Active Directory レポートによるアカウント棚卸し

Active Directory レポートとは？

Active Directory レポート（Reports）とは、Active Directoryで管理しているオブジェクトを可視化するレポートのことです。Active Directory はユーザー、コンピューター、グループ、OU、グループポリシーなど多くのオブジェクトの情報を保持していますが、これらを可視化するためには、PowerShell等を用いて、レポートを出力する必要があります。IT管理者の多岐にわたる業務の中で、定期的にレポートを出力するのは手間がかかります。またレポートはフィルターリングや列のカスタマイズなど、時と場合に応じて情報を取捨選択できる柔軟性も必須です。

レポートとして可視化しないと...

Active Directoryのユーザーアカウントは、企業のポリシーや社員の働き方によって、様々な形態で存在しているかと思います。例えば、一時的に作成される派遣社員のユーザーアカウントや、休職中のユーザーアカウントなどが挙げられます。またIT管理者のヒューマンエラーによって、パスワードの有効期限がないユーザーアカウントを作成する可能性や、本来与えられるべきではないアカウントにドメイン管理者権限を付与する可能性なども考えられます。このような状況を放置することで、セキュリティリスクが大幅に高まります。 このようなセキュリティリスクを未然に防止するために、定期的にActive Directory レポートとして可視化し、アカウント棚卸しを実施することが重要です。

Active Directoryレポートでアカウント棚卸しも簡単

Active Directoryのアカウント棚卸しは、現在の利用環境を可視化し、不要なアカウントの洗い出しなど、セキュリティリスクを未然に防ぐために重要です。棚卸しを実施するためにはActive Directory レポートによる可視化が最適ですが、定期的にレポート出力するのは手間がかかります。

Endpoint Centralでは、企業で利用されているActive Directoryと連携し、ユーザー/コンピューター/グループ/OU/GPOなど、Active Directoryに存在する多様なオブジェクトを自動で抽出し、ワンクリックで簡単にレポートとして出力・可視化できます。またスケジュール設定を行うことで、定期的にActive Directoryと情報同期し、最新情報を可視化できます。

PowerShellやスクリプトではなく、GUIベースでレポート出力可能なため、ITスキルや専門知識も不要です。また、Endpoint CentralのActive Directory レポートはフィルターリングや列のカスタマイズなど、時と場合に応じて情報を取捨選択できる柔軟性もあります。

たった2ステップでできる！　Active Directory レポートの作成手順

1. ドメインの追加

【ドメイン追加の設定画面】

2. 「同期する」ボタンをクリックする

【Active Direcotry レポート作成画面】

Endpoint Centralで作成できるActive Directory レポート一覧

ユーザーレポート

Active Directoryのユーザーオブジェクトに関するレポートを提供します。Endpoint Centralは標準で以下のユーザーレポートをサポートしています。

• すべてのユーザーアカウント​
• 最近作成されたユーザーアカウント
• 最近変更されたユーザーアカウント
• ログインスクリプトなしのユーザーアカウント
• 複数のグループのユーザーアカウント
• 有効期限のないユーザーアカウント
• 有効なユーザーアカウント
• 非アクティブなユーザーアカウント
• 無効なユーザーアカウント
• 期限切れのユーザーアカウント
• パスワードの有効期限がもうすぐ切れるアカウント
• パスワードの有効期限が切れたユーザーアカウント
• パスワードに期限がないユーザー
• パスワードが変更できないユーザーアカウント
• ドメイン管理者のユーザーアカウント
• ダイヤルインアクセス権を持ったユーザーアカウント
• 未使用のユーザーアカウント
• 最近ログインされたユーザーアカウント
• 最後のログインが失敗したユーザーアカウント

【ユーザーレポート一覧画面からすべてのユーザーアカウント一覧画面の画面遷移】

コンピューターレポート

Active Directoryのコンピューターオブジェクトに関するレポートを提供します。Endpoint Centralは標準で以下のコンピューターレポートをサポートしています。

• すべてのコンピューター​
• Windowsワークステーション
• 最近追加されたコンピューター
• 最近ログインしたコンピューター
• 最近変更されたコンピューターアカウント
• 無効なコンピューターアカウント
• OUごとのコンピューターアカウント
• Windowsサーバー
• メンバーサーバー
• ドメインコントローラー
• OSのサービスパックごとのコンピューター

グループレポート

Active Directoryのグループオブジェクトに関するレポートを提供します。Endpoint Centralは標準で以下のグループレポートをサポートしています。

• すべてのグループ
• 最近作成されたグループ
• 最近変更されたグループ
• OUごとのグループ
• セキュリティグループ
• 配布グループ
• ネストしたグループ
• メンバー詳細付きのグループ
• 最大メンバー数に達しているグループ
• メンバーのいないグループ
• ユーザーのみのグループ
• コンピューターのみのグループ

OUレポート

Active DirectoryのOUのオブジェクトに関するレポートを提供します。Endpoint Centralは標準で以下のOUレポートをサポートしています。

• すべてのOU
• 最近作成されたOU
• 最近変更されたOU
• 子の詳細付きOU
• 子がいないOU
• ユーザーのみで設定されたOU
• コンピューターのみで設定されたOU
• ネストしたOU

ドメインレポート

ドメインコントローラーやディレクトリインフォメーションツリーの詳細、メンバーサーバーなどのドメインに関するレポートを提供します。Endpoint Centralは標準で以下のドメインレポートをサポートしています。

• Active Directory上のサイト
• Active Directoryのドメイン
• Active Directory上のプリンター
• グループポリシーの作成者
• 「ユーザー」コンテナのユーザー
• 「ユーザー」コンテナのグループ
• 「コンピューター」コンテナ内のコンピューター
• 「組込み」コンテナのグループ

GPOレポート

GPOの作成、編集、リンクなどのGPOに関するレポートを提供します。Endpoint Centralはデフォルトで以下のGPOレポートをサポートしています。

• すべてのGPO
• 最近作成されたGPO
• 最近変更されたGPO
• OUごとのGPO
• OUにリンクされたGPO
• ドメインにリンクされたGPO
• サイトにリンクされたGPO
• 「組込み」コンテナのグループ
• GPO継承がブロックされているOU
• GPO継承がブロックされているドメイン
• 強制されたGPO
• ユーザー設定が有効なGPO
• サイトにリンクされたGPO
• コンピューター設定が有効なGPO
• ユーザーおよびコンピューター設定が有効なGPO
• 無効なGPO
• 未使用のGPO
• コンピューター設定の変更頻度が高いGPO
• ユーザー設定の変更頻度が高いGPO
• ユーザーおよびコンピューター設定の変更頻度が高いGPO