Entra ID - 用語の定義
Active Directory Domain Services (Windows Server / オンプレミス)
従来の Windows サーバー マシン上の標準的な Active Directory 役割で、Active Directory ユーザーとコンピューター、サイトとサービス、ドメイン、および信頼関係などのツールで管理されます。
ユーザー、グループ、連絡先、およびコンピューターオブジェクトを含みます。
従来の Windows デスクトップおよびサーバーはこの AD に参加します。
ユーザーとグループは、Entra ID Connect を使用して Entra ID と同期できます。
Entra ID - Microsoft クラウド ディレクトリ サービス
従来の Active Directory と似た名前ですが、これは Microsoft によってホストされる異なるサービスであり、Microsoft クラウド (O365、D365、Azure) の最上位オブジェクトです。
ユーザー、グループ、および連絡先オブジェクトを含みます。
Windows 10 および 11 のコンピューターは Entra ID に参加できますが、古いオペレーティング システムのマシンは参加できません。
ADConnect ツールを介して従来の AD と同期できるため、同じユーザー名とパスワードを両方で使用できます(パスワードハッシュ同期が有効な場合)。
An Azure-hosted, Microsoft-managed AD DS.
従来のオンプレミス AD DS とほぼ同じ機能を持っていますが、Microsoft が管理する実際のドメイン コントローラーへの管理アクセスがないため、一部の制限があります。
Entra ID と自動的に同期し、オンプレミスの AD DS と同期される可能性があり、Azure で実行されている VM は、Windows OS の種類に関係なく参加できます(例:Windows 11/10/8/7 または Server 2008/2012/2016/2019)。
クラウド専用環境を持つ顧客
Microsoft クラウド サービス (Office 365、Azure Virtual Desktop (AVD)、Dynamics 365 など) を使用するには Entra ID が必要です。ユーザーがこれらのクラウド サービスにアクセスすると、すべてのユーザー認証は Entra ID で始まります。
「クラウド ネイティブ」展開を持つ組織では、ユーザー情報(例:ユーザー名、パスワード、グループメンバーシップなど)は Entra ID のみに存在し、他のディレクトリと同期されません。顧客がオンプレミスの業務 (LOB) アプリケーション サーバーを持っておらず、Azure で仮想デスクトップを導入することを検討していない場合、この Entra ID のみのシナリオは十分であり、かなり簡単かもしれません。
既存のサーバーとアプリケーションおよび/または仮想デスクトップを持つ顧客
ほとんどの顧客は、オンプレミスで稼働している既存の LOB アプリケーションから始め、これらのワークロードを Azure に移行したり、Azure で稼働する新しい VM に再インストールしたり、AVD を使用して Azure で仮想デスクトップを導入したりしたいと考えています。2021年の冬以前は、LOB サーバーや仮想デスクトップ VM が機能し、管理可能であるためには、Entra Domain Services ドメインに参加する必要があり、AAD だけでは不十分でした。Microsoft は現在、AVD セッションホストに対して Entra ID Joined をサポートしており、Azure Files に対する Entra ID Joined のサポートも近日中に期待されています(2021年11月現在)。
Azure での Active Directory の機能を有効にする
Azure で AD の機能を有効にするための方法は以下の通りです:
Azure で自前の AD を構築する。
Entra Domain Services PaaS。
Azure で自前の Active Directory を構築する。
概念的には、Azure展開を作成する最も簡単な方法は次のとおりです。
サイト間 VPN でオンプレミス ネットワークに接続します。
Azureに新しいVMをデプロイします。
VPN 経由で既存の Active Directory ドメインに参加させます。
ドメインコントローラーに昇格させ、適切なサイトやサブネットなどを構成します。
最終的に得られるのは、オンプレミス ネットワークと Azure 展開の両方にまたがる Active Directory 展開で、サーバー VM をオンプレミスから Azure に移動する際に、新しいドメインへの再参加やユーザーの接続中断が不要になる点です。
この展開の課題は、実装の難しさ、新しいドメインコントローラーの管理の必要性、そしてこれらのドメインコントローラーを稼働させるための追加 VM のコストにあります。利点は、以前に Active Directory を管理した経験がある方にとって分かりやすい展開と、完全な管理アクセスによる柔軟性が得られる点です。
Azure Active Directory Domain Services (AAD DS) PaaS
Azure で自前の AD を構築する方法に関する課題に対処するため、Microsoft は Entra Domain Services を導入しました。なお、これは Entra ID と混同しないでください。
Entra Domain Services は、Microsoft が運用、監視、更新する Azure の PaaS オファリングで、管理者のアクセスは制限されています。Entra Domain Services の利点は、VM を展開および管理する必要がなく、オンプレミスのドメインと同期するために VPN に依存しないことです。
Entra Domain Services が Azure サブスクリプションに展開されると、Microsoft は高可用性のドメインコントローラーを 2 台作成し、Entra ID からユーザーデータを同期します。
Entra Domain Servicesは、Entra IDに存在するユーザー、グループ、およびパスワードハッシュの読み取り専用コピーを含む新しいドメインです。このデータは20分ごとに同期されます。Azure VMはこの新しいドメインに参加でき、既存のユーザー名とパスワードを使用してこれらのVMに接続できます。これは、認証情報がEntra IDと同期されているためであり、Entra ID Connectを使用してオンプレミスのADと同期される場合があります。
Entra ID Connectに関する詳細情報は、このMicrosoft 記事を参照してください。
重要!
MicrosoftはActive Directoryを展開および管理するため、管理者権限は付与されず、従来のAD管理ツール(たとえば、Active Directory ユーザーとコンピューターやグループポリシー管理)を使用して接続し、管理できます。
Entra Domain Servicesは、Entra ID Connectを使用して同期されている場合、既存のドメインのユーザーオブジェクトを持つ新しいドメインです。
Entra IDからこの新しいドメインに同期されたユーザーオブジェクトは読み取り専用です。これらは、ソースAD(Entra ID Connectが使用されている場合)またはEntra ID(顧客がクラウド専用の場合)でのみ変更できます。
AzureでVMを作成すると、それらはこの新しいドメインに参加します。それらはオンプレミスの既存のドメインの一部ではなく、Azureにある新しいドメインの一部です。
既存のオンプレミスドメインに参加しているサーバーは、新しいEntra Domain Servicesドメインの一部ではなく、ユーザーオブジェクトのみが複製されます。Entra Domain ServicesとオンプレミスAD DS環境との間に、認証を可能にする信頼関係はありません。
オンプレミスからAzureへのサーバーのリフトアンドシフト移行を行う際に、Entra Domain Servicesが有効になっている場合、サーバーを新しいドメインに参加させる必要があり、既存のユーザーがアクセスできるようになります。これにはサーバーの変更が必要です。
新しいEntra Domain Servicesドメインを管理するために、RSATがインストールされた「管理VM」をAzureで実行する必要があります。
Office 365のシングルサインオンを可能にするActive Directory Federation Services (AD_FS)機能はサポートされていません。
ディレクトリスキーマ拡張はサポートされていません。
地域障害が発生した場合に、Entra Domain Servicesドメインを他のAzureリージョンに切り替える方法はありません。
一度展開すると、展開を削除せずにコストを抑えるため、Entra Domain Servicesを一時停止することはできません。
コメント (0件のコメント)