>
>
公開日
※本記事は、オンプレミスAD設計・Entra ID移行支援・ゼロトラスト導入などを手がけるIT基盤領域の実務経験をもとに、情報システム担当者・ひとり情シス向けに執筆・監修しています。
ユーザー管理やPC制御をどこまで自動化できるのか、Microsoft Entra IDと何が違うのかは、Active Directoryを検討するうえでよく浮かぶ疑問です。Active Directoryは、企業のITインフラを支える認証基盤ですが、2026年現在はオンプレミスADだけで完結する設計は少なくなっています。
この記事は、PCが10台を超え始めた企業、50〜300名規模でひとり情シスに悩む企業、300名超でゼロトラストやクラウド移行を検討する情シス・経営層向けに、ADの機能、メリット、注意点、移行判断を実務目線で整理します。

Active Directoryとは
本記事のポイント
Active Directoryは、ユーザー、PC、グループ、権限を一元管理する社内ID基盤です。
単にADと呼ぶ場合、通常はオンプレミスのWindows Server Active Directoryを指します。
Azure Active Directoryは2023年7月に名称変更が発表され、同年10月〜11月にかけてMicrosoft Entra IDへの移行が完了し、2026年現在はクラウドID管理の標準的な呼称になっています。
PC台数が10台以上、またはユーザー数が10名を超える企業では、ADまたはEntra IDによる一元管理を検討する段階です。
Active Directoryとは、Windows Serverに搭載されているIT資産の一元管理システムです。
Microsoftの公式ドキュメントでは、オンプレミスで動作するActive Directory Domain Servicesと、クラウド型ID管理サービスであるMicrosoft Entra IDは別サービスとして整理されています。Azure Active Directoryの名称変更は2023年7月に発表され、10月〜11月にかけて展開が完了しています。詳細はMicrosoft Entraの名称変更に関するMicrosoft Learnでも案内されています。
オンプレADは、ドメインコントローラーと呼ばれるサーバーが中心となり、ユーザーがPCへログオンできるか、ファイルサーバーへアクセスできるか、どの設定をPCに適用するかを判断します。ドメイン、組織単位、ツリー、フォレストといった階層構造を使うため、数十名規模から数千名規模まで同じ考え方で管理できます。
クラウドID管理の標準となったMicrosoft Entra IDの基本機能や具体的な導入事例については、こちらの記事で詳しく解説しています。
Active Directoryでできることと基本機能
アカウントや端末制御などIT資産の一元管理がADの核心機能です。
Active Directoryの主要な機能として、「ユーザー管理」「グループポリシーによるPC制御」「認証・認可」が挙げられます。入社時にアカウントを作成し、所属部署に応じた権限を付与し、退職時に無効化する流れを集中管理できます。
ユーザー管理
管理者はユーザーアカウント、グループ、コンピューターをAD上で作成・変更・削除できます。人事異動が多い企業では、部門別グループにアクセス権を付ける運用にすると、個人ごとの権限変更を減らせます。
グループポリシー
グループポリシーは、パスワード長、画面ロック時間、USB利用制限、プリンター設定、ソフトウェア配布などをPCへ一括適用する仕組みです。Windows PCを社内LANでまとめて統制する用途では、現在も強力な機能です。
認証・認可
ADはKerberosやNTLMを使い、ユーザー本人かどうかを認証します。そのうえで、ファイルサーバーや業務システムに対してアクセス権があるかを確認します。
オンプレADとEntra ID+Intuneの機能比較
比較項目 | オンプレミスActive Directory | Microsoft Entra ID+Intune |
|---|---|---|
主な用途 | 社内LAN上のWindows PC、ファイルサーバー、レガシー業務システムの管理 | クラウドサービス、SaaS、社外端末、モバイル端末のID・端末管理 |
認証プロトコル | Kerberos、NTLM | SAML、OpenID Connect、OAuth、FIDO2 |
端末制御 | グループポリシー | MDM、Microsoft Intune、コンプライアンスポリシー |
PC参加方式 | ドメイン参加 | Entra参加、ハイブリッドEntra参加 |
SSOの対象 | 主に社内Windows環境 | Microsoft 365、SaaS、クラウドアプリ |
相性がよい働き方 | 出社中心、社内LAN中心 | テレワーク、ハイブリッドワーク、VPNレス運用 |
ディレクトリサービスで併用されるLDAPの仕組みとActive Directoryとの具体的な違いについて、こちらの記事で分かりやすく解説しています。
▲ Active DirectoryによるIT資産一元管理と認証・認可の仕組み
▲ オンプレミスActive DirectoryとMicrosoft Entra IDの機能・特徴比較
Active Directoryを利用するメリット
Active Directoryの最大のメリットは、アカウント管理と端末設定を一元化し、情シスの手作業と権限ミスを減らせる点です。
PC10台・ユーザー10名を超えると効果が出やすい
PC台数が10台以上、またはユーザー数が10名を超える規模になれば、ADによる一元管理の削減効果が見えやすくなります。例えば、ローカルPCごとのパスワード変更、共有フォルダー権限の確認、退職者アカウント停止に1人あたり月10分かかる場合、50名では月約8.3時間の作業になります。ADでグループ単位に集約すれば、この工数を棚卸しと例外対応に絞れます。
セキュリティ監査に必要なログを追跡しやすい
個人情報保護法に基づく安全管理措置や取引先のセキュリティチェックでは、「誰が、いつ、どのPCやサーバーにアクセスしたか」を説明できる状態が求められます。ADではログオン履歴や権限設定を集中管理できるため、監査時の証跡確認がしやすくなります。
シングルサインオンで利用者の負担を減らせる
シングルサインオン(SSO)を使うと、ユーザーは1回の認証で複数の社内システムへアクセスできます。パスワードを付箋やExcelで管理する運用を減らせるため、利便性とセキュリティを同時に改善できます。
組織変更に強い管理基盤を作れる
部門、役職、拠点ごとにグループを作っておけば、新入社員や異動者を該当グループに追加するだけで必要な権限を付与できます。拠点追加や部門統合があっても、PCごとの手作業を避けやすくなります。
手作業によるアカウント管理の工数をさらに削減したい場合は、アカウント管理を自動化するプロビジョニングの仕組みとデプロイとの違いを参考にしてください。
Active Directoryのデメリットと失敗パターン
オンプレミスADは強力な認証基盤ですが、2026年現在では維持コストやテレワークへの対応、攻撃時の影響範囲の大きさ、運用の属人化が課題になりがちです。
サーバー更改と冗長化のコストが重い
ADは最低2台のドメインコントローラーで冗長化する構成が推奨されます。1台構成では、故障や移行作業の失敗がそのまま全社ログオン停止につながります。サーバー本体、Windows Serverライセンス、バックアップ、保守、設置場所を含めると、5年ごとの更改で数十万〜数百万円規模になるケースがあります。
ハイブリッドワークとの相性が悪い
オンプレADに参加したPCは、社内LANまたはVPNに接続していないと、グループポリシーの更新、パスワード変更、証明書配布が想定通りに動かない場合があります。自宅やサテライトオフィスから働く社員が多い企業では、IntuneやEntra IDを併用しないと運用が詰まりやすくなります。
Domain Admins侵害時の全損リスクがある
ADはランサムウェア攻撃者の主要な標的です。IPAの「情報セキュリティ10大脅威 2025」でも、組織向け脅威としてランサム攻撃による被害が上位に挙げられています。Domain Admins権限が奪われると、PC、サーバー、共有フォルダー、バックアップまで一気に掌握され、数千万円〜数億円規模の被害に発展する恐れがあります。
よくある誤解・失敗パターン
Entra IDをオンプレADのクラウド版だと誤解する:Entra IDではGPOやKerberos前提の社内アプリがそのまま動くわけではありません。必要に応じてMicrosoft Entra Domain Servicesやアプリ改修を計画に入れます。
特権アカウントをクラウドへ同期する:Microsoft Entra ConnectでDomain Adminsをそのまま同期すると、オンプレAD侵害がMicrosoft 365侵害へ広がります。オンプレとクラウドの管理者アカウントは分離し、別パスワードとMFAを必須にします。
ドメインコントローラー1台構成のまま移行する:FSMOロール移行、DNS、SID履歴、バックアップを確認せずに降格作業を進めると、認証基盤が停止します。事前にテスト環境と復旧手順を用意します。
オンプレミスADを活かしつつクラウドサービスとの連携を図る手法として、ADFSの仕組みや導入するメリット・デメリットを学ぶことも重要です。
Active Directory導入時の注意点とゼロトラスト対応
ADを導入するだけではセキュリティは完成せず、MFA、条件付きアクセス、特権管理を組み合わせたゼロトラスト運用が必要です。
境界防御だけに依存しない
これまで主流だった「社内ネットワークのユーザーは信頼する」という境界防御の考え方は、VPNアカウントの漏えいや私物端末・SaaS・生成AIの業務利用が広がる現在の環境では限界を迎えています。NISTやIPAが公表するゼロトラストアーキテクチャのガイドライン(例:IPA「ゼロトラスト移行のすゝめ」)でも、誰がどのサービスへアクセスできるかをIDで制御し、機密情報を入力できる範囲を絞る設計が前提として示されています。
MFAと条件付きアクセスを標準にする
Entra IDやOktaなどのクラウドIDサービスと連携し、社外アクセス時は多要素認証を必須にします。さらに、会社支給PC、準拠済み端末、特定国・地域、IPアドレス、リスク検知に応じてアクセス可否を変える条件付きアクセスを使うと、盗まれたID・パスワードだけでは侵入しにくくなります。
バックアップと復旧訓練を定期化する
AD障害では、バックアップが存在しても復旧手順を知らないために長時間停止するケースがあります。システム状態バックアップ、ドメインコントローラーの復元手順、権威復元が必要なケース、DNS復旧を年1回以上テストし、ひとり情シスの退職で手順が消えないように文書化します。
ゼロトラストセキュリティを実現するために欠かせない、クラウド型ID管理サービスであるIDaaSの機能や導入メリットについては、以下の記事で詳しく紹介しています。
「脱オンプレAD」とクラウド移行の最新トレンド
2026年のID管理は、オンプレADの維持だけでなく、Entra IDやIDaaSへ段階移行するハイブリッド設計が主流です。
ITRが公表した「IT投資動向調査」やノークリサーチの中堅・中小企業向けITサービス調査などによると、中堅・中小企業の過半数がID管理にActive Directoryを利用している一方、大企業ではID管理専用ツールの導入が進んでいるとされています。最新の統計については各調査機関の公式レポートをご確認ください。オンプレADは依然として現役ですが、SaaS利用、テレワーク、委託先アカウント管理の増加により、クラウドID管理へ移る企業が増えています。
移行が進む理由
サーバーレス・保守レス化:物理サーバーの更改、UPS、設置場所、夜間障害対応を減らせます。
VPNレス運用:Microsoft 365やSaaSへ、自宅からでも安全に直接アクセスできます。
端末管理のクラウド化:Intuneにより、社外PCにも暗号化、パッチ適用、紛失時ワイプを適用できます。
監査対応:クラウドIDのサインインログ、MFA状況、リスク検知を一元的に確認できます。
ただし、ファイルサーバー、複合機認証、自社開発アプリがKerberosやLDAPに依存している企業では、いきなりADを廃止せず、棚卸し、同期範囲の整理、GPOのIntune移行を段階的に進めます。
オンプレミスADからのクラウド移行を進めるにあたり、Entra ID(旧Azure AD)への具体的な移行対策や機能・料金プランを事前に確認しておきましょう。
実際の企業導入・移行事例
ADの見直しでは、自社と近い働き方やシステム構成の事例を参考にすると、移行方針を決めやすくなります。
企業 | 業種・規模 | 導入時期・公表情報 | 課題 | 施策 | 成果 |
|---|---|---|---|---|---|
オーケー | スーパーマーケット | Okta Workforce Identity導入事例として公表 | 店舗拡大と業務システム増加により、認証管理とID管理が複雑化 | 既存Active DirectoryとOktaを連携し、SSOとMFAを導入 | 認証方式の乱立を解消し、IDライフサイクル管理を自動化することで運用効率向上と属人化抑制を図った |
NTTコミュニケーションズ | 通信・大企業 | 日本マイクロソフトの事例として公表 | ハイブリッドワーク対応と、社内サーバーへの不正アクセス被害を踏まえたゼロトラスト化 | オンプレADからMicrosoft Entra IDへ移行し、セキュアドPC約40,000台をMicrosoft Intuneで管理 | 場所に依存しない安全な業務環境を整備し、端末管理と従業員体験を改善 |
ぐるなび | インターネットサービス | 脱ADロードマップ推進事例として公表 | ハイブリッドワークとSaaS利用の拡大により、オンプレAD運用の専門性とコストがDXの制約に | Microsoft Entra IDへの完全移行ロードマップを策定し、GPOからIntuneへの移行と未使用アカウント整理を推進 | AD廃止に向けた依存関係の可視化が進み、クラウド前提のID管理へ移行中 |
これら3社の事例からは、ADを単純に「残すか捨てるか」の二択で判断していないことがわかります。既存ADを活かす、Entra IDへ完全移行する、GPOをIntuneへ移すなど、業務システムの依存関係に合わせて段階を分けています。
複数システムへのアクセスを円滑にするために、シングルサインオンの仕組みや導入における注意点を事例とあわせて理解しておきましょう。
自社に最適なIT資産管理は?Active Directory導入・移行判断フロー
50名未満はクラウド優先、50〜300名はハイブリッド整理、300名超はIDガバナンスを含む全社移行計画が基本方針です。
規模別の判断目安
企業規模 | 推奨方針 | 判断基準 |
|---|---|---|
50名未満 | Entra ID中心。レガシーシステムがなければオンプレAD新規構築は慎重に判断 | Microsoft 365、SaaS、ノートPC中心ならクラウド管理で足りる場合が多い |
50〜300名 | 既存ADとEntra IDのハイブリッド運用を整理 | ファイルサーバーやGPOを使いながら、MFA、Intune、SSOを段階導入 |
300名超 | Entra IDまたはIDaaSを中核に、特権管理と監査を標準化 | 拠点、委託先、SaaSが増え、手作業のID棚卸しが限界になる |
判断フローチェックリスト
PCまたはユーザーが10未満で、共有フォルダーも少ない場合は、クラウドID管理を優先する。
Windowsファイルサーバー、複合機認証、Kerberos前提アプリがある場合は、AD継続またはハイブリッドを選ぶ。
テレワークが週1日以上ある部署が多い場合は、Entra ID、Intune、MFAを先に整備する。
Domain Adminsが複数人の通常業務アカウントに付いている場合は、移行前に特権分離を実施する。
GPOが100本以上ある場合は、不要ポリシーの削除、Intune移行可否、例外端末を棚卸しする。
移行の標準タイムライン
期間 | 実施内容 | 成果物 |
|---|---|---|
0〜1カ月 | ユーザー、端末、GPO、アプリ、特権アカウントの棚卸し | 依存関係一覧、リスク一覧 |
1〜3カ月 | Entra ID同期、MFA、条件付きアクセスの小規模パイロット | 検証結果、例外ルール |
3〜6カ月 | Intune展開、GPO移行、未使用アカウント削除 | 標準端末ポリシー、運用手順 |
6〜12カ月 | AD依存アプリの改修・代替、ドメインコントローラー削減 | 脱ADロードマップ、復旧計画 |
組織規模の拡大に伴うアクセス権管理の煩雑さを防ぐため、ロールベースアクセス制御であるRBACの設計例とABACとの違いを学んでおくことが推奨されます。
▲ 自社の規模と要件から選ぶ Active Directory・クラウドID管理の導入・移行判断フロー
よくある質問
Q:ADとEntra ID(旧Azure AD)の最大の違いは何ですか?
A:最大の違いは、ADがWindows Server上で動くオンプレミスの認証基盤であるのに対し、Entra IDはクラウド上でSaaSやMicrosoft 365の認証を管理するサービスである点です。ADの中心はKerberosやGPO、Entra IDの中心はSAML、OpenID Connect、MFA、条件付きアクセスです。
Q:ADはWindows以外のPC、例えばMacも管理できますか?
A:MacをADへ参加させることは可能ですが、Windows向けGPOのような細かな制御は限定的です。Macやスマートフォンを本格管理する場合は、Intune、Jamf、MDM製品とEntra IDを組み合わせる設計が現実的です。
Q:AD移行にかかる一般的な期間やコストはどのくらいですか?
A:50〜300名規模なら、棚卸しからパイロット、段階移行まで3〜6カ月が一つの目安です。コストは既存ADの複雑さ、GPO数、レガシーアプリの有無で大きく変わり、外部支援を含めると数十万〜数百万円規模になることがあります。
まとめ
Active Directoryは、社内ユーザーとPCを統制する強力な基盤ですが、2026年現在はEntra ID、Intune、MFA、条件付きアクセスを含めて設計する必要があります。まず着手すべき棚卸しの項目を以下に整理します。
✅ ユーザー数・PC台数を一覧化する
✅ GPO数と適用範囲を確認する
✅ Domain Adminsなど特権アカウントを洗い出す
✅ AD依存アプリ(Kerberos・LDAP利用)をリストアップする
✅ 棚卸し結果をもとに、オンプレAD継続・ハイブリッド運用・完全クラウド移行のいずれが自社に合うかを判断する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。




