ニュース
» 2014年03月13日 08時00分 UPDATE

さよならWindows XP、そしてWindows 8.1へ:Windows 8.1とiOSやAndroidも使える情報活用のための機能とは? (1/2)

Windows 8.1から対応した機能では、マルチデバイスによる業務活用を支援するものも注目される。今回は「ワークプレース ジョイン」「ワーク フォルダー」を取り上げてみたい。

[山本雅史,ITmedia]

 今回は、Windows 8.1から新しく追加された「ワークプレース ジョイン」「ワーク フォルダー」という機能を紹介していこう。

win0901.jpg Windows 8.1/Windows Server 2012 R2が持つBYOD機能(Microsoft資料より)

Active Directoryを大幅に拡張するワークプレース ジョイン

 Windowsデバイスの認証システムとして多くの企業や組織ではActive Directory(AD)が利用されている。Windows ServerでADを動かし、クライアントPCやユーザーなどを管理している。ADを利用することで、例えば、クライアントPCのUSBメモリの使用を制限したり、ユーザーが勝手にアプリケーションをインストールしたりできなくさせることができる。

 最近では、Windowsで動作する多くのアプリケーションがADと連係して動作するようになっている。Linux上などでWindowsベースのファイルサーバ機能を提供するSambaなども、ADと連携する。しかし、昨今ではクライアントデバイスがWindowsマシンだけではなくなってきた。例えば、iPhoneやiPad、Androidのスマホやタブレットなど、様々なデバイスが企業で利用されるようになり、企業のイントラネットへのアクセスをどのようにするのかが大きな問題となっている。

 そこで登場したのが、ワークプレース ジョインという機能だ。

 ワークプレース ジョインは、iOSやAndroid、Windows RTなどのデバイスをAD上で認証し、社内システムを利用できるようにするシステムである。Appleが開発したiOS、Googleが開発したAndroidは、MicrosoftのADをサポートしていない。このため、Windows PCのようにADによってドメインを構築し、ユーザー認証などを行うことはできない(Windows RTもドメインをサポートしていないため、iOSやAndroidと同じような扱いになる)。

 そこで、Widnows Server 2012 R2上でADと連携する「Active Directory Federation Service(ADFS)」を使い、iOSやAndroid、Windows RTのデバイスをADで認証できるようにすることで、社内リソースへのアクセスを可能にする。

win0902.jpg ADとADFSにより、様々なデバイスを社内ネットワークへのアクセスを可能にする(同)

 これによって、例えば社内で運用しているWebベースの経費精算システムなどに、iPadからアクセスし、出先から経費精算を申請できる(ワークプレイス ジョインに対応している場合)。また、Windows Server 2012 R2でサポートされたファイルを、複数のデバイスで共有する「ワーク フォルダー(Work Folder)」などを利用できる。

win0903.jpg ワークプレイス ジョインは、ドメイン参加機能を持たない個人デバイスをADに登録する。新しいデバイス クレームという仕組みでシングルサインオンをサポートする(同)

 注意が必要なのは、ワークプレイス ジョインを利用することで、iOSやAndroidデバイスから、社内の業務システムを全て利用できるわけではないという点だ。

 ワークプレイス ジョインは、社内ITへの認証システムとなっているため、Windowsを前提にしたアプリケーションは動かすことができない。Webベースのシステムの場合、iOSやAndroidのWebブラウザで動作する可能は高い。だが業務システムの場合は、適切に動作するか検証が必要になある。特に、画面サイズの小さなスマホからのアクセスは、UIを大幅に変更しないと、使い勝手が悪い。また、iOS、Android、Windows RTなどのデバイスは、ワークプレース ジョインによってADに登録され、認証はできるものの、ADが持つグループポリシーなどの全ての機能が利用できるわけでは無い。

 ワークプレイス ジョインのメリットは、シングルサインオン(SSO)を提供することにある。例えば、社内のITシステムとしてSaaSサービスのOffice 365やWindows Intuneなどのサービスを利用する場合、通常ならばそれぞれのサービスへアクセスするたびに、ユーザーIDやパスワードが必要になる。セキュリティの観点からサービスごとにIDやパスワードが異なっていても、ユーザーの観点からは煩雑で面倒だろう。

 ワークプレイス ジョインの利用でいったんサインインすると、以降は様々なSaaSサービスや社内ITへのアクセス認証が一度に済む。これによりユーザーは、サービスごとにIDやパスワードを入力しなくても、ドメインに登録されているPCと同じような使い勝手でITシステムを利用できる。

 また、ワークプレイス ジョインは、IDとパスワードという認証以外に、複数の認証方式を組み合わせることで、セキュリティレベルを高めている。例えば、ICカードなどのカード認証とID/パスワード認証を利用すれば、不正アクセスのリスクを低減できるといった具合だ。ワークプレイス ジョインがベースとしいる認証システムは、オープンなシステムであり、SalesforceなどMicrosoft以外のSaaSとも連携できる。

 なおワークプレイス ジョインは、Windows 8.1だけでなく、Windows Server 2012 R2のADやADFSが前提となる。また、他社のSaaSサービスとSSOなどで連携するためには、広範囲なIDフェデレーションに関する知識も必要だ。このため、“お手軽に試せる”ほどハードルが低いわけではない。

 ワークプレイス ジョイン自体はWindows 8.1/Windows Server 2012 R2からサポートされたため、今後のOSではより使い易くなっていく可能性が高いだろう。また、ワークプレイス ジョインではADに新しく「デバイス」という項目が追加され、ここに登録されたデバイスが表示されることになる。Windows IntuneやSystem Centerなどを利用すれば、デバイスのセキュリティを高めるMDM(Mobile Device Managerment)をデバイスにインストールすることで、簡単にデバイスのアクセスを制御したり、データを消去するWipe機能などを利用していける。

win0904.jpg ワークプレイス ジョインを利用すれば、iOSやAndroidデバイスでOffice 365、Windows IntuneなどのSaaSサービスにSSOでアクセスできる(同)
       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ