/* */

Office365(とAzure)って美味しいの?

美味しいの? シリーズ第四弾。
田中(゜p゜)がなまくら刀で今アツい? Office365に切り込んでいきます。

いつものように最初に結論から。
Office365(とAzure)って、ITインフラエンジニアにとって美味しいの? ということですが、

Microsoftは明らかにOffice365(とAzure)にサービス寄せたがってるし、やっといて損はないんじゃね?

と田中(゜p゜)は思ってます。

O365について

コレですが、オンラインでライセンス確認、ソフトウェアのアップデートができるという点が、明らかにMicrosft側にも企業側にもメリットがあります。
安っぽい言葉で言えば Win-Winの関係

企業側にとって必要悪であったライセンスの棚卸しと、ソフトウェアのアップデートの問題が解決し、Microsoftからしても、違法ライセンスの排除が図れるというイカしたしくみ。
しかもMicrosoftにとっても、企業にとってもの主力商品であるOfficeですから、

正直、田中(゜p゜)はオンライン上の機能とかにはあんまり着目してねーのですが、ライセンスのランクによっては、容量無制限になるので、ファイルサーバの代わりに使えば、ファイルサーバの維持コストが大きく削減できる可能性があります。

ファイルサーバって、容量たくさん必要なので、ハードウェアとしてのストレージたくさん必要で、お金かかるんですよね。

ただ、これはAD同等の権限をO365側に持ってくるのが今はまだ難しく、そこを補完するミドルウェアがたくさん出てるような状況です。
これがキレイにO365側に統合されるようなことになれば、更に優位性が向上するんじゃないかな、と思います。

Azureについて

正直、田中(゜p゜)はパブリッククラウド単体のサービスで見た時のAzureはあんま好きじゃないです。安定性は増してきたけど、遅いし、ユーザビリティも良くないし、PowerShellで管理できる範囲も限られてるし。(REST APIまでは見てないけど、もっと色々なことができるのかな?)

それと、O365を最初にいじってみた時は、なんでAzureADなんかを噛ませなきゃいけないんだろうな、と思ってましたが、最近なんとなくMicrosoftの意図が分かりはじめました。
Office365っつうコアなサービスをわざわざAzureADに紐付けようとしてるのは、理由があるんじゃないか、と田中(゜p゜)は思ったのです。

Azure ADって何?

ADとAzureADは全くの別物です。前者はLAN前提+NTLM認証のサービスなのに対し、後者はインターネット+SAMLベースのサービスです。どっちかというとADというよりADFSのインターネットサービス版、みたいな。
AzureADでWindows10の認証を通しておけば、SAML連携しているインターネット上のサーバ達にもシングルサインオンできる仕組み。

つまるところMicrosoftは今までのLAN前提のインフラ構成を、インターネットベースにしようとしてんだな、と。

そうなると、認証はSAMLでいいとしても、ADの強みの一つであったポリシー管理はどうなるのかな、と思いましたが、やはりMicrosoft Intune つうのを用意してやがりました。

サラッといじってみたところ、現段階ではADのポリシーのようなきめ細やかな制御は難しいようですが、カスタムしてレジストリもいじれるようになってるし、インターフェイスとして組み込まれるのも時間の問題かな、という気がします。

あとちょっと気軽に使うにはコストが高い気がしますが、ADとファイルサーバとLANを廃して、浮いたコストをIntuneのライセンス費に当てれば、余裕でペイできそうな気がします。

うーん。
この提案、やってみたい。

企業のネットワークアクセスパターンでも書いたように田中(゜p゜)はクラウド使うためにLANに入らなければいけないのはナンセンスだと思ってて、End To Endの認証が基本だと思ってるんですが、AzureADとIntuneの組み合わせであれば認証もPCのポリシー管理もいけちゃうよね、などと思ってます。

とは言いつつも、Azure ADの権限管理も、Intuneのポリシー管理も、まだまだADに追いついてないようなので、既にADの資産を山ほど築いてる企業に取っては移行の敷居が高いのだとは思いますが、ワクワクするようなソリューションだな、とは思いました。

まとめ

  • Office365の利点は、企業のライセンス管理コスト、アップグレードコストを削減できること。
  • MicrosoftはAzure AD(+Intune?)を、インターネット上のADとして展開するつもり
  • Azure ADがキレイに実装されれば、ユーザはLANの呪縛から開放される。かもしれない。