この記事をtweetする このエントリーをはてなブックマークに追加

アナタに代わって聞いてきました!ザ・キーマンインタビュー

Active DirectoryでMacを運用するコツとは?

2016/02/15

 Windows環境における認証基盤として圧倒的なシェアを誇るActive Directoryだが、Macが混在する環境ではどのように活用されているのだろうか。今回は、MacにおけるActive Directory活用の実態について、キヤノンITソリューションズ株式会社 SIサービス事業本部 開発統括センターの九石 淳一氏に伺った。

キヤノンITソリューションズ株式会社 企業サイトへ

キヤノンITソリューションズ株式会社

SIサービス事業本部 開発統括センター 基礎開発センター
基礎開発第一部 アドバイザリーITスペシャリスト
九石 淳一 氏

Mac環境におけるActiveDirectoryの利用状況

Question

Mac環境においてActive Directoryを利用したユーザ管理は行われていますか。

Answer

九石 淳一 氏

 私は大学を中心にソリューションを提供する部署に所属していますが、大学は学びの場を提供するところであり、WindowsだけでなくMacやLinuxなど様々なOSがいろんな場面で利用されています。図書館などにMac端末を置くといったこともありますし、デザイン系の学科ではMacが導入されることも多く、UNIX端末としてMacを導入する大学もあります。企業と違って大学は混在環境が一般的であるといえます。クライアントは目的に応じてその都度調達されるため、企業に比べて混在環境が生まれやすい側面があるのも事実です。

 管理という面では、Active Directory(以下、AD)は多くのシェアを持っており、認証基盤として利用している大学は少なくありません。LDAPも含めてディレクトリサービスを複数運用しているところもありますが、Macだけ管理範囲外というわけにもいきません。MacをADの管理下においてアクセス認証を行うという使い方は普通に行われています。

Question

LDAPもかなり利用されているのでしょうか。

Answer

 感覚的には多いと感じています。弊社が携わる大学ではADだけで認証基盤を構築する大学もありますが、多くの大学では双方の環境を持っています。

 また、クライアント環境は教える先生の要望によって変わってくるのが通例です。教える先生がMacをよく利用されてきた経歴を持っている、あるいはWindowsよりはMacに慣れているからMacを、という先生側の事情で決まってくるケースもあると思います。

 一方、今の学生はPCやゲーム機器を当たり前に操作して育った世代で順応性も高く、小中高とWindowsを使い続けているものの、Macになってもそのインターフェースにすぐに慣れてしまいますので、問題にはならないのです。

Question

最近では学生がデバイスを持ち込む、いわゆるBYODのような環境も増えていると聞きますが、実際はいかがでしょうか。

Answer

 BYODは、まだそれほど多いわけではありませんが、九州大学では学生の個人PC所有を必携化するなど先行して取り組んでいる国立大学もあります。これから増えてくる可能性はありますが、大学側が端末を管理しなくてもいいわけではありません。忘れてしまった学生や家庭の事情で購入できない学生など、さまざまなケースがあります。

 BYOD環境では、個人PCを接続させるネットワーク基盤の背後にユーザ認証基盤としてADを設置し、BYOD端末はドメイン参加させずにインターネットやアプリケーションを利用できるようにするといった構成がとられるケースが一般的です。

Question

Mac環境でADを利用する際に考慮すべきこととして、どんなことが挙げられますか。

Answer

九石 淳一 氏

 通常のログイン認証であれば、ユーザIDやパスワードをADが管理しているだけですので、Windowsと何ら変わりはありません。ただし、ユーザがADを選択するメリットの1つに、グループポリシーという考え方があります。企業であればグループポリシーで制限をかけることで高度なセキュリティ環境を維持することも可能ですが、実はこのグループポリシーはAppleには適用できません。大学では教育環境の整備を目的として、比較的自由なインフラ作りが前提になりますが、最近では潮目が変わってきており、セキュリティには十分な配慮が必要になってきています。しかし、USBを使わせないようにする、このコントロールパネルは使わせないようにするといったMacの細かな制御はADでは難しいのが実態です。

 この課題を解決するための選択肢としては大きく3つあります。1つがローカルポリシーのようなデバイス単体でポリシーを設定する方法。次に挙げられるのが、Appleが提供しているディレクトリサービス「Open Directory」を利用する方法。そして最後に、AD上で設定したグループポリシーをMac用に変換してAppleのポリシーに落とし込むサードパーティ製品を利用する方法です。

Question

これら3つの方法で最も利用されているものはどれですか。

Answer

 ポリシー変更の際にその都度ローカル側を修正する必要が出てきてしまうものの、一番多いのはローカルポリシーでの実装です。その次にOpen Directory活用ですが、ポリシー管理の為にOpen Directoryを導入するケースは少なく、結果としてローカルポリシーを採用しているユーザが約9割というのが実感値です。追加でコストを投入しサードパーティの製品を導入する大学はとても少ないのが実態です。

 ローカルポリシーでは一括でポリシー変更ができませんが、多くの場合はWindowsと同じくセキュリティパッチの適用やイメージ更新のタイミングでポリシー変更があれば実施することになります。実際には最初に決めたポリシーでしばらく運用し、問題なければそれ以降は変更する頻度も高くありませんので、運用負担が大きくなることはないと考えています。

Question

ローカルポリシーによる運用でトラブルになることはありますか。

Answer

 ポリシー管理という部分とは異なりますが、プロファイルの修正などで障害が発生することはあります。企業であれば、従業員にPCを与えて自分のプロファイルを個別に管理できますが、大学では教室に設置されているPCは大勢の人が共用で使うデバイスとなります。そこで、デスクトップやコントロールパネルの設定などのデフォルトプロファイルをどう均一に保つのかが重要になってきます。具体的には、ショートカットをデスクトップに用意する、タスクバーによく利用するアプリケーションを登録するなど、利用しやすいようプロファイルの修正を行う必要があります。これはMacに限った話ではありませんが、この辺は現場でのノウハウが重要になってきます。


このページの先頭へ

ADの運用で注意すべきポイント

Question

MacのAD運用について、注意点しておきたいポイントはありますか。

Answer

九石 淳一 氏

 考えておかなければいけないポイントはいくつかあります。例えば、最近はMacの起動が早くなってしまったがゆえに、最初のログイン画面でパスワードを入れてもログインできないことがあります。SSD化の影響もあって起動が早くなり、ADとの通信が確立する前にログイン画面が出てしまうためです。この場合、ADと通信が確立するまではログインパネルを表示させないといった工夫が必要です。起動時にチェックをかけてADに疎通確認を行い、接続が確認されたらログイン入力のパネルを出すよう作りこみを行い、確認されるまではループ処理で待つことになります。Windowsの場合は、様々な処理を経た上できちんとAD接続できる状態でないと最初からログインパネルが表示されません。エンタープライズに配慮されたWindowsと、コンシューマに人気のあるMacの思想の違いも影響しているのではないでしょうか。

 また、教育系では複数の人が同じ端末を利用する機会が多いため、再起動すると初期化するプログラムを組み込むことがあります。ADではコンピュータアカウントが管理されており、定期的に情報が変わるような仕組みが用意されています。Macではデフォルトで2週間が設定されているため、環境復元ソフトでもその挙動を意識してインストールする時に変更するのですが、一度AD配下のドメインを離れてから再度入りなおすとそれがリセットされてしまい、2週間後にログインできなくなるというトラブルが起こったことがあります。

Question

ほかにも注意するポイントはありますか。

Answer

 ADは時刻が同期できていないとログインできないため、Windowsの場合はドメイン参加した時点でADと自動的に同期が行われます。しかし、Macはそういったことが意識されておらず、例えば個人で購入したMacでADにアクセスしようとすると、通常では「asia.apple.com」に時刻が同期されてしまいます。正しく機能していれば問題ないのですが、何かの拍子で同期がずれると、時間がずれてしまいログインできなくなるということが起こります。

 また、企業ではPCをオフィスで使うだけでなく、自宅に持ち帰って作業することもあるはずです。通常はネットワーク接続されていなくても、ADで設定されたIDでログイン可能ですが、これはWindowsのログオンキャッシュという機能によるものです。しかしMacはそういった機能が標準ではないため、ネットワークから外すとログインできなくなります。それを回避するためにはモバイルアカウントを個別に設定することが必要です。Windowsなら意識しなくてもいい部分を、Macは意識して設計してあげる必要があるのです。

Question

ADに関すること以外で、Macを運用する際に注意したいポイントはありますか?

Answer

九石 淳一 氏

 NetAppやEMCなどのストレージに対して、Windowsのファイル共有プロトコルであるService Message Block(以下SMB)を利用してやり取りすることがあります。 Mac OS X 10.6まではSambaをベースとしたSMB機能を利用していたものの、10.7以降はアップル独自のSMB実装となっています。この独自のSMB機能を利用すると互換性の問題で接続できないことがあります。このため、あえてSMBバージョンを落として利用するということも実際の現場では起こっています。

 またMacの場合、イメージ管理に適したツールがあまり存在しておらず、例えば200台のPCをセットアップする際に、マスターとなる1台をコピーして授業で使えるようにしたいといったニーズに対応できる便利なツールがなかったのです。そこで、MacだけでなくWindowsも含めた形でイメージ管理が可能になるソリューションを我々が作りました。それが、複数のOS環境におけるクライアント管理ソリューション「in Campus Device(インキャンパス デバイス)」というものです。マスターを用意してサーバ側にアップロードしておけば、クライアント側ではイメージの差分だけを反映することが可能になります。



 Macの運用では、ID管理はADを利用するものの、グループポリシーなどはローカル環境での設定が中心となる。今回は教育系でのMac活用についてお聞きしたが、企業内での運用管理にも生かせる部分は多くあるはずだ。ぜひ参考にしていただきたい。


このページの先頭へ

取材協力

キヤノンITソリューションズ株式会社 企業サイトへ

数多くのシステム開発で蓄積したノウハウと最新のIT技術に基づいた高度なソリューションを提供するプロフェッショナルカンパニー。金融、製造、公共、流通、文教、医療など、さまざまな分野で、スクラッチ開発やパッケージソフトウエア、さらには、クラウドサービスやデータセンターサービスなども組み合わせ、ユーザにとって最適なシステムを提供している。


このページの先頭へ



Active Directory/Active DirectoryでMacを運用するコツ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「Active Directory」関連情報をランダムに表示しています。

Active Directory」関連の製品

ビジネス専用メッセンジャー direct エンタープライズ版 【L is B】 ASUSTOR 企業向けNAS AS7009RDX 【ユニスター】 特権ID管理 iDoperation(アイディーオペレーション) 【NTTソフトウェア】
その他情報共有システム関連 NAS ID管理
現場スタッフと社内のコミュニケーションを素早く安全に行う、マルチデバイス対応ビジネス専用メッセンジャー。
チャットのほか写真・動画・位置情報共有など機能も多彩。
エンタープライズ向けに設計された企業用ラックマウントモデルのNAS。ユニスターによるオンサイト・先出しセンドバックなどの保守も。 今求められるIT統制に対応でき、管理(ID貸出、パスワード変更、ログつきあわせ、ID棚卸等)を自動化できる特権ID管理製品。人手作業は利用申請・承認、点検結果確認となる

Active Directory」関連の特集


スマートデバイスの台頭やWindowsXPのサポート切れなど、変化の激しいクライアント環境。IT資産…



「電車の中にノートPCを忘れてしまった!」…これはよくある話です。HDDを丸ごと暗号化して、そんなリ…



今回は、マイクロソフトが描くクロスプラットフォームの世界についてインタビューしました。


Active Directory」関連のセミナー

今さら聞けない! Active Directory入門 【グローバルナレッジネットワーク】  

開催日 4月10日(月)   開催地 東京都   参加費 無料

Active Directory(Active Directory Domain Services)は、ネットワーク上の情報を一元管理するためのシステムです。「…

Office 365を簡単・安全に利用する方法とは 【サイバネットシステム】  

開催日 4月19日(水),5月24日(水),6月21日(水)   開催地 オンラインセミナー   参加費 無料

Office 365の利用が広がる中、どのようにOffice 365の導入を進めていくべきか悩んでいる企業は少なくないようです。従来、企業がOffice 365…

IDaaS OneLoginご紹介セミナー 【サイバネットシステム】  

開催日 4月26日(水),5月31日(水),6月28日(水)   開催地 オンラインセミナー   参加費 無料

Office 365やSalesforce.com、最近ではBoxやSlackなどのクラウドサービスの導入が企業で進んでいます。企業の業務がクラウド中心になるこ…

「PC」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30008198


IT・IT製品TOP > 企業で導入するiPad iPhone Mac > PC > ノートパソコン > ノートパソコンのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ