現在、多くのビジネスにとっての最優先課題はユーザー ID の管理です。ユーザーは、社内ネットワーク上の複数のシステムやリソースに、さまざまな種類のデバイスを使用してアクセスする必要があります。しかし、こうしたシステムの多くは相互に通信しないため、1 人のユーザーが複数の ID を使用することも珍しくはありません。その結果、このような余分な ID の管理により、複雑さが増し、時間が浪費され、エラーによるセキュリティのリスクが増加します。

マイクロソフトの ID とアクセスのソリューションは、組織がユーザー ID とその ID に関連するアクセス特権を管理するのに役立つように設計された、一連のプラットフォーム テクノロジと製品です。これらのソリューションは、セキュリティと使いやすさに重点が置かれ、ビジネスの生産性を高め、IT コストを削減し、ID とアクセス管理の複雑さを緩和するのに役立ちます。マイクロソフトの ID とアクセスのソリューションは、次の 5 つの異なる分野に分類されます。

Windows Server 2008 では、いくつかの新機能や新しいテクノロジによってマイクロソフトの ID とアクセスの基盤が拡張され、組織の運用効率の向上、コンプライアンスの簡素化、セキュリティの強化に役立ちます。

ディレクトリ サービスの新機能
強力な認証の新機能
情報保護の新機能

読み取り専用ドメイン コントローラ
Windows Server 2008 の Active Directory ドメイン サービス (AD DS) の最も重要な新機能の 1 つが読み取り専用ドメイン コントローラ (RODC) です。RODC を使用すれば、ドメイン データベースの読み取り専用のレプリカをホストするドメイン コントローラを容易に展開できます。RODC は、ドメイン コントローラのセキュリティを物理的に保証できない場所、ネットワーク接続が生産性に悪影響を与える場所、またはドメイン コントローラで他のアプリケーションを実行し、そのアプリケーションをサーバー管理者 (理想的には、Domain Admins グループのメンバ以外) がメンテナンスする必要がある場所に適しています。これらすべては、ブランチ オフィス展開の一般的なシナリオです。

RODC では、書き込み可能なドメイン コントローラと同じオブジェクトと属性を保持します。ただし、ローカルな変更は RODC レプリカ自体に反映されることはありません。このような変更は書き込み可能なドメイン コントローラで行われ、その後その変更が複製されて RODC に戻されます。これにより、ブランチ オフィスで行われた変更がレプリケーションにより AD フォレストに悪影響を与えたり、破損したりするのを防ぎます。

管理者は、ユーザーの資格情報を格納 (キャッシュ) するように、RODC を明確に構成することもできます。ユーザーが RODC に対して初めて認証を試みるときに、RODC はその要求を書き込み可能なドメイン コントローラに転送します。認証が正しく行われると、RODC はユーザーの資格情報のコピーも要求します。資格情報を RODC にコピーおよびキャッシュできるかどうかは、Password Replication ポリシーで指定されています。資格情報がキャッシュされ、ユーザーが次回ログオンを試みると、その後レプリケーションによって資格情報の変更が通知されるまでは、その要求に対して RODC から直接サービスが提供されます。資格情報をキャッシュすることにより、広域ネットワーク (WAN) の待機時間や、ブランチ オフィスで頻繁に発生するネットワーク接続の問題による影響が緩和され、エンド ユーザーの生産性が向上する可能性があります。AD DS では、RODC に格納されたすべての資格情報の一覧も管理します。そのため、RODC が侵害された場合には、RODC に格納されたすべてのユーザーの資格情報のパスワードを管理者が強制的にリセットできます。

RODC には権限の昇格を委任する機能があります。この機能では、ブランチ オフィスの管理権限のないユーザーにインストールと管理を委任することができます。ブランチ オフィスのユーザーは、管理者が事前に作成している RODC にサーバーをアタッチすることで、インストールを完了することができます。この機能により、ブランチ オフィスのドメイン コントローラ用にステージング サイトを使用したり、ブランチ オフィスにインストール メディアを送付したり、ブランチ オフィスに管理者を出張させる必要性が少なくなります。

Active Directory フェデレーション サービス
Active Directory フェデレーション サービス (ADFS) は、Windows Server 2008 オペレーティング システムのサーバー役割の 1 つです。ADFS を使用すると、Windows 環境であるかどうかを問わず複数のプラットフォームで運用できる、拡張性が高く、インターネット規模でスケーラビリティのある、セキュリティが確保された ID アクセス ソリューションを作成できます。ADFS にポリシーをインポートまたはエクスポートする機能が含まれるようになったことで、フェデレーション パートナー間での信頼関係の設定が容易になります。フェデレーション パートナーのユーザーに Windows SharePoint Services (WSS) や Rights Management Services (RMS) への役割ベースの認証を許可するメンバーシップ プロバイダが追加されました。そのため、管理者はグループ ポリシーを使って、フェデレーション サービスの展開を制限できるようになりました。また、証明書失効チェックのさまざまな設定に対するサポートも提供されます。

ディレクトリ サービスの監査
管理者は、監査ポリシーの新しいサブカテゴリ "ディレクトリ サービスの変更" を使用して、きめ細かく監査できるようになりました。"ディレクトリ サービスの変更" 監査ポリシーでは、ディレクトリ サービスのオブジェクトまたは属性に行われた変更前と変更後の値を取得できます。管理者は、変更を行ったユーザー、変更が行われた時点、変更されたオブジェクトまたは属性、変更開始および終了時の値を正確に把握できます。ディレクトリ サービスの監査は、Windows イベント ログでキャプチャされ、Microsoft Operations Manager やその他のサードパーティ ツールを使用して、統合または使用できます。詳細レベルでログ記録を行うことで、ディレクトリ サービスの変更管理での追跡が容易になり、組織による規制への準拠を強化できます。

Server Core の役割
AD DS と Active Directory Lightweight Directory Services (AD LDS) は、Windows Server 2008 の Server Core インストールでサポートされる役割です。Server Core は、特定の役割ベースのサービスに理想的なメンテナンスの少ない環境を作成する新しいインストール オプションです。Server Core は、管理とサービスの要件を削減しながら、Windows Server 2008 のインストールの攻撃を受けやすい面を制限するように設計されています。

詳細については、「Server Core」(英語) を参照してください。

サービスベースの AD DS
Windows Server 2008 では、AD DS はサービスベースです。つまり、AD DS は、Microsoft 管理コンソール (MMC) スナップインまたはコマンド ラインから停止や開始ができるようになりました。サービスベースの AD DS では、オフラインの最適化や Authoritative Restore などのオフライン操作の実行に必要な時間を削減することで、管理を容易にします。また、AD DS のメンテナンス中でもドメイン コントローラで実行中の他のサービスをアクティブ状態のままにすることで、サービスの可用性も向上します。停止したドメイン コントローラに明確にバインドされているクライアントは、探索機能を使用して、別のドメイン コントローラに簡単にアクセスできるようになります。

AD DS Snapshot Viewer
Snapshot Viewer では、AD DS のスナップショット (時間の経過と共に取得) でオブジェクトに関する情報を公開することで、不注意で削除されてしまったオブジェクトを特定できるようにします。これらのスナップショットは、ディレクトリ サービスを復元モードで開始しなくても、ドメイン コントローラで表示できます。異なるスナップショットに示されるオブジェクトのさまざまな状態を比較することで、削除されたオブジェクトの復元に使用する AD DS バックアップを容易に決定することができます。

きめ細かなパスワードとアカウントのロックアウト ポリシー : きめ細かなパスワード ポリシーを使用して、1 つのドメイン内のユーザーの異なるグループに、複数のパスワード ポリシーを指定し、異なるパスワード制限やアカウントのロックアウト ポリシーを適用することができます。

メディアからのインストール
メディアからのインストール (IFM) オプションを使用して、既存のドメインに新たなドメイン コントローラをインストールする際のレプリケーション トラフィックを最小限に抑えることができます。

ページのトップへ

Cryptography API
Next Generation: Cryptography API: Next Generation (CNG) は、国家安全保障局の Suite B プロトコル勧告を実装する、まったく新たなインフラストラクチャ アプリケーション プログラミング インターフェイス (API) です。Active Directory 証明書サービス (AD CS) では、暗号化が必要な場合に CNG を利用します。CNG は、以前のバージョンの Windows の CryptoAPI を長期にわたって置き換えるものです。

AD CS では、従来の暗号化アルゴリズムが証明書サービス プロバイダ (CSP) を通じてサポートされると同時に、楕円曲線暗号 (ECC) などの新たな暗号化アルゴリズムが CNG キー プロバイダを通じてサポートされます。CNG 特有の機能の 1 つとして、組織が必要に応じてカスタム暗号化アルゴリズムを利用できる機能があります。

きめ細かな管理モデル
AD CS では、証明書を登録できるユーザー、そのユーザーが登録できる証明書、証明書を発行できるユーザーなど、きめ細かい制御を行える新しいセキュリティ機能を採用しています。こうした管理機能では、AD DS のセキュリティ グループが登録エージェントや証明書マネージャの管理作業に統合されます。

V3 証明書テンプレート
AD CS では、以前のバージョンの Windows の V1 および V2 証明書テンプレートが V3 証明書テンプレートに置き換わります。V3 証明書テンプレートでは、Windows Server 2008 の最新の CNG 暗号化アルゴリズムがサポートされます。V3 証明書テンプレートでは、ドメイン コントローラのクライアント検証にセキュリティが強化された方法が用意され、クライアントとサーバー間の AD CS 関連の通信を暗号化できます。

公開キー基盤 (PKI) のエンタープライズ規模の管理
Windows Server 2008 では、AD CS をインストールすると、Windows Server 2003 Resource Kit の一部として利用できた PKIView が MMC スナップインとして含まれるようになりました。

PKIView では、証明機関 (CA) の管理に不可欠な機能を 1 つの管理インターフェイスに組み込むことで、企業の PKI の管理が容易になります。この統合ビューでは、Unicode 文字のサポートにより世界規模のサポートが提供されるため、地理的な境界が取り除かれます。管理者には、この統合インターフェイスにより以下の機能が提供されます。

最新標準のサポート
Windows Server 2008 の AD CS では、Online Certificate Status Protocol (OCSP)、Issuing Distribution Point Extension (IDP CRL)、Simple Certificate Enrollment Protocol (SCEP) などの最新標準に対するサポートが導入されます。

ページのトップへ

統合コラボレーション
Windows Server 2008 では、完全に統合された Federated Rights Management Services ソリューションを提供します。この統合では、Active Directory フェデレーション サービス (AD FS) の側面と、Active Directory Rights Management Services (AD RMS) の側面を組み合わせ、展開が容易な外部コラボレーション フレームワークを提供します。

Windows Server 2008 以前は、権利が保護されたコラボレーションを外部組織と行う際に、外部ユーザーが使用する資格情報の二次的なセットを IT 管理者が管理する必要がありました。これは、通常、ドメイン アカウントや、一種の Passport 統合の形式でした。AD RMS と AD FS との機能統合により、組織内の保護されたコンテンツにアクセスを試みる外部ユーザーは、そのユーザーのホーム領域 (“ドメイン コントローラ”) で内部的に認証されます。そのため、資格情報の余分なセットを管理する必要がなくなります。

このような外部ユーザーがいったん認証されると、AD RMS ポリシーが適用され、組織内の保護されたコンテンツを扱うための適切なコンテンツ ライセンスが AD RMS から外部ユーザーに自動的に提供されます。管理者は、こうした外部ユーザーが組織のコンテンツにアクセスする方法を細かく制御でき、複数のパートナー関係に適用するテンプレートを定義することもできます。Windows Server 2008 の Federated Rights Management Services は、既存の Microsoft Office SharePoint Server 2007 展開と完全に互換性があり、ダウンレベルの AD RMS クライアントを完全にサポートします。

一般的な管理テーマ
AD RMS が、より使い慣れた管理フレームワークに移行されます。以前の AD RMS の Web ベースの管理インターフェイスは、MMC スナップインに移行します。また、AD RMS の管理は、必須、推奨、および省略可能なタスクへのクイック リンクを提供するタスク指向のインターフェイスを備えた、より規範的なものになります。管理者は、4 つの新しいセキュリティ グループを使用して、AD RMS の管理タスクを特定のユーザーやグループに委任できます。

Windows BitLocker ドライブ暗号化
Windows BitLocker ドライブ暗号化は、クライアント コンピュータ向けには Windows Vista Enterprise と Windows Vista Ultimate で、サーバー向けにはすべてのエディションの Windows Server 2008 で使用できるデータ保護機能です。Windows BitLocker ドライブ暗号化は、マイクロソフトが提供する新機能で、実際に起こり得るデータ盗難の脅威や、PC ハードウェアの紛失、盗難、不適切な廃棄に伴う危険性に対処します。

Windows BitLocker ドライブ暗号化では、悪意のあるユーザーが他のオペレーティング システムを起動したり、ソフトウェア ハッキング ツールを実行して、Windows Server 2008 のファイル保護やシステム保護を解除することや、保護されたドライブに格納されたファイルをオフラインで表示することを防ぎます。この機能は、トラステッド プラットフォーム モジュール (TPM) 1.2 を適切に使用してデータを保護し、システムがオフラインのときに、Windows Server 2008 を実行するコンピュータが改ざんされないようにすることができます。Windows BitLocker ドライブ暗号化では、ドライブの完全な暗号化と初期ブート コンポーネントの整合性チェックという 2 つの主要サブ機能を併用して、データ保護を強化します。

詳細については、「Windows Bitlocker ドライブ暗号化」を参照してください。

ページのトップへ