AzureのActive Directory Domain Servicesとは何ですか?

  • 01/20/2021
  • 5分で読める
    • J
  • k
  • k
  • M
  • i
  • +1

Azure Active Directory Domain Services(AD DS)は、ドメイン参加などのマネージド・ドメイン・サービスを提供します。 グループポリシー、LDAP(Lightweight Directory Access Protocol)、Kerberos/NTLM認証。 Azure AD DS マネージド ドメインを使用すると、最新の認証方法を使用できないレガシー アプリケーションをクラウドで実行したり、ディレクトリ検索をオンプレミスの AD DS 環境に常に戻したくない場合に、これらのドメイン サービスを使用することができます。 これらのレガシー アプリケーションをオンプレミス環境からマネージド ドメインに移行し、クラウドの AD DS 環境を管理する必要はありません。

Azure AD DS は、既存の Azure AD テナと統合されます。 この統合により、ユーザーは既存の資格情報を使用して、管理対象ドメインに接続されたサービスやアプリケーションにサインインできます。 また、既存のグループやユーザーアカウントを使用して、リソースへのアクセスを保護することができます。 これらの機能により、オンプレミスのリソースをAzureにスムーズにリフト&シフトできます。

Azure AD DSの詳細については、短いビデオをご覧ください。

Azure AD DSの仕組み

Azure AD DS管理ドメインを作成すると、固有のネームスペースを定義します。 この名前空間は、aaddscontoso.comのようなドメイン名です。 次に、2つのWindows Serverドメインコントローラー(DC)が、選択したAzureリージョンに展開されます。 このDCの配置は、レプリカセットとして知られています。

これらのDCを管理、構成、または更新する必要はありません。 Azureプラットフォームは、Azure Disk Encryptionを使用したバックアップや静止時の暗号化など、管理対象ドメインの一部としてDCを処理します。

管理対象ドメインは、ユーザー、グループ、および資格情報の中央セットへのアクセスを提供するためにAzure ADから一方向の同期を実行するように構成されます。 管理対象ドメインで直接リソースを作成できますが、Azure AD に戻って同期されません。 管理対象ドメインに接続するAzureのアプリケーション、サービス、およびVMは、ドメイン参加、グループポリシー、LDAP、およびKerberos/NTLM認証などの共通のAD DS機能を使用できます。

オンプレミスAD DS環境との複合環境では、Azure AD ConnectによってID情報をAzure ADと同期し、それが管理対象ドメインに同期されます。

Azure AD DSはAzure ADからID情報を複製するため、クラウドオンリーのAzure ADテナントや、オンプレミスのAD DS環境と同期して動作する。

  • 既存のオンプレミスAD DS環境がある場合、ユーザーアカウント情報を同期して、ユーザーに一貫したIDを提供することができます。 詳しくは、管理対象ドメインでオブジェクトと資格情報を同期する方法を参照してください。
  • クラウドオンリー環境では、Azure AD DSの集中型アイデンティティサービスを使用するために、従来のオンプレミスAD DS環境は必要ありません。

AzureADテナントごとに複数のレプリカセットを持つために管理対象ドメインを拡張することが可能です。 レプリカセットは、Azure AD DSをサポートする任意のAzureリージョンの任意のピアリングされた仮想ネットワークに追加できます。 異なるAzureリージョンにレプリカセットを追加することで、Azureリージョンがオフラインになった場合に、レガシーアプリケーションの地理的なディザスタリカバリを実現します。 レプリカセットは現在プレビュー中です。 詳細については、「管理対象ドメインのレプリカセットの概念と機能」を参照してください。

次のビデオでは、Azure AD DS がアプリケーションやワークロードと統合してクラウドで ID サービスを提供する方法の概要を説明しています。

実際に Azure AD DS の導入シナリオを確認するには、次の例を参照してください。

  • Azure AD DS for hybrid organizations
  • Azure AD DS for cloud-only organizations

Azure AD DS features and benefits

クラウド上のアプリケーションや仮想マシンにアイデンティティ サービスを提供するにあたり、Azure AD DSはドメイン結合、安全なLDAP (LDAPS)、グループポリシー、DNS管理、LDAP結合および読み取りサポートなどの運用で従来のAD DS環境と完全互換性を持っています。 LDAP書き込みサポートは、管理対象ドメインで作成されたオブジェクトで利用できますが、Azure ADから同期されたリソースでは利用できません。

アイデンティティオプションの詳細については、Azure AD DSとAzure AD、AD DS on Azure VMs、およびAD DS on-premises を比較してください。

Azure AD DSの次の機能は、展開および管理操作を簡素化します:

  • 簡素な展開経験。 Azure AD DSは、Azureポータルの単一のウィザードを使用して、Azure ADテナントに対して有効になります。 ユーザーアカウント、グループメンバーシップ、および資格情報は、Azure AD テナントから自動的に利用できます。 Azure ADテナントまたはオンプレミスのAD DS環境からの新しいユーザー、グループ、または属性の変更は、自動的にAzure AD DSに同期されます。
    • Azure ADにリンクされている外部ディレクトリのアカウントは、Azure AD DSで利用できません。 これらの外部ディレクトリでは資格情報を利用できないため、管理対象ドメインに同期できません。
  • 企業資格情報/パスワードを使用します。 Azure AD DS のユーザーのパスワードは、Azure AD テナントと同じです。 ユーザーは、企業の資格情報を使用して、マシンのドメイン結合、対話的またはリモートデスクトップでのサインイン、および管理対象ドメインに対する認証を行うことができます。 NTLMとKerberos認証のサポートにより、Windows統合認証に依存するアプリケーションを展開することができます。 Azure AD DSには複数のドメインコントローラーが含まれており、管理対象ドメインに高可用性を提供します。 この高可用性は、サービスのアップタイムと障害に対する回復力を保証します。
    • Azure Availability Zoneをサポートする地域では、これらのドメインコントローラは、さらなる回復力のためにゾーンに分散されています。
    • レプリカ セットは、Azure リージョンがオフラインになった場合に、レガシー アプリケーションの地理的なディザスタ リカバリを提供するためにも使用できます。

    管理対象ドメインのいくつかの重要な側面には以下が含まれます。 必要に応じて、Azure AD DSからオンプレミスAD DS環境への一方向のアウトバウンドフォレスト信頼を作成することができます。 詳細については、Azure AD DSのリソースフォレストの概念と機能を参照してください。

  • Your IT team doesn’t need to manage, patch, or monitor domain controllers for this managed domain.
  • AD DS on-premises run hybrid environments, you need to manage AD replication to the managed domain.

  • You can make oneway outbound forest trust to the Azure AD DS for the network on-premises. オンプレミスのディレクトリのユーザーアカウント、グループメンバーシップ、および資格情報は、Azure AD Connectを介してAzure ADに同期されます。 これらのユーザーアカウント、グループメンバーシップ、および資格情報は、管理対象ドメイン内で自動的に利用できます。

    AzureADDSと他のIDソリューションとの比較、および同期の仕組みの詳細については、以下の記事を参照してください。

    • Azure AD DS と Azure AD、Azure VM 上の Active Directory Domain Services、およびオンプレミスの Active Directory Domain Services を比較する
    • Azure AD Domain Services と Azure AD ディレクトリの同期方法を学ぶ
    • 管理対象ドメインの管理方法については、Azure AD DS におけるユーザー アカウント、パスワード、管理に関する管理の概念を参照ください。

    開始するには、Azureポータルを使用して、管理対象ドメインを作成します。

  • コメントを残す

    メールアドレスが公開されることはありません。