マイクロアドで社内SEをしています高橋です。
今回はマイクロアドがPCログインをActiveDirectryユーザーを利用した方法からGoogleWorkspaceのアカウントを利用した方法に切り替えているお話をします。

従来のアカウント管理

マイクロアドではWindowsを利用する事が多かったため、ローカルのWindowsServerを利用してActiveDirectryを構築し、PCへログインするアカウントの管理をしていました。

何故ログインアカウントを切り替えることになったのか

最初はPCのログインや様々なアプリ、サイトへのログインに使うアカウントを統一したいという事から始まりました。 OneLoginやAzureAD等が候補に上がり、AzureADの方はPCの管理も同時に行えるIntune等も使えば色々と出来るなと思い検証を行っていたのですが、ちょうどその頃にG-suiteがサービスをGoogleWorkspaceへ名称変更する事とそれに伴い各プランの見直しをする事が発表されました。

弊社はG-suite BusinessStanderdを利用していたのですが、GoogleWorkspaceでは新たにアカウント数によるプランの制限も入ってしまったため、利用している機能を維持したままプラン変更となるとEnterprise版への変更になってしまい、コストアップすることが確定しました。 コスト的に出来る限り他のサービスを導入せずに管理する方法を検討することになりました。

GoogleWorkspaceの機能

GoogleWorkspaceにはGoogle Credential Provider for Windows (GCPW)というGoogleのアカウントでWindowsPCにログイン出来る機能があります。

以前は使用するためにWindowsのレジストリの設定をいじる必要があったので、あまり注目をしていなかったのですが、アップデートにより、管理コンソールからインストールファイルをダウンロードして、対象のPCにインストールするだけ*1で使えるようになり、とても使いやすくなりました。

Macに関しては、GoogleWorkspaceの機能では管理することは難しかったので、デバイス管理やセキュリティ対策も兼ねてJamfを導入することにしました。JamfConnectという機能を利用することにより、Googleのアカウントでログイン出来るようにしました。

変更して良かったこと

弊社はリモートワークも推奨しているのですが、今まではActiveDirectryの都合上、PCへの初回ログイン時や、パスワードを変更する場合に社内のネットワークに接続している必要があったのですが、社外のネットワークでも行えるようになりました。

またGoogleWorkspaceのアカウントを2 段階認証プロセスを必須にすることにより、PCへのログインに関しても必然的に2段階認証に出来るため、より強固に出来ます。

現在は、まだ全台Googleへのログインへの切り替えを行えてはいないのですが、今後ユーザのPCを変更していく度に切り替えていく予定です。