技術情報 の記事一覧

執行役員 VP of Engineering 兼技術部長の @hsbt です。週末に少しずつ進めていたゼノブレイド ディフィニティブ エディションをやっとクリアしました。今回は、6/24 に開催した GMO ペパボ EC テックカンファレンスの開催レポートをお届けします。 EC テックカンファレンスの開催について GMO インターネットグループが昨年より開催している GMO Developer Night のイベントの一つとして開催しました。GMO Developer Night は渋谷フクラスにて、継続的に開催予定でしたが COVID-19 の拡大の影響によりリアルイベントとしては中止になり、EC テックカンファレンスも当初は 3 月頃の開催予定が白紙となりました。 今回、GMO Developer Night がオンラインとして開催が再開したため、EC テックカンファレンスもオンラインバージョンとして開催しました。GMO ペパボの EC 事業部がサービス運営しているカラーミーショップでは、新たにリリースしたアプリストア、サービスの可用性の向上、2018 年の情報流出のインシデント以降に体制を改めたセキュリティ対策、デザインやカスタマーリレーションの体制など、毎日幅広く技術・デザインの領域への取り組みを行なっています。今回開催した EC テックカンファレンスではカラーミーショップの毎日の取り組みを紹介する場として、「普段やっていること・考えていること」を中心にコンテンツを用意しました。 発表内容の紹介 カンファレンスの様子は YouTube Live を録画したものが公開されていますが、このエントリではEC事業部チーフテクニカルリードの@kenchanが各セッションの内容を簡単に紹介します。 ポストコロナの商売を支える、カラーミーショップのアーキテクチャのこれから 発表資料: ポストコロナの商売を支えるカラーミーショップのアーキテクチャのこれから / The new architecture of COLORME SHOP in the Post-COVID-19 world - Speaker Deck 最初のセッションでは、私@kenchanがサーバサイドとインフラのアーキテクチャについて現在取り組んでいる課題を紹介しました。 昨今の状況においては、ネットショップの重要性が以前とは比べ物にならないほど高いものになっています。その状況においてもお客様に選ばれるシステムであり続けるためには、システム全体の可用性を今まで以上に向上させなければいけないと考えています。そのために、データベースの耐障害性・可用性の向上、サブシステム単位でのスケーラビリティの向上、そして特定の箇所で発生した障害を広く波及させないためのアーキテクチャの検討を進めています。 大量購入を支える決済トランザクション設計 発表資料: 大量購入を支える 決済トランザクション設計 / EC Payment Transaction Architecture - Speaker Deck 2 番目のセッションでは、EC 事業部テクニカルリードの@tsuchikazuが決済処理を設計するにあたり考慮すべきポイントと、カラーミーショップでの実装を紹介しました。 まず、決済処理のトランザクション設計をするにあたり必要な観点として、CAP 定理と BASE 特性という 2 つを提示しました。そして、それらを踏まえてカラーミーショップで実施している工夫として、トランザクションを細かく分離すること、補償トランザクション、データ突合の 3 つを紹介しました。 インターネット上でサービスを提供する際には、何らかの形で決済処理を設計、実装する必要があることから、Zoom 上での質問も、Twitter 上の反応も盛り上がっていました。 カラーミーショップカートの Angular 事情 発表資料: カラーミーショップカートの Angular 事情 / Angular circumstances of colorme-cart - Speaker Deck 3 番目のセッションは、@ku00_より、AngularJS から Angular へのバージョンアップの取り組みの発表でした。 カラーミーショップの新しいショッピングカートは AngularJS で実装されています。AngularJS はバージョン 2 から Angular をという名称になり、大きな変更が加えられました。今までは AngularJS のまま機能追加を行っていましたが、Angular のより便利な機能を使えなかったり、AngularJS の EOL が近づいてきたこともあり、チームでバージョンアップに取り組んでいます。定期的な勉強会を開くことでチームの技術力の向上を図りながら、Angular の機能を理解するために小さなアプリケーションを開発することで、移行後にもスムーズに機能開発ができるように工夫しています。 カラーミーのデザインについて 発表資料: GMOペパボ ECテックカンファレンス デザイナー登壇資料 - Speaker Deck 4 番目のセッションは、カラーミーショップのシニアデザイナーである@chocolatinaがカラーミーショップのそれぞれのチームにおけるデザイナーの取り組みを紹介しました。 カラーミーショップでは、ユーザーの登録から、そのユーザが私達のサービスを使いながら事業を成長させるところまで、トータルで支援できるようにチームを編成しています。その各フェーズにおいて、デザイナーに求められる役割はスキルは変わってきます。印刷物のビジュアルデザインから、プロダクトのUIデザイン、ユーザテストやインタビューまで、幅広い領域をデザイナーの皆さんがカバーしています。 カラーミーショップと ngx_mruby 2020 発表資料: カラーミーショップと ngx_mruby 2020 - Speaker Deck 休憩後、5 番目のセッションでは@yano3から、カラーミーショップにおける ngx_mruby の活用事例の紹介でした。 カラーミーショップアプリストアで提供されているカラーミーWPオプションは、ショップドメインと同じドメインで WordPress を公開することができます。この機能を実装するにあたり、より汎用的な仕組みとするためのルーティングの部分と、セキュリティ対策の 2 点において ngx_mruby を利用しています。 受注増でも変わらずショップ運営できる、利用者に寄り添い未来に備えるカラーミーショップについて 発表資料: 利用者に寄り添い未来に備えるカラーミーショップ - Speaker Deck 6 番目のセッションでは、サブマネージャの@nyanyamiが CRE チームの取り組みとその実績を紹介しました。 カラーミーショップの CRE(Customer Reliability Engineering)チームでは、ユーザーの課題解決のための技術的な調査や機能開発を行っています。CRE チームを結成しその目的を明確にしたことで、問い合わせ完了までの日数を大幅に改善しました。さらに、提供している機能の中でもよく使われている、重要な機能の改善に力をかけられるように、使われていない機能をユーザーの不利益にならないように工夫しながらクローズしています。 WAF を安全に導入するために取り組んだこと 発表資料: WAFを安全に導入するために取り組んだこと - Speaker Deck 7 番目のセッションでは、@takapi86がカラーミーショップにおける Web Application Firewall(以降 WAF)の導入プロセスを紹介しました。 既に動作しているウェブアプリケーションに対する WAF の導入は、誤検知を如何に減らすかがポイントになります。また、導入後の機能追加に追従して WAF のルールをメンテナンスしていくことも重要です。カラーミーショップへの導入時には、検知ログの収集の仕組みを構築し、除外ルールをコードで管理することで、これらの課題を解決しました。 デザインもドメインも違うサイト上でのプレビュー機能をフロントエンドのみで実現したらユーザーもエンジニアもハッピーになった話 発表資料: デザインもドメインも違うサイト上のプレビュー機能をフロントエンドのみで実現したらユーザーもエンジニアもハッピーになった話 / How to preview on cross domain - Speaker Deck 最後のセッションは、@MITLicenseからのプレビュー機能の実装における工夫の紹介でした。 カラーミーショップアプリストアでは、ユーザーが閲覧する「アプリストア」と、開発者がアプリストアに表示する情報を登録する「ディベロッパーサイト」を別のアプリ、ドメインで運用しています。そのため、開発者がアプリストア上でどのように表示されるかを確認するために、ディベロッパーサイト上でプレビューを実装する必要がありました。この問題に対して、利便性とセキュリティの両面から検討を行い、window.postMessageと iframe を利用した方式で実装しました。 ZoomウェビナーでのQA 事前に登録してくださった方にはZoomウェビナーのURLをお送りしており、当日はQA機能を使って質問を受け付けていました。本記事の最後に、そこで寄せられた質問とその回答を紹介します。 また、ハッシュタグ#GMOdev で寄せられた質問にもいくつか答えておりますのでこちらもご覧ください。 Q1. 分離環境についてすでにコンテナ環境の導入が進められているということでしたが、クラスタの分離というのは kubernetes 上でのクラスタの分離ということでしょうか？ 現時点では、あくまでも論理的に分割しようというところまでで、技術的にそれをどうやって実現するかについては、まさに今検討しているところです。 Q2. 決済部分でAPIを使われるのですか。 購入ボタンを押して完了画面を表示するまでの間の決済トランザクションのタイミングで、決済代行会社へのリクエストをしています。 Q3. リトライが可能かつ、多重決済をおこさないために行っている具体的な工夫をぜひ知りたいです。いくつかチェックポイントを持った段階的なトランザクションのようですが、ロールバック不可能なタイミングなどはあるのでしょうか？また、リカバリーが困難な失敗したとき（ロックをロールバックすると危険な状態担った時）に、カスタマサポートへうまくエスカレーションする工夫はされていますか？ リトライが可能かつ、多重決済をおこさないために行っている具体的な工夫をぜひ知りたいです。 そのトランザクション用に、一意のIDを予め発行して、そのIDで決済APIを実行することにしています。仮に2度決済APIを実行したとしても、IDが重複してエラーになる。という形で、多重決済は防げています。 いくつかチェックポイントを持った段階的なトランザクションのようですが、ロールバック不可能なタイミングなどはあるのでしょうか？ いつでもロールバックは可能で、ある程度進んだら、もう戻らない。という形にしています。ロールバック不可能という意味だと、ロールバックのタイミングで障害が起きている場合があって、そのときはリトライでカバーという形です。 また、リカバリーが困難な失敗したとき（ロックをロールバックすると危険な状態担った時）に、カスタマサポートへうまくエスカレーションする工夫はされていますか？ リカバリに失敗した場合は、slackに全部流れるようになっていまして、大量に失敗した場合など異常事態が発生したら、弊社のエスカレのフローによって、CSへもエスカレーションするようになっています（エスカレもslack上で全部やっていきます） Q4. 「ユーザーの操作ログ」みたいなリプレイをするためのログはとられていますか？ 購入者の操作についてだと、APIへのアクセスログで操作の流れはわかる場合があります。しかし、操作を再現することを目的としたログは取得していません。ただし、社内向けの環境や、別途特定のブラウザに対してデバッグが必要な場合など、本番環境に影響を与えないように操作ログを取得する場合はあります。 Q5. そもそもAngularを採用した理由を聞きたいです。 カート開発当初にAngularJSを採用した理由について回答します。 プロジェクト開始当初（2014年10月頃）はBackbone.jsのような一世代前のライブラリか、その時の話題になっているAngularJSかの選択肢がありました。ReactやVue.jSはそもそも選択肢になかったので、カート画面の主な機能であるフォームのデータバインディングに最も適したフレームワークという点からAngularJSを選択しました。 Q6. iframeをつかったプレビューについて、iframe name + form target ではなく、postMessageをつかった理由はなにかありますか？また、Origin以外にトークン的なものをなげたりはしていますか？最後に、画像などは都度実際に保存していますか？それは保存時に正式な場所に移動したりしていますか？ iframeをつかったプレビューについて、iframe name + form target ではなく、postMessageをつかった理由はなにかありますか？ ご提案していただいた実装が候補に上がらなかった理由の一つとして、アプリストアは Vue.js (Nuxt) のアプリケーションなので、 form target による実装では POST のメッセージを受け取るために別途バックエンド側に何か用意するといった実装が必要になります。これはフロントエンドのみで実装が完結できる postMessage と比べると実装や再描画のコストが高くなってしまうため、もし候補に上がっていたとしても最終的には postMessage を選択することになったと思います。 Origin以外にトークン的なものをなげたりはしていますか？ 入力されている情報をサーバー側に送ることがなく、基本的に発表中にあった満たしたいセキュリティ要件は origin の検証のみで達成できることから、トークンなどの検証は特に行っていません。​ 画像などは都度実際に保存していますか？それは保存時に正式な場所に移動したりしていますか？ 保存を行っていない段階では画像ファイルは Data URI scheme を使ってやりとりをしており、ご指摘の通り申請情報を保存した時にサーバーへアップロードが行われます。 おわりに このエントリのはじめに、「普段やっていること・考えていること」をコンテンツとして集めたという話がありましたが、その狙い通りのカンファレンスとなったのではないかと考えています。カラーミーショップを日々開発・運用している人たちが、どのような課題に、どうやって取り組んでいるのかを感じ取っていただけたでしょうか。 また、もし皆さんの身近な課題解決に役に立つ発表があったようでしたら、適用してみた結果を私達にもフィードバックしていただけたらとても嬉しく思います。 オンラインでのイベントは今年からはじめた新たな取り組みのため、リアルイベントとは異なりイベント後に「この話の詳細ですが〜」と個別にお話をする機会がなく伝えきれない部分や、逆にオンラインだからこそわかりやすい面、例えばスライドが見やすい、などメリット・デメリットの両方があります。Zoom では QA やアンケートなどの機能があるため、これらを活用するなどして、視聴者との一体感をできるだけ醸成して行きたいと思います。 GMOペパボでは、新しい仲間を募集しています 募集中の職種や、詳しい社内の環境や制度に関しては以下をご覧ください。 GMOペパボ株式会社 採用サイト

4月に開催し好評だった、在宅ワークが楽しすぎてもはや会社に行きたくなくなってしまったエンジニア・デザイナーの話」の続編を開催いたしました。タイトルは直球で「続」在宅ワークが楽しすぎてもはや会社に行きたくなくなってしまったエンジニア・デザイナーの話と題し、全都道府県での緊急事態宣言解除が行われた直後となる５月27日に開催いたしました。イベント告知ページhttps://developers.gmo.jp/619/ セッションレポート 前回と同様に５分間のLTを各スピーカーから発表した後に質疑応答をそれぞれはさみ、最後は登壇者全員で視聴者からの質問に答える座談会形式でお届けしました。今回はフロントエンドやWebデザイン寄りのスピーカーが多いイベントとなりました。 オープニング風景 LT①「クリエイティブチームのリモート事情」　GMOインターネット　近岡 トップバッターは新卒４年のWebデザイナーがトーク。１月末から在宅勤務をスタートし、4ヶ月ほどフルリモートで働いているデザイナーチームのリモートワーク事情やその苦労、また新しい働き方による変化をデザイナーならではの視点で紹介してくれました。 LT②「在宅ワークでも活躍中！Adobe XD運用事例」　GMOインターネット　黒田 GMOインターネットでは2018年から各種プロダクトでのデザイン制作にAdobe XDを本格導入しています。FigmaやSketchなどのプロトタイピングツールも利用実績はありますが、メインツールとして使われているXDでの運用事例をはじめ、Tipsなどをトークしてくれました。 LT③「ペパボのバーチャルオフィスをclusterで作った話」　GMOペパボ　一瀬 VR空間で集まることができるバーチャルSNSの「cluster」で自社オフィスを作った話、そしてバーチャルオフィスが出来たことによって、リモートワークで働くメンバーたちにどのような行動変化が起きたのかLTを通して紹介いただきました。 本LTやバーチャルオフィスの体験方法については本人のブログ記事で紹介されています。ご興味ある方はぜひご一読ください。https://link.medium.com/1JYxHARPB7 LT④「長期在宅でもできるインプット方法とモチベーションの上げ方」　GMOインターネット　久我 長期のフルリモート生活を強いられる中で勉強会などのインプットを増やす機会が減ってしまう課題に対し、どのような工夫を行っているか、また結果としてモチベーション低下などの課題についての取り組みなどをクリエイティブチーム全体から集めたアンケートなど定量的な結果をレポートすることでデザイナーの「いま」を紹介するLTでした。 LT⑤「リモートワークと web 技術でグルーヴ感を作り出す最高の方法」　GMOペパボ　柳生 リモートワークを続ける中でも「ペパボらしさ」を醸成する一つのツールとして映像VJアプリをReactで開発した話でした。Reactと自社製作したビジュアルアセットのsvgを組み合わせ、ブラウザ上でキーボード操作にあわせ動画生成を行えるものです。 GMOペパボのアイコンであるペパポン（ https://pepabo.com/company/vision/ ）をモチーフにしたSVG素材をReact Context APIで映像、音声がミックスされ下記のようなが新しい映像が生まれていました。 運営裏話 今回のオンラインイベントでは実地開催の勉強会ではよく見かける「休憩」を入れたのですが、オンライン配信という特性を活かして、休憩時間中にCMを流しました。「まじめにベンチャー。まじめにギーク。」シリーズのCM動画を過去に３作品を制作していたのですが、今回のイベントで初公開のCMを配信公開したのが運営ウラ話の一つです。◆◆新WebCM 「"在宅でも"まじめにベンチャー。まじめにギーク。」◆◆https://www.youtube.com/watch?v=2EFXwt4Hodc 在宅新CM 内製クリエイティブをテーマにストーリー展開しています さいごに GMOインターネットグループでは5月25日にwithコロナ時代における「新しいビジネス様式 byGMO」を発表しました。これは在宅勤務を継続しながら出社勤務を再開、感染防止と経済・企業活動を両立することを目指すものです。具体的には以前から準備を進めていた在宅勤務・テレワークを恒常的なものとするテレワーク制度を稼働させ、最終的にグループ全体の40%が常時在宅勤務となることを見込んでいます。 [参考]：当社プレスリリースhttps://www.gmo.jp/news/article/6797/　 テレワークは推進されますが、変わらず開発者向けの有益な情報をお届けしてまいります。直近では今夜にGMOあおぞらネット銀行、そして来週7/2はアドテクをテーマにイベント開催いたします。 ------------------------------------------------------------------------◆GMO Developers Night #11：6/26(金)18:30～https://gmo.connpass.com/event/179944/ ◆GMO Developers Night #12：7/2(木)19:00～https://gmo-ap.connpass.com/event/179349/------------------------------------------------------------------------ 引き続きGMO Developers Nightにご期待ください。

「ハイブリッドクラウドへの道　～The road to hybrid cloud.～」今回は、オンプレミスとクラウドをVPN接続する方法を紹介します。オンプレミスとAzure上の仮想マシンが仮想ネットワークを介してセキュアな環境で直接通信できるようになります。 1：Azure VPNゲートウェイ 3つの構成 AzureのVPNゲートウェイを利用した接続構成には大きく３つの種類があります。 1－1.サイト間接続（S2S） オンプレミスとAzureを繋ぐ場合や、Azureと他のクラウドサービスを接続する場合の構成。オンプレミスと複数のAzureサイトを接続することも可能です。この場合はAzure側からオンプレミスにVPN接続を行います。 1－2.ポイント対サイト接続（P2S） 1台のPCとAzureをVPNで接続する構成です。この場合はPC側からAzureに対して接続を行います。リモートワークや、個人利用の環境から接続する場合に利用します。接続するPCは複数同時に接続が可能です。 1ー3.仮想ネットワーク間接続（VNet2VNet） Azure上の異なる地域（リージョン）間を接続する場合や、異なるサブスクリプション同士を接続する場合など、Azureの仮想ネットワーク同士を接続する構成です。VPNゲートウェイを利用しない「VNetピアリング」という接続方法もあります。 これらの接続構成は組み合わせて利用することも可能です。P2S接続と S2S接続は、同じVPN ゲートウェイを使って接続可能ですし、複数のサブネットを使い分けていくつかのVPNゲートウェイを配置することも可能です。※この他にも専用回線を利用した「ExpressRoute」接続という構成もありますが、今回は省略します。仮想ネットワーク ゲートウェイ作成時に、そのゲートウェイのSKU（Stock Keeping Unitの略）＝スペックを指定することになります。それぞれの接続構成やSKUにより、利用料金が異なり、構成ごとの時間単位の利用料金と、データの転送容量による従量課金の合計となります。 参考：Azure VPN Gateway について（ https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways ） 2：VPNゲートウェイ サイト間接続の作成 ◆全体構成とゴール実際にAzureとオンプレミスをVPNゲートウェイを使って接続する方法を紹介します。今回オンプレミス側はRRAS(Routing and Remote Access Service)をインストールした仮想マシンをゲートウェイとして、その配下に1台仮想マシンを接続しています。Azure上に仮想マシンを作成し、VPN接続で、オンプレミス側からAzure上の仮想マシンにローカルネットワークを介してリモートデスクトップ接続するところまでをゴールとします。 この構成ではRRASサーバーに固定のパブリックIPが必要となるため、VPNサービスなどを利用してオンプレミス環境を想定しています。社内ネットワークのゲートウェイに専用ルーターを配置している場合は、パブリックIPを保持しているルーター側にVPN接続機能（VPNホストサーバー）が必要となります。 ◆作成手順サイト間接続（S2S）の作成の手順は以下となります。1. [Azure] 仮想ネットワークを作成2. [Azure] 仮想ネットワークゲートウェイを作成 ＝ VPNゲートウェイの作成3. [Azure] ローカルネットワークゲートウェイを作成4. [オンプレミス]　RRASの構成5. [Azure]　接続の作成6. [オンプレミス]　Pingとリモートデスクトップで接続確認 2ー1.[Azure] 仮想ネットワークを作成 Azure上でのローカルネットワークとなる、仮想ネットワークを作成します。Azureポータルにログインし、「すべてのサービス」-「仮想ネットワーク」-「作成」を選択します。 仮想ネットワークが作成されました。 2ー2. [Azure] 仮想ネットワークゲートウェイを作成 ＝ VPNゲートウェイの作成 仮想ネットワークゲートウェイを作成します。こちらが今回のポイントとなるVPNゲートウェイとなります。「すべてのサービス」-「仮想ネットワークゲートウェイ」-「作成」を選択します。 先ほど作成した仮想ネットワークを指定します。※参照： https://docs.microsoft.com/ja-jp/azure/vpn-gateway/vpn-gateway-about-vpngateways 仮想ネットワークゲートウェイ ＝ VPNゲートウェイが作成されました。 2ー3. [Azure] ローカルネットワークゲートウェイを作成 オンプレミスへの接続情報となるローカルネットワークゲートウェイを作成します。 ローカルネットワークゲートウェイが作成されました。 2ー4. [オンプレミス]　RRASの構成 オンプレミスを想定して、VPSを利用して固定のパブリックIPアドレスを割り当てた仮想マシンにRRASをインストールします。RRASのVPNサーバーの機能を利用して、Azureから接続します。このサーバーがオンプレミス側のゲートウェイとなります。社内ネットワークの場合はパブリックIPを割り当てたルーターに該当しますので、ルーターでVPNホストサーバーの機能を有効にします。仮想マシンに「リモートアクセス」の役割をインストールします。 「DirectAccessおよびVPN(RAS)」を選択します。 役割がインストールされたら、サーバー名を右クリックし、「ルーティングとリモートアクセスの構成と有効化」を選択しウィザードを起動します。 「アドレス範囲の割り当て」では接続してきたVPNクライアント＝Azure VPN ゲートウェイ　に割り当てるIPアドレスの範囲を指定します。 Windows ServerでActive Directory ドメインを構成している場合など、DNSやDHCPの構成がすでにある場合は後でセットアップするを選択しておきます。 RADIUSサーバーを使用しないを選択します。 ウィザードが完了すると、RRASサーバーとしての機能が有効になります。Azureからの接続を受け入れるための設定を追加してゆきます。「ネットワークインターフェイス」を右クリックして、「新しいデマンドダイヤルインターフェイス」を選択します。 インターフェイスの名前を”fromAzure”とします。 「接続の種類」では「仮想プライベートネットワーク(VPN)を使って接続する」を選択します。 「VPNの種類」は「IKEｖ2」を選択します。 「接続先のアドレス」には、Azureで仮想ネットワークゲートウェイを作成したときに取得したパブリックアドレスを指定します。 「プロトコルとセキュリティ」では「このインターフェイス上のIPパケットの経路を選定する」を選択します。 リモートネットワークの静的ルートを追加します。Azureで仮想ネットワーク作成時に指定した、アドレス範囲を指定します。 リモートネットワークの静的ルートが追加されました。 「ダイヤルアウトのアカウント情報」は未入力でもOKです。 ウィザードでネットワークインターフェイスが作成されたら、プロパティーを開いてウィザードではできなかった項目を設定してゆきます。 「オプション」-「接続の種類」を「固定接続」とします。 「セキュリティ」-「認証に事前共有キーを使う」に任意のキー文字列を入力します。このキー文字列は後程Azure側にも設定することになります。 RRASの設定は以上となります 2ー5. [Azure]　接続の作成 Azureポータルに戻り、VPN接続のための設定を行います。作成した仮想ネットワークゲートウェイを選択し、「接続」をクリックします。 接続が作成されました。作成と同時にVPN接続を開始します。「状態」が接続済みとなっていれば成功です。 接続をクリックして詳細を表示しています。「状態」は接続済みとなっています。 RRAS側も接続状態が“接続”となっています。 2ー6. [オンプレミス]　Pingとリモートデスクトップで接続確認 実際に接続を確認するために、Azure上に仮想マシンを作成します。作成時のポイントとしては「仮想ネットワーク」にVPNゲートウェイ用に作成した仮想ネットワークを指定する部分となります。 オンプレミス側の仮想マシン（192.168.0.2）から、Azure上の仮想マシン（10.0.1.4）にリモートデスクトップ接続を行っています。Pingも双方問題なく通っているのが確認できました。 成功です！ オンプレミスとAzureがVPNで接続されました！ 以上、Azure VPNゲートウェイを利用したサイト間接続 with RRASの紹介です。 これで、オンプレミスとAzureが一つのネットワークで繋がることになるので、オンプレミスのActive DirectoryにAzure上の仮想マシンがドメイン参加、その反対の構成も可能となります。また、オンプレミスはそのままに、リモートワークの拠点としてAzureを利用したり、マルチクラウド構築など、VPNゲートウェイの利用方法は様々に広がります。VPNゲートウェイを利用することでハイブリッドクラウドはより簡単に構築することができるようになります。

「続」在宅ワークが楽しすぎてもはや会社に行きたくなくなってしまったエンジニア・デザイナーの話」にご参加いただいた皆さま、ありがとうございました！（イベント告知ページ： https://gmo.connpass.com/event/175752/ ）おかげさまでzoomウェビナー、YouTube合わせて約400名超の方々にご覧いただきました。今回はZoomウェビナーのライブ配信にて行いましたアンケート結果を大公開いたします！気になっていたけど、あまり知らないみんなの在宅事情や自粛期間中の過ごし方について伺いました。 Ｑ1：5月27日時点、在宅ワークをしていますか？ 74％の参加者のみなさまが「在宅勤務をしている」という結果！4月2日に実施した在宅企画の第1弾( https://gmo.connpass.com/event/170561/ )で同じ質問をした際に「在宅勤務をしている」と回答した割合は89％でしたのでややパーセンテージとしては下がっているようでした。ちょうど実施週の月曜日、5月25日(月)に緊急事態宣言が解除になりました。世の中の動きも少し動きがあったタイミングであったということも関係しているかもしれませんが、それでもまだ在宅ワークをしている方が多くいらっしゃったということがわかりました。当社も、緊急事態宣言解除に伴い今後の働き方の方針が決定いたしました。プレスリリース： https://www.gmo.jp/news/article/6797/在宅継続の方も、出勤される方も引き続き感染予防に努めながらがんばりましょう！ 5月27日時点在宅勤務実施状況 Ｑ2：在宅ワークになり快適に過ごすための備品やアイテムを購入しましたか？ 結果は、在宅ワークを機に約7割を超える方が何かしらのアイテムを購入したという結果に・・！ デブレルチームの中には作業環境をこんな感じに整えているチームメンバーもおりますよ～！日に日にグレードアップしているそうです。 デブレルメンバーの作業デスク Ｑ3：具体的に購入したものは何ですか？ 意外と多かったのは、デスクor椅子！！何かしらを購入したと回答した方のうち、約4割の方がデスクもしくは椅子を購入されているという結果に！！ 合わない高さのデスクやダイニングチェアでの長時間の作業は腰痛・肩こりが悪化しますからね・・・とても大事ですね！！！ 業務関連以外のアイテムでは、今夏に向けてエアコンの効きをよくするためにサーキュレーターを購入したというトークも出ていました！ 一日の大半を過ごす環境なので、ある程度快適に過ごすためのアイテムや備品への投資はみなさんされているようですね！！ Ｑ4：オンライン飲み会を実施したことがありますか？ 結果は・・・7割オンライン飲み会経験あり！かなり多くの方がオンライン飲み会実施されていますね。 登壇者同士のトークの中では、オンライン飲みの頻度の話も出ていました。2週に1回程度、毎週やっているなど頻度はそれぞれでしたが、1日に3コミュニティのはしごするという人も！ Ｑ5：平均コミュニケーションの時間はどのくらいですか？ 最多は1～2時間という結果でしたが、並んで3～4時間も多かったですね！10％以下ですが、5時間以上という人も中にはいらっしゃいました！共通して抜け時が難しい・・・というのは総意なようでした。「終電がない」という代わりに「充電がない」という抜け文句を使ってるよ～という情報交換もありましたよ！笑安心してコミュニケーションを取ることができるようになるまではもう少し時間がかかりそうなのでもうしばらくオンラインでうまく交流を図っていけるといいですね！！ Q6：自粛期間中の余暇の楽しみはありますか？ 9割以上、ほとんどの参加者の方が何かしらの余暇の楽しみがあるという結果に！ Ｑ7：余暇の楽しみを具体的に教えてください！ 映画動画鑑賞やゲーム/漫画などに次いで、エンジニアの方の参加も多かったこともあり「自主開発」に投票いただいた方も多くいらっしゃいました！自粛生活も好きなこと・楽しいことを見つけながらみなさん過ごされていたようでした！！ さいごに 実は知りたい！みんなの在宅事情アンケート結果、いかがでしたでしょうか？きっとみんなも同じだろうな・・・と思いつつ、なかなか踏み込んで聞く機会のない内容をみなさんとシェアできてとても楽しいイベントとなりました！！ご参加いただきアンケートにご協力いただきましたみなさま、ありがとうございました。 緊急事態宣言は解除になりましたが、まだまだ予断を許さない状況が続いておりますね。GMO Developers Nightはしばらくオンラインでの開催を予定しております。 引き続きGMOインターネットグループをどうぞよろしくお願いいたします。

GMO Developers Night #05「みなさんの在宅ワーク」アンケート結果報告イベント開催レポート(https://developers.gmo.jp/2846/)については別途公開させていただきましたが、今回やイベント中に行われたアマギフチャレンジ企画の投票結果をご紹介したいと思います。テーマは、zoomウェビナーからご参加いただいた皆さまにご回答いただいた、在宅ワークに関するアンケート「みなさんの在宅ワーク」です。 在宅ワークしていますか？ 「在宅ワークしている」方が８９%とかなり高い数値となりました。今回イベントにご参加いただいた皆さまの属性を見てみると、６割の方がエンジニアということでしたので、この点は在宅ワーク率が高くなっていた要因だったかもしれませんね。当社はコロナウイルスの感染を避けるため、１月２７日から在宅ワークに入りました（プレスリリース：https://www.gmo.jp/news/article/6641/ ）が、他社さんでも在宅ワークが導入される企業も増えてきているようです。 在宅ワーク実施率 在宅ワークをする前と後のイメージ 「在宅ワークをする前（BEFORE）」は良いイメージが８８%、悪いイメージが１２%だったのに対し、「在宅ワークをする後（AFTER）」は良いイメージが８２%、悪いイメージが１８%と、圧倒的に良いイメージの方が多いですが、在宅ワークをする前と後で回答いただいた方のうち２割弱の方がイメージに変化があったようです。 当社は在宅１１週目をむかえ、私も始めた当初はストレスもありましたが、パートナー（社員）同士で協力し働きやすい環境を作る工夫をしたこともあり、今はだいぶ慣れて改善されてきました。今回のGMO Developers Nightで登壇者がお話ししたものが皆さまの参考になると嬉しいです。 ※在宅ワークをすでにしている方の回答のみ抽出して統計を出しています。 在宅ワークとオフィスどちらが集中できる？ ６割の方が「在宅の方が集中できる」と回答しました。私も仕事をする中で一人で作業するものは誰にも声をかけられずに作業できて集中できるなと感じています。その分、”自分でしっかりマインドコントロールしないとだらけてしまい集中できない”　”通勤時間や移動がない分切り替えにくい”　”作業環境が整っていない事によるストレス”という点で、オフィスの方が集中できる方もいらっしゃったのかなと思いました。 ※在宅ワークをすでにしている方の回答のみ抽出して統計を出しています。 プライベートの変化 「運動不足になった」という回答が一番多い結果となりました。先日、緊急事態宣言も発令されて外への外出が減ったことや、スポーツジムへ行くことを避けていらっしゃる方も多いのかなと思います。また、在宅ワークになったことで通勤の移動もなくなり、ミーティングのために会議室へ移動する・・というちょっとした運動もなくなったりなどが要因のようです。 その他にも、通勤時間がなくなった分「自由時間が増えた」「睡眠時間が増えた」という方が６割前後でした。ひとつ前の質問では「在宅ワークの方が集中できる」と答えた方が６割でしたが、プライベートに関する問いでは意外にも「残業時間が減った」と答えた方は３割でした。在宅ワークになったことで業務が増えたり、帰宅するという行動がない分、仕事をしていらっしゃる方や前と勤務時間が特に変わらないという方もいるのかもしれませんね。「浪費が減った」と答えた方も３割でした。外に出て消費するという機会は減ってしまったかもしれませんが、Amazonなどネットショップのセールでついつい買ってしまった、家での生活を充実させるためにもおうちグッズを買った、という方も多いのではないでしょうか。 ※在宅ワークをすでにしている方の回答のみ抽出して統計を出しています。 さいごに アンケートにご協力いただいた皆さま、どうもありがとうございました。新型コロナウイルス感染症の1日も早い収束と、皆さまの在宅ワークがより充実されることを心より願っております。引き続きGMO Developers Nightをよろしくお願いします。またのご参加お待ちしております！

昨今の状況を鑑み、WFH（Work from Home）でアウトプットしていくためのナレッジ共有の場を提供できないかと皆で話し合い、オンラインでのイベント開催を決定しました。4/2(木)に行った「GMO Developers Night Online　在宅ワークが楽しすぎてもはや会社に行きたくなくなってしまったエンジニア・デザイナーの話」のイベントをレポートします！イベント告知ページhttps://gmo.connpass.com/event/170561当日のTwieetrハッシュタグ #GMOdevhttps://twitter.com/hashtag/GMOdev はじめに GMOインターネットグループでは2020年1月26日（日）から新型コロナウイルスの感染拡大に備え在宅勤務体制へ移行を発表し、今日まで活動を行っております。 ■参考[プレスリリース] https://www.gmo.jp/news/article/6641[ブログ] https://www.kumagai.com/?eid=8260※GMOインターネットグループ代表 熊谷のブログ「4000人を在宅勤務にした判断について」 ローソンさん協賛ありがとうございました 今回のイベントではローソンさんに協賛いただき、参加者の皆様にLチキクーポンを事前配布。当日は #おうち飲み会 のハッシュタグでSNS上でも盛り上がりました。ローソンさんありがとうございました！ トークセッション ５分間のLT（LightningTalk）を5人のスピーカーから発表した後に質疑応答をそれぞれはさみ、最後は登壇者全員で視聴者からの質問に答える座談会形式で行いました。 【LT①】在宅ワーク開始から今日までを開発者視点でご紹介本イベントの導入編として当社グループが実施している新型コロナウイルス対策 （ https://www.gmo.jp/coronavirus/ ） の裏側の一部や導入している技術情報についてご紹介をしました。ちなみにスピーカーである私の背景はZoomのバーチャル背景機能で、当社の社内風景を背景にしています。 GMOインターネット　稲守 【LT②】リモートあるある言いたい GMOメディアのデザイナー達を対象にリモートワークでの気づきを集計し発表いただきました。２ヶ月超のリモートワークでのコミュニケーション課題をどう解決していくかなど意見が出ました。 GMOメディア　 出井 【LT③】在宅ワークを技術で楽しみ、毎晩テラスハウスを見て、毎週キャンプへ行くたった一つの方法 全員がリモートワークになり、VPNサーバの負荷が増えるなかスムーズに在宅にシフトできました。どのように課題解決していたのかをご紹介。詳しくは下記ブログを参照ください。https://ten-snapon.com/archives/2306 GMOペパボ　山下 【LT④】インフラチームの在宅ワークな日々 GMOメディアインフラチームの在宅ワークにおける全社向け対応と、より良いリモート環境を目指したチーム内での取り組みをLT。リモートにおいても工夫次第で出社時とかわらない効率ができると提案いただきました。 GMOメディア　渡部 【LT⑤】在宅勤務開始から2ヶ月でやったこと ゼロトラストネットワークの概略から始まり、ペパボにおいてその考え方に基づき如何にやってきたのかと紹介。「セキュリティを高める方が生産効率は上がる」は至言だったかと思います。 GMOペパボ　柴田 【座談会セッション】 成瀬、柴田、渡部、山下、出井、稲守 座談会トークの中では様々な質問を参加の皆さんからいただき、時間内に答えられなかった設問もありました。いくつかこちらのブログで回答させていただきます。 Q. 社内でのライトなコミュニケーションが意外と重要だということに気づき、在宅ワークではその小さいけど大事なコミュニケーションを今後どのようにとっていきますか？A. 自由参加型のオンラインランチや飲み会、朝活会（ラジオ体操が毎朝流れるチャネルがある）などがあったります。 Q. コロナ騒動が終息したら、各社の在宅制度がどうなるのか（そのまま定着するのか、元に戻るのか）気になります。A. 以前からリモートワークを月２くらいで行っていました。まだ今後のことなので明言は出来ませんがリモートワークは増えていくと考えています。 Q. スクラムのツールは何使ってますか？A. （出井）AtlassianのJira　　（稲守）PJによってTrelloやAsana、MSのPlannerなども利用したり、試した　　　　　　　　りしています。 Q. 外付モニター利用していますか？A. 登壇者のほとんどが利用しています。LTでの中でご紹介したデスク環境は下記です。 さいごに 蛇足ですが視聴者数は12月に開催したGMO Developers Nightを余裕で超える人数となり驚きました。GMO Developers Night 開催レポートhttps://hoscon.gmo.jp/blog/2483/新型コロナウイルス感染症の1日も早い収束を心より願っております。リアルで会うことは難しいですが、我々には解決の手段を生み出していく知恵やノウハウ、そして技術があります。Keep Distanceを意識しながら今後も「まじめにベンチャー、まじめにギーク」をお届けしていきたいと考えています。引き続きGMO Developers Nightにご期待ください。

「ハイブリッドクラウドへの道 ～The road to hybrid cloud.～ Vol.4」では、ハイブリッドクラウドで重要なポイントとなるオンプレミスとAzureとのアカウント同期です。元々利用しているオンプレミスのアカウントを自動的にAzure Active Directory（AAD）と同期できる「Azure AD Connect」というツールが提供されています。AADとアカウントの同期ができれば、その情報を利用してAzure Active Directory Domain Service（AADDS）ともアカウント情報を共有して利用可能となります。今回はこのAzure AD Connectを使って実際にアカウントを同期する方法を解説します。 Azure AD Connect利用の事前準備と注意事項①　ドメイン名 Azure AD Connectを利用して、オンプレミスとAADのアカウント同期を行う前に、事前準備や利用環境の構成で注意すべき点があります。 ハイブリッドクラウドを目指すのであれば、オンプレミスの資格情報を利用して、そのままOffice365やAzureの各種サービスを利用（シングルサインオン）できることが望ましいです。各種サービスを利用するごとに、わざわざサインインし直したり、複数のアカウントやパスワードを管理するのでは作業効率が悪くなります。 オンプレミスでは特に制限なくドメイン名を決めることができました。例えば、“ad.local”などです。オンプレミスの運用上はこれで問題はなかったのですが、AADを利用する場合、インターネットを介してクラウド上のサービスにログインするために、ドメイン名にはインターネット上で有効なドメイン名（.net .com .co.jp など）であることが必要となります。 もし、新規にこれからオンプレミスのActive Directoryを構築して、AADとアカウントの同期をするのであれば、DNS参照が可能なドメイン名にするべきです。すでにオンプレミスを運用していて、ドメイン名がインターネット上で有効でない名前の場合（DNS参照できない場合）は、以下のいずれかの設定を行う必要があります。 1.VPN Gateway接続の作成Azure上の仮想マシンをオンプレミスと同様のドメイン名でActive Directoryに参加させて管理するのであれば、VPN Gateway 接続をAzure上に作成し、オンプレミスから直接Azure上の仮想ネットワークに接続できるようにします。この場合は、オンプレミスのプライベートネットワークの延長としてAzureの仮想マシンもドメイン参加し、管理が可能となります。一方、Azureの各種サービスをシングルサインオンで利用する場合には利用が制限されることになります。（VPN Gateway接続の作成方法については次回以降解説予定） 2.ユーザープリンシパル名の変更ユーザープリンシパル名（UPN）はActive Directory上でアカウントを認識するための名前付けルールです。オンプレミスのActive Directoryでは”[email protected]”のように表記されます。AADでは”.local”などインターネット上で参照できないドメイン名は推奨されておらず、実際Azure AD Connectを利用する場合に、”.local”のようなドメイン名ではアカウントの同期ができません。オンプレミスで“ad.local”というドメイン名をすでに利用している場合は、ドメイン名を変更するか、代わりのUPNサフィックスを追加して、インターネットで参照できるドメイン名を指定することになります。 ドメイン名の変更はActive Directoryではサポートされているものの、すでに運用しているオンプレミス環境で実施するには失敗した場合のリスクが高いため（ログインができなくなるなど）お勧めしません。UPNの変更方法として、代わりのUPNサフィックスの追加方法を紹介します。 オンプレミス環境で、ドメインコントローラーのスタートメニューから「Active Directory ドメインと信頼関係」を起動します。左メニューから「Active Directory ドメインと信頼関係」を右クリックして「プロパティー」を選択します。 「UPNサフィックス」で「代わりのUPNサフィックス」にAADで利用するのと同じドメイン名（後で設定）を指定します。このドメイン名はインターネット上で有効なドメイン名（DNS参照可能）を指定します。 代わりのUPNサフィックスを追加した場合、今回の例のようにこれまで”[email protected]”でログインしていたユーザーは、”[email protected]”というUPNでログインすることになります。Azure AD Connectでアカウントの同期後は、”[email protected]”でオンプレミスのPCにログインして、そのままシングルサインオンで各種クラウドサービスを利用できるようになります。 新しいUPNサフィックスの指定方法は以下の通りです。 ドメインコントローラーのスタートメニューから「Active Directoryユーザーとコンピューター」を起動します。ユーザーを新しく作成する場合は、ユーザーログイン名で追加したサフィックスが選択できるようになっています。 既存ユーザーの場合はユーザーのプロパティーで「アカウント」-「ユーザーログオン名」で追加したサフィックスが選択できるようになっています。 3.Azure Active Directoryのユーザー名にメールアドレスを利用するオンプレミスのActive Directoryユーザーのプロパティーにメールアドレスが指定されていれば、Azure AD ConnectでADDとのアカウントの同期時にメールアドレスをアカウント名として利用することが可能です。システムの都合上、オンプレミス上でUPNサフィックスを変更できない場合や、UNPサフィックス変更作業を避けたい場合などはこちらをお勧めします。 後ほど紹介しますが、Azure AD Connectではアカウント名としてメールアドレスを指定することができます。 Azure AD Connect利用の事前準備と注意事項②　グローバル管理者の設定 Azure AD Connectの設定はウィザード形式で進めていきます。その中で、ADDに対してアカウントを追加したり、各種設定を行うために、AADの最高権限であるグローバル管理者のロールを持ったアカウントを指定する必要があります。事前に特定のアカウントにグローバル管理者のロールを割り当てておきましょう。 Azureポータルにログインして、アカウントを新しく作成するか、既存のアカウントを選択します。 ユーザーの「割り当てられたロール」を選択します。「割り当ての追加」を選択し、ロールの一覧から「グローバル管理者」を追加しておきます。 Azure AD Connect利用の事前準備と注意事項③　カスタムドメイン名の追加 AADに任意のドメインでログインできるように、ドメイン名を登録しておきます。このドメイン名はインターネットで参照できるドメインで、DNS参照できるものが必要です。お名前.comなどでドメインを取得しておきましょう。 カスタムドメインをAzureに登録します。Azureポータルにログインして「Azure Active Directory」-「カスタムドメイン名」を選択します。「カスタムドメインの追加」をクリックして追加します。 “未確認”となっているドメイン名をクリックするとDNSに登録する情報が表示されます。 AADで利用できるようにDNSにTXTレコードを登録します。Windows ServerのDNSサーバーを利用する場合にはこのようになります。 カスタムドメインが“確認済み”となっていれば、DNSの参照ができるようになっています。 Azure AD Connect利用の事前準備と注意事項④　同期についての注意点 Azure AD Connectはオンプレミスのアカウント情報をAADと同期することができるツールです。初回は既存アカウントとパスワードの同期を行います。以後は、既定では30分間隔でアカウント情報の変更をAADに反映します。 注意すべき点として、Azure AD Connectによる同期は常にオンプレミス→AADへの一方通行の同期となることです。Azure AD Connectを利用してハイブリッドクラウド環境を維持するためには、パスワードの変更やユーザーアカウントの追加削除などを常にオンプレミス側から行う必要があります。また、不用意にテストアカウントなどをオンプレミス側で作成利用していると、意図せずAADにも同期されてしまうので注意が必要です。 Azure AD Connectでアカウント情報を同期①　Azure AD Connectのダウンロード 事前準備が完了したところで、Azure AD Connectを使ってアカウントの同期までを紹介します。 まずはAzure AD Connectをダウンロードしましょう。Azureポータルにログインして、「Azure Active Directory」-「Azure AD Connect」を選択します。「Azure AD Connectのダウンロード」のリンクがあるのでクリックしてダウンロードを実行します。 ダウンロードしたファイルを実行してインストールウィザードを起動します。ライセンス条項にチェックを入れて続行します。 Azure AD Connectでアカウント情報を同期②　「簡単設定」を使ったAzure AD Connectのインストール 事前準備でオンプレミスのUPNを変更して同期を行う場合は、このまま「簡単設定を使う」を選択します。 AADのアカウント名をメールアドレスとする場合は、「カスタマイズ」を選択します。まずは、簡単設定のウィザードから紹介します。 事前準備で設定したAADのグローバル管理者のアカウント情報を入力します。 オンプレミスのドメイン管理者の情報を入力します。 事前準備で代わりのUPNサフィックスを登録して、DNSのTXTレコードが完了していれば、確認済みのドメインとして表示されます。元々オンプレミスで使っていたドメイン名は検証済みとはなりませんが、問題ありません。“一部のUPNサフィックスが確認済みドメインに一致していなくても続行する”にチェックを入れて次に進みます。 以上の設定でインストールを実行します。 インストールが完了するとすぐに同期処理が実行されます。 Azure AD Connectでアカウント情報を同期③　「カスタマイズ」を使ったAzure AD Connectのインストール 事前準備でAADのアカウント名をメールアドレスとした場合は、Azure AD Connectのインストールでカスタマイズを選択します。 既定の設定でそのまま進みます。 「パスワードハッシュの同期」を選択します。 事前準備で設定したAADのグローバル管理者のアカウント情報を入力します。 オンプレミスのドメイン管理者の情報を指定します。「ディレクトリの追加」をクリックします。 「既存のADアカウントを使用」を選択してもうまくいかないため、「新しいADアカウントを作成」を選択して、既存のドメイン管理者情報を入力すると次に進めます。 このような表示になればオンプレミスのディレクトリ接続は成功です。 ここがポイントとなります。「Azure ADユーザー名として使用するオンプレミスの属性を選択」で“mail”を選択します。事前準備で同期するアカウントのメール情報が入力されていれば、アカウント名としてAADに作成されます。“一部のUPNサフィックスが確認済みドメインに一致していなくても続行する”にチェックを入れて次に進みます。 いくつかウィザード画面がありますが、解説不要な部分は省略します。インストールが完了するとすぐに同期処理が実行されます。 Azure AD Connectでアカウント情報を同期④　Azure AD Connectの同期確認 しばらく時間をおいてAzureポータルで確認すると、同期処理が完了したことが分かります。 オンプレミスで作成したユーザーがこちらです。 Azureポータルでユーザーを確認すると、アカウントが同期されているのが確認できました。 以上がAzure AD Connectを使ったオンプレミスとAzure Active Directory とのアカウント同期方法の紹介です。アカウントの同期が完了すれば、オンプレミスのユーザーはそのままAADのユーザーとして認証されるので、Office365やAzureの各種サービスをそのまま利用することができるようになります。ハイブリッドクラウドを目指す上で重要ポイントとなる部分です。ようやく、ハイブリッドクラウドへの第一歩が踏み出せたというところでしょうか。次回以降も引き続き、ハイブリッドクラウドへの道を進むべく色々と紹介していきます。

「ハイブリッドクラウドへの道 ～The road to hybrid cloud.～ Vol.3」では、ハイブリッドクラウドの実現方法の1つとして、Azure上にオンプレミスと同様にActive Directoryを構築してみます。オンプレミスと同様にAzure上に仮想マシンを作成し、ドメインコントローラーとしてActive Directoryを構築することは可能ですが、目指すはハイブリッドクラウドです。今回はAzureのクラウドサービスの1つ、「Azure Active Directory Domain Services（AADDS）」を利用した構築方法を紹介します。AADDSはWindows Server Active Directory（WSAD）と完全な互換性があり、マネージドドメインサービス（ドメイン参加、グループポリシー、LDAP、Kerberos認証、NTLM認証など）が提供されます。AADDSを利用することで、ドメインコントローラーとしての仮想マシンの管理やリソースの確保など運用コストの削減が期待できます。 Azure Active Directory Domain Servicesの作成 Azureポータルにログインします。「リソースの作成」から「ID」-「Azure Active Directory Domain Services」の作成を選択します。 基本情報を入力します。「DNSドメイン名」はActive Directory内だけで利用する名前ですが、できれば取得済みドメインのサブドメインが好ましいようです。”.local”は推奨されていません。 この情報で確定してドメインを作成します。 再度確認。 作成完了までしばらく待たされます。 Azure Active Directory Domain Servicesの作成 Azureポータルにログインします。「リソースの作成」から「ID」-「Azure Active Directory Domain Services」の作成を選択します。 基本情報を入力します。「DNSドメイン名」はActive Directory内だけで利用する名前ですが、できれば取得済みドメインのサブドメインが好ましいようです。”.local”は推奨されていません。 この情報で確定してドメインを作成します。 再度確認。 作成完了までしばらく待たされます。 30分ほどでようやくデプロイ完了です。「リソースに移動」から作成されたドメインを見てみましょう。 「マネージドドメインをプロビジョニング中です」とあります。AADDSのデプロイは完了しているようですが、まだドメインの作成が完了していないようです。 さらに待ちます。 実行中となったらすべて完了です。続いて「仮想ネットワークのDNSサーバー設定の更新」を行うため「構成」ボタンをクリックします。 AADDSのDNSサーバーが構成されました。 その他「必要な構成手順」として「Azure AD Domain Services パスワード ハッシュ同期の有効化」という項目があります。AADDSではユーザー管理はAzure Active Directory（AAD）のユーザー情報を参照しています。AADDSではNTLM認証とKerberos認証によってユーザーを認証しているので、AADのユーザーがAADDSを利用する場合は、これの認証に適した形式にパスワードをハッシュする必要があります。 AADでユーザーを新規に作成した場合は、AADDSのリソースを利用する時に一度パスワード変更を行うことで、パスワードがハッシュされます。オンプレミスのActive Directoryとアカウントの同期を行う場合にはAzure AD Connectを利用してパスワードハッシュが同期されます。 仮想ネットワーク　サブネットワークの追加 次に、仮想ネットワークのサブネットを追加します。AADDSでドメインを構築すると仮想ネットワークが自動的に作成され1つのサブネットが割り当てられますが、Azure上の仮想マシンがドメインに参加するための仮想ネットワークは、これとは別のサブネットの範囲を作成して利用することが推奨されています。 左メニューより「プロパティ」を選択し「仮想ネットワーク/サブネットで使用可能　aadds-vnet/aadds-subnet」を選択します。 左メニューから「アドレス空間」を選択します。新しいアドレス空間（IPアドレスの範囲）を追加して「保存」をクリックします。 左メニューから「サブネット」を選択します。右メニューのサブネットの追加情報を入力します。今回名前を“domain-subnet”として、「アドレス範囲」には先ほど作成したアドレス空間”10.0.1.0/24”を指定します。 「OK」ボタンをクリックして作成します。 ドメイン参加用のサブネットが作成されました。 Azure上の仮想マシンでAzure Active Directory Domain Servicesのドメインに参加する AADDSの構築が完了したので、さっそく仮想マシンを作成してドメインに参加してみましょう。Azure上で仮想マシンを作成します。ここで注意すべきは、AADDSの仮想ネットワークの地域と、仮想マシンの地域を同じにしておくことです。同じ地域であれば仮想ネットワーク内でそのまま通信が可能なので、ドメイン参加が簡単にできるようになります。 AADDSと同じ地域を指定する 仮想マシンの作成する地域と、AADDSの地域が同じであれば、サブネットに先ほど作成したドメイン参加用のサブネットが選択できます。こちらを選択します。 仮想マシン作成後、IP情報を確認してみると、作成したサブネットの10.0.1.4のIPアドレスが割り当てられているのが確認できます。 次に、ドメイン参加をするためのアカウントを作成します。AADDSはAADのユーザーを参照しているので、Azureポータルから「ID」-「ユーザー」-「新しいユーザー」を選択します。今回は“domainadmin”という名前のユーザーを作成しました。 次に、グループを割り当てます。作成したユーザーを指定して「グループ」を選択します。 「メンバーシップの追加」から“AAS DC Administrator”を選択します。AADDSでは“Domain Admins”というグループの代わりにこちらが管理者グループとなります。 ここまでで、AADにユーザーが追加されたことになります。 先ほども述べたように、AADのユーザーがAADDSのドメインを利用する場合は、パスワードのハッシュを行う必要があります。これはパスワードをリセットすることで実行されますので、一度パスワードのリセットを実行しておきます。リセットを実行すると一時パスワードが発行されるので、一度このパスワードを使ってAzureポータルにログインしておきます。 一時パスワードを使ってAzureポータルにログインしてパスワードの更新を行います。これでパスワードのハッシュが完了します。 先ほど作成した仮想マシンでAADDSのドメインに参加します。Azureで作成した仮想マシンは英語版となっているので、日本語化（後日紹介予定）をしておきます。 先ほど作成した仮想マシンでAADDSのドメインに参加します。Azureで作成した仮想マシンは英語版となっているので、日本語化（後日紹介予定）をしておきます。 AADDSのドメインに参加できました！一度再起動しておきます。 リモートデスクトップ接続をするには 仮想マシンにローカルアカウントでログイン（リモートデスクトップ接続）してユーザー情報を見てみると、Administratorsグループに“AD\AAD DC Administrators”と“AD\Domain Admins”というグループが追加されています。 作成したユーザーでリモートデスクトップ接続を行う場合は、これらのグループが追加されていても、ローカルのAdministrators（もしくはRemote Desktop Users）にユーザーを登録する必要があります。AADDS上で管理者グループの“AAD DC Administrators”グループに入っているユーザーであっても、仮想マシンのローカルAdministratorsグループに登録する必要があります。 仮想マシンのローカルAdministratorsにユーザーを登録したら、リモートデスクトップ接続をしてみましょう。接続時のユーザー名は“ドメイン名\ユーザー名”となります。 AADDSのアカウントでリモートデスクトップ接続をしてユーザー情報を確認できました。 ここまでできればオンプレミスのActive Directoryのドメインと同様に、Azure上のユーザー管理やPC管理を行うことが可能です。 Azure Active Directory Domain Services 利用料金 最後にAzure Active Directory Domain Services の利用料金です。 いくつかプランがありますが、最小の同時認証3,000、認証オブジェクト最大25,000までのStandardプランで16.8円／時間となっています。 以上がAzure Active Directory Domain Services の基本操作です。オンプレミスと同様Active DirectoryがAzureのサービスを利用することでも構築可能なことが理解できたと思います。 Azure側の準備がとりあえず整ったところで、次回はオンプレミスとAzure上のアカウント同期について紹介します。

「ハイブリッドクラウドへの道 ～The road to hybrid cloud.～ Vol.2」では、ハイブリッドクラウドのキモとなるAzure Active Directory（AAD）の基本操作を確認します。ドメインコントローラーをAzure Active Directory Domain Servicesに置き換えるにしろ、Office365などを利用するにしろ、AADは必ず必要となるシステムです。今回はAADの構築方法から、クライアントPCのAAD参加方法、AADのユーザーアカウントによるリモートデスクトップの接続方法までを紹介します。 Azure Active Directoryの作成 まずはディレクトリの構築から始めてみましょう。Azureポータルにログインします。ログインした時点で、実はすでにディレクトリは1つ作成されている状態となっています。TOPページから「Azure Active Directory」を選択します。 「既定のディレクトリ」という名前で、ログインしているユーザーのメールアドレスから生成された名前（*****.onmicrosoft.com）で既定のディレクトリが作成されています。Azureのサブスクリプションは必ず1つのディレクトリと紐づいている（別のディレクトリにサブスクリプションの紐づけを変更＝「ディレクトリの変更」することも可能です）ので、ポータルにログインした時点（Azureのアカウントを作成した時点）でサブスクリプションとディレクトリが割り当てられます。 ログイン直後は登録されているユーザーは自分1人だけの状態です。このまま既定のディレクトリを利用してもよいのですが、AADの理解を深めるために新しくディレクトリを作成してみましょう。 ポータルのTOPページから「リソースの作成」-「新規」-「ID」を選択します。 ディレクトリ作成に必要な情報を入力します。 たったこれだけの操作で新しいAADが無料で作成されました。 ユーザーの作成 ユーザーメニューから作成します。新しいディレクトリを作成したユーザー自身がすでに管理者として登録されていますが、「ソース」の項目に“外部のAzure Active Directory”と表示されています。元々のディレクトリと、新しく作成したディレクトリなど複数のディレクトリに跨ってユーザーは所属することができます。 この新しいディレクトリにユーザーを追加してみましょう。 左メニューから「ユーザー」-「新しいユーザー」を選択します。ユーザー情報を入力して作成します。 ユーザーを追加しました。ユーザー名は[email protected]（ユーザー名@ディレクトリ名）という表記になります。「ソース」の項目には“Azure Active Directory”と表示されています。このディレクトリが既定のユーザーとなります。 ユーザーにロール（権限）を設定します。このディレクトリの管理者として「グローバル管理者」のロールを割り当てます。 Azure Active Directoryに参加 では、新しく作成したアカウントでAADに参加してみましょう。今回はAzure上に仮想マシンとして作成したWindows10からの参加となります。ノートPCなどからでも、インターネットに接続できている環境であれば同様にAADに参加することが可能です。これは「Azure AD Join」と呼ばれる機能ですが、Windows10のみ利用できる機能となります（Windows Serverでは利用できません）。 【参考】Azure Active Directoryへの「参加」と「登録」AADに「参加」というと、Windows Server Active Directory（WSAD）＝オンプレミスのWindowsドメインに参加するのと同じようなものというイメージが強いとは思いますが、AADに参加することとは意味合いが異なります。前回も書きましたが、AADとWSADは別物です。AADに参加するということは、新しい認証サービスを利用するために参加する（登録する）ということになります。AADを利用することによって、様々なOSのデバイスからOffice365やAADに登録されたサービスのID管理を行うことが目的となります（Bring Your Own Device＝BYOD）。AADではユーザーが利用するデバイス単位にアクセス制限や管理することが可能です。 AADを利用する場合には、利用するデバイスに対して許可を与える必要があります。その方法が「参加」と「登録」になります。AADに「参加」できるデバイスはOSとしてWindows10を利用している場合だけです。Windows10からは「Azure AD Join」で参加が可能です。一方、AADに「登録」できるのはWindows OSだけでなく、Androidやアップル製のOSも含まれます。「参加」または「登録」されたデバイスだけがAADを利用して各種サービ AAD参加AAD登録対象デバイスOSWindows10Windows OSAndroidmacOSiOS Windows10からAADへの参加手順です。 まずはローカルアカウントでWindows10にログインします。スタートメニューから「設定」-「アカウント」を選択します。 左メニューから「職場または学校にアクセスする」を選択して「接続」クリックします。 「このデバイスをAzure Active Directoryに参加させる」を選択します。 先ほど作成したユーザー名を入力します。 ユーザー作成時のパスワードを入力します。 AADに初めてサインインする場合、パスワードの更新が必要となります。 「参加する」を選択します。 AADに参加できました。 参加後には「Azure ADに接続済み」との表示が確認できます。 ドメインとワークグループの設定では、変化はなくワークグループのままです。 Windows10の管理ツール「ローカルユーザーとグループ」から、Administratorsグループを確認してみると、”AzureAD\wini1”のユーザーがローカル管理者グループに登録されています。 Azureに戻ってAADのデバイスメニューを確認してみると、AADに参加したWindows10デバイスと所有者（ユーザー）が紐づいて確認できます。 AADのアカウントでリモートデスクトップ接続 AADに参加できたので、一度サインアウトして、AADのユーザーからリモートデスクトップ接続でWindows10にサインインをしてみましょう。 リモートデスクトップ接続のクライアントツールを利用します。AADのアカウントで接続する場合、いくつか特別な設定が必要となります。 まず、接続するためのユーザー名は“.\AzureAd\ユーザー名”という形式になるため、“.\AzureAd\[email protected]”となります。 ユーザー名は接続設定ファイルに保存したほうが便利ですが、未入力で接続のたびに入力しても問題ありません。 一度この接続情報でRDPファイルとして保存します。 先ほどの設定で保存したRDPファイルをメモ帳で開きます。AADのアカウントでリモートデスクトップ接続を行う場合は、「CredSSPを用いた接続を行わない」という設定が必要となります。 “enablecredsspsupport:i:0”この一文を追加します。 ユーザー名まで含めると、enablecredsspsupport:i:0username:s:.\AzureAd\[email protected]を追加して保存します。 RDPファイルをダブルクリックしてみましょう。ユーザー名のところに“AzureAD\”から始まるユーザー名が入力されています。パスワードを入力すればAADのアカウントでサインインし、通常のリモートデスクトップ接続が利用できます。 リモートデスクトップから確認してみると、ログインしているユーザーがAADのアカウントとなっています。 AADのアカウントでサインインしているので、AADでサービスを登録すれば、Windows10からは以後追加の認証無しにシングルサインオンで様々なサービスを利用することができるようになっています。 以上、Azure Active Directoryの基本操作の紹介となりました。少しずつですがハイブリッドクラウド実現に向けて近づいていきましょう。次回は、Azure Active Directory Domain Servicesを紹介します。

クラウドファーストをキーワードに、クラウドの利用がようやく当たり前の時代となりました。そんな中、すべてをクラウド化するにはどうしても無理な部分もあり、オンプレミスでのサーバー利用も依然として続いているのも事実です。クラウドとオンプレミスの使い分け、連携するための様々な技術や手法が出揃ってきています。今回よりスタートする新連載では、Windows ServerとAzureを中心にクラウドとオンプレミスの融合「ハイブリッドクラウド」を目指すべく、独断と偏見を交えて技術情報を紹介していきます。題して、「ハイブリッドクラウドへの道 ～The road to hybrid cloud.～」！ Azure Active Directory と Azure Active Directory Domain Servicesの概要 まず第1回目は「Azure版Active Directory サービスの使いどころ」ということで、オンプレミスのActive Directoryを管理している方にはちょっと誤解しやすいAzure Active DirectoryとAzure Active Directory Domain Servicesの概要を紹介します。 Active Directoryと名前の付くものが、Microsoftには数多く存在しています。まずはオンプレミスでこれまで利用されてきたお馴染みのActive Directoryです。他との比較をしやすくするため「Windows Server Active Directory」＝WSADとします。2つ目は、「Azure Active Directory」＝AADです。もう1つ紹介するのは「Azure Active Directory Domain Services」＝AADDSです。 他にもActive Directoryと名の付くサービス、機能がたくさんありますが、まずはこの3つの違いをきちんと理解しておく必要があります。サーバーを自らセットアップしてWSADを構築していたエンジニアからすると、「Azure Active Directory」とう名前から、Azure上でActive Directoryを構築してドメインに参加したユーザー管理とPCの管理ができるものという印象があるかと思います。 では、「Azure Active Directory Domain Services」って何なの？ という疑問も当然出てきます。 Active Directoryで検索したところ これらの違いをきちんと理解して使い分けることが、ハイブリッドクラウドへの最初の一歩となります。 細かい機能の説明は後ほどということで、まずはそれぞれの大まかな機能や役割を確認しておきます。 WSADAADAADDS用途オンプレミスでのアカウント管理。対象はWindows PCクラウド環境でのアカウント管理。対象はOSを問わず各種デバイスクラウド版WSAD。アカウント管理はAADに依存使用例社内アカウント・PC管理。ファイルサーバーのアクセス権。グループポリシーOffice365へログイン。Webアプリケーションの認証。タブレットからシングルサインオン。多要素認証Azure仮想マシンのドメイン参加。社内ドメインをクラウドに移行・同期制限事項インターネットに公開はNG。VPNや専用回線を推奨WSADとADDは別の機能。Windows Serverは参加できないDomain Admins・Enterprise Adminsがない。Domain Policyの変更ができない。オンプレと同期できるが、一部制限あり※WSAD：Windows Server Active Directory　AAD　　：Azure Active Directory　AADDS：Azure Active Directory Domain Services Windows Server Active Directory Azure Active Directory Azure Active Directory Domain Services それぞれの概要を理解したところで、長年オンプレミスのWindows Serverに携わった経験から各Active Directoryサービスの使いどころを以下のように考えました。 WSADとAADは別物 まずAADは、これまで自分たちが経験を積んできたWSAD、いわゆるWindowsドメインとはまったくの別物ということです。クラウドサービス全盛の中、サービスを利用する端末は必ずしもWindows PCだけではなく、スマートフォン、タブレット、IoT端末など様々なOSやデバイスが考えられます。これらのアカウント、端末管理をするための新しいID管理の仕組みが必要となります。クラウドサービスをシングルサインオンで利用するためのアカウント管理システムがAADということです。WSADをまったく意識せず、クラウドサービスだけを利用するような環境であればAADの選択が最適です。 AADDSはドメインコントローラーの代わりとなる Azure上に作成した仮想マシンをドメインに参加させてオンプレミス同様に管理する場合、仮想マシン自体にドメインコントローラーの機能をインストールしてドメインを構築することが可能です。このドメインコントローラーの仮想マシンの代わりとなるものが、AADDSです。ドメインコントローラーのPaaS（クラウドサービス）と言い換えることができます。ドメインコントローラー構築、運用の面倒な部分を、サービスを利用することで簡略化し、仮想マシンのリソースを削減できます。ただし、オンプレミスと同様のActive Directoryの機能が100％利用できるわけではなく、Domain Admins・Enterprise Adminsがないことや、Domain Policyの変更、ドメイン同士の信頼関係の設定、スキーマ拡張、フォレスト、Active Directoryの機能レベルの変更など、利用できない機能があります。 WSAD とAADDSの同期、移行には制限がある ハイブリッドクラウドを目指す場合、既存のオンプレミスのWSADとAADDSの同期や移行が必要になります。この場合、Azure AD Connect（オンプレミスのアカウント情報とAADのアカウント情報を同期するツール）を利用して同期することとなるのですが、同期できるオブジェクトがユーザーデータのみという制限があり、アカウント、グループ、パスワード、SIDだけに限定されます。グループポリシー、コンピューターオブジェクトは同期対象外となります。コンピューターオブジェクトにアクセス制限などを設定している場合は注意が必要です。また、デスクトップのテンプレートイメージや、セキュリティーポリシーなどグループポリシーで制限をしている場合には、オンプレかクラウドかでPCの仕様に差異が出る可能性があり注意が必要です。 AADDSはActive Directoryの新規作成がおすすめ AADDSを利用する場合は、新規でActive Directoryを構築して運用管理することが一番シンプルで使いやすそうです。オンプレミスにはドメインコントローラーは作らず、最初からAADDSを利用します。アカウントの同期やリソースの移行といった面倒な作業が必要なく、シンプルで使いやすい構成と考えられます。 ハイブリッドクラウドでActive Directoryを移行する場合　Azure仮想マシンあり ハイブリッドクラウドを実現するために一番現実的で問題が少なそうな構成は、Azure上で仮想マシンを作成し、VPN接続でドメインコントローラーを複製する方法です。この方法は、オフィスと遠隔地を結ぶActive Directoryの構築方法と同じ考え方なので、これまで経験してきた手法が利用できます。Azure上に追加で仮想マシンを作成した場合は、すぐ側にドメインコントローラーがいるので、そのままドメイン参加することが可能です。最終的にはオンプレミスのドメインコントローラーをすべてなくして、Azure上のドメインコントローラーのみといった構成も可能です。Azure上にオンプレミスのリソースを最適配置して、クラウドの利点である運用コストの削減やデータ保護に役立てることが可能となります。Office365などクラウドサービスを利用する場合は、Azure AD Connectを利用してAADとアカウント同期を行い、シングルサインオンを可能とします。 ドメインコントローラーとして仮想マシンを作成 ハイブリッドクラウドでActive Directoryを移行する場合　Azure仮想マシンなし Active Directoryはそのままオンプレミスのものを利用して、Office365などクラウドサービスを利用する場合は、Azure AD Connectを利用して、オンプレミスのドメインコントローラーとAADの間でアカウント情報の同期を取ることで、クラウドサービスとオンプレミスのリソースを1つの同じアカウントで利用することが可能となります。 オンプレミスのドメインコントローラーを利用 ドメインコントローラーを作成しない場合 ドメインコントローラーの役割を、すべてAADDSを利用することで置き換えます。オンプレミスでもAzure上の仮想マシンでもActive Directoryに参加することが可能となります。AADDSはAADと紐づいているので、Office365などクラウドサービスにシングルサインオンが可能となっています。ただし、AADDSはいくつか制限事項があるので、オンプレミスからの移行よりは、新規でAzure上にActive Directoryを構築する場合に適しているようです。 ドメインコントローラーをAADDSに置き換え 以上、「ハイブリッドクラウドへの道　～The road to hybrid cloud.～」連載のはじめは、「Azure版Active Directory サービスの使いどころ」ということで、サービスの概要とそれぞれの使いどころを紹介しました。 次回以降、各サービスの設定方法など詳細情報を紹介していく予定です。