末を管理するという目的で Intune が有効な場合があります。

また、Active Directory サーバーの運用が不要となる点は、システム管理者にとって大きなメリットとなります。では、Active Directory から Intune への移行はどのように進めたらよいのでしょうか。

2. Active Directory のグループポリシーの Intune への移行

Intune には、グループポリシーの分析機能があり、これによりグループポリシーを Intune のポリシーに移行できるか否かを判定することができます。しかし、この機能で移行可と判定されるポリシーはあまり多くありません。そもそも、グループポリシーにより提供されているポリシーと、Intune により提供されているポリシーは同じものではないためです。

では、グループポリシーを Intune のポリシーに移行する場合、Intune のポリシー設計をどのように進めたらよいでしょうか。次に、Active Directory から Intune にポリシーを移行する場合のステップを示します。

1. グループポリシーの設定内容の把握、整理
グループポリシーに設定されている各ポリシーの設定内容および設定意図を把握し、移行の要不要を整理します。
2. グループポリシーの分析機能を実施
ポリシーの移行が可能なもの、できないものを整理します。
3. ポリシーの移行ができないものについて代替を検討
例えば、Intune により提供されている他のポリシーに切り替えることで代替可能かもしれません。また、他のツールや仕組みにより代替することも考えられます。さらに、ローカルグループポリシーやレジストリ値の変更により代替ができる場合、Intune によるスクリプトの配布機能を利用して端末を制御することが可能です。

このように、移行にあたりグループポリシーを十分に見直し、移行の要不要を判断することが必要です。移行の要不要を判断するためには、その設定の意図や、そもそもどのような制御が必要なのか、例えば社内のセキュリティポリシーを確認することが必要になります。

なお、Intune への移行を進めるにあたり、ポリシーを移行せず新規設計する場合、Microsoft が用意しているセキュリティベースラインを基本設定として、これを自社のセキュリティポリシーに合わせて修正して利用できないかを検討されるのがよいかと思います。

また、Active Directory から Intune に切り替えを行うための展開計画の策定、実施が必要となります。

3. ActiveDirectory から Intune への移行における、検討、注意が必要な点

ここまでに示したように、ActiveDirectory から Intune に移行するには、次の点を考慮する必要があります。

1. 費用

Active Directory を利用するためには、この機能を提供する Windows Server の調達と、端末側 OS のエディションを Pro エディションとする費用が必要です。一般にどちらの費用も買い切りです。

Intune は利用ユーザー数により課金が発生するサブスクリプションモデルで、ユーザー数×利用期間の費用が発生し続けます。すべての端末がオフィスなど、Active Directory による管理ができている環境では、そもそも Intune への移行を目指さなくてもよいかもしれません。

なお Active Directory は、そのサーバー自体の保守運用費用が必要になることも考慮する必要があります。Intune は SaaS サービスのため、サーバーの保守運用費用は必要ありません。

2. Active Directory からの移行の可不可や代替案の検討、Intune ポリシーの設計

Active Directory からの移行を行う場合は、ポリシーの内容精査や移行の要不要を確認する必要があります。また、Intune ポリシーへの移行の可不可を確認し、移行不可のものについては代替方法を検討する必要があります。

なお、すべての Active Directory 機能を移行できるわけではないため、ポリシー以外の機能についても検討、検証が必要です。例えば、Active Directory のよく用いられる用途の一つとして、ファイルサーバーのアクセス制限があるかと思います。

Intune への移行によるActive Directory の完全廃止を目指すとすると、ファイルサーバーについても扱いを検討する必要があります。

3. Intune の展開設計

Intune を利用するためには、端末側の設定変更が必要です。そのため例えば、端末の入れ替えのタイミングで設定変更を進めるなどを計画することが必要です。また、既存業務などに影響が出ないよう、展開を段階的に進めることも必要になります。そのような展開計画を設計し、切り替えによる影響を最小限に抑える必要があります。

4. Intune ポリシーの保守運用

Intune により端末制御が実現されたのちも、例えば新規端末へのポリシーの割り当てや、またポリシー自体の変更管理や新しい社内ポリシーに準ずるための Intune ポリシーの見直し、再設計など保守運用が必要になります。

Intune への移行タイミングで、こういった運用ルールについても整備するのがよいでしょう。

4. Microsoft Intune は Actrive Directory を置き換えられるか

Active Directory と Intune は、端末のポリシーによる制御という観点で、置き換えが可能です。Intune へ置き換えを行うことで、従来難しかった Active Directory に接続できない端末も制御できるようになったり、Active Directory サーバー自体の保守運用が不要となるというメリットがあります。

しかし、すべてのポリシーや、Active Directory の機能を置き換えできるわけではないこと、費用の考え方が変わるため、移行を進めるのかは十分に検討、検証が必要です。

Intune については、弊社別の記事でも解説を行っています。Intune について興味がある方は合わせて参照ください。

当社はリモートワークを推進しており、業務端末の制御に Intune を用いており運用経験を積み続けています。また、MSP 事業者としてサーバーなどインフラの運用を 20年以上おこなっています。このような運用経験から、次のようなお客様のサポートが可能です。これらお悩みを抱えている方は、是非お声掛けください。

  • Active Directory の運用保守の負担を減らしたい
  • リモートワークの端末についても制御を行いたい
  • 今どのようなグループポリシーが設定されているのかわからない。一緒に整理、精査をしてほしい。
  • Intune への切り替えが可能なのか、検討、検証を一緒に行ってほしい
  • ポリシーの変更管理、運用方法を整備してほしい

Azure の導入を相談したい

Azure導入支援サービス

Azure 導入支援サービス

Microsoft Azure 導入の具体的な方法の検討や技術検証を専門家にサポートいたします。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Active Directory Microsoft Intune

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php