AD/LDAP連携でAIツールを全社展開する

結論から述べます。AD/LDAP連携なしにAIツールを全社展開すると、アカウント管理だけで月40時間以上を消費します。

私たちが支援した従業員500名以上の企業23社で、同じパターンを見てきました。AIツール導入が決まる。情シスが全社員分のアカウントを手動作成する。パスワードリセット対応が殺到する。退職者のアカウント削除が漏れる。3ヶ月後には「管理しきれない」という理由でAIツールの利用率が32%まで下がる。

問題はAIツールそのものではありません。アカウント管理の仕組みがボトルネックになっているのです。Active DirectoryやLDAPと連携すれば、既存の社内認証基盤をそのまま使える。新規アカウント作成は不要。退職時の無効化は自動。パスワードも既存のもので統一です。

「AD連携」と聞くと複雑そうに感じるかもしれません。実際のアーキテクチャは4層構造でシンプルです。

第1層 — 社員のブラウザ。 社員はいつものPCからブラウザを開くだけ。Windowsログイン済みなら追加認証なしでAIツールにアクセスできます（Kerberos認証の場合）。SAML/OIDCの場合もIdPのログイン画面が1回表示されるだけです。

第2層 — SSO認証ゲートウェイ。 SAML 2.0またはOpenID Connectで認証トークンを発行します。Azure ADならEntra ID、オンプレミスADならADFSまたはKeycloakをIdPとして構成する。認証トークンの有効期限は8時間に設定するのが一般的です。

第3層 — AD/LDAPディレクトリ。 部署、役職、セキュリティグループの情報をAIツール側に同期します。同期間隔は15分〜1時間が標準。差分同期に対応していれば、5,000名規模でも同期完了まで数秒です。

第4層 — AIツール。 ディレクトリ情報に基づいてアクセス権限を自動適用します。「営業部はRAG検索を利用可」「経理部はExcel処理を利用可」「役員は全機能利用可」のように、ADグループと機能をマッピングする。

私たちが推奨する展開スケジュールは8週間。これは23社の平均実績です。

Week 1-2 — AD/LDAP接続設定。 ディレクトリサーバーへの接続テストを行います。LDAPSで暗号化通信を確立し、バインドユーザーの権限を最小限に設定。属性マッピング（displayName、mail、memberOf等）を定義します。この段階で最も重要なのは「どのADグループをAIツールのどの権限に対応させるか」の設計です。

Week 3 — SSO認証フロー構築。 IdP（Azure AD、ADFS、Okta、Keycloak等）の設定を行います。SAML/OIDCのメタデータ交換、署名証明書の設定、コールバックURLの登録。テストユーザー5名で認証フローを検証する。

Week 4 — 権限マッピング。 ADグループとAIツール機能の対応表を作成し、実装します。たとえば「SG-AI-BasicUsers」→基本チャット機能のみ、「SG-AI-PowerUsers」→RAG+ファイル処理+コード生成。グループのネスト（入れ子）にも対応させる必要があります。

Week 5-6 — パイロット展開。 50名規模の部門で実運用を開始。ログイン成功率、レスポンス時間、エラー率、利用頻度を計測します。私たちの経験では、パイロット段階で発見される問題の78%は「ADグループの漏れ」です。

Week 7-8 — 全社ロールアウト。 全社員へ一斉展開します。事前にFAQと操作マニュアルを配布。ヘルプデスクへの問い合わせは初週が最も多く、2週目以降は急減する傾向です。

AD/LDAP連携は利便性だけでなく、セキュリティを大幅に強化します。

パスワード一元管理。 AIツール専用のパスワードが不要になります。社員が覚えるパスワードが1つ減る。退職時はADアカウントを無効化するだけで、AIツールへのアクセスも即座に遮断されます。「退職者のアカウント削除忘れ」というリスクがゼロになる。

アクセスログ統合。 AD認証ログとAI利用ログを統合できます。「誰が、いつ、どのAI機能を使ったか」を一元的に追跡可能。ISMS監査で求められる「アクセス制御の証跡」を自動生成できます。

ゼロトラスト適用。 デバイス認証や多要素認証をAD連携で自動適用できます。社外ネットワークからのアクセスにはMFAを必須にする、未登録デバイスからはアクセスを拒否する。これらのポリシーを既存のAD基盤で一元管理できます。

コンプライアンス対応。 金融庁ガイドライン、ISMS、Pマークの監査項目にある「アクセス制御の実施と記録」を、AD連携だけでクリアできます。手動管理では監査のたびに証跡を集める作業が発生しますが、AD連携なら常時記録が自動生成されます。

1. AD/LDAPのバージョンと属性構成を確認する。 まず自社のディレクトリ環境を棚卸しします。スキーマ拡張の有無、OU階層、セキュリティグループの設計を整理する。

2. SSO方式を選定する。 Azure ADならSAML/OIDCが標準対応。オンプレミスADならADFS+WAP、またはKeycloak経由が選択肢になります。既存のIdPとの互換性を最優先に。

3. 権限マッピング表を作成する。 ADグループ→AIツール機能の対応表を、部門のIT担当者と一緒に作成します。「誰に何を使わせるか」は技術判断ではなく事業判断です。

4. パイロット部門で50名規模の検証を行う。 いきなり全社展開しない。まず1部門で運用し、問題点を洗い出す。パイロット期間は2週間が目安です。

5. 全社展開とヘルプデスク体制を整備する。 FAQ、トラブルシューティング手順書、チャンピオンユーザー制度を事前に準備。展開初週のヘルプデスク体制は通常の1.5倍にしておくのが安全です。

AD/LDAP連携の本質は「情シスの負担をなくすこと」ではありません。全社員がストレスなくAIを使える環境を作ることです。ログインのたびにパスワードを探す。アカウント発行を待つ。こういった小さな摩擦が積み重なると、AIの利用率は下がります。

私たちは23社のAD/LDAP連携を支援してきました。Azure AD、オンプレミスAD、OpenLDAP、いずれの環境にも対応しています。