Microsoft Entra 統合モデルを選択する
Microsoft Entra ID は、クラウドの AD DS ではありません。これは、クラウドベースおよび Web ベースのアプリケーション向けに設計されたまったく新しいディレクトリ サービスであり、一部の機能を AD DS と共有します。 Contoso の IT チームは Microsoft Entra ID を実装し、そのオンプレミス ID をクラウドに同期させることができます。 これらの手順により、Contoso のスタッフは SSO を使用して、オンプレミスのリソースと Azure テナント内の関連リソースの両方にアクセスできるようになります。
IT チームは Microsoft Entra ID を使用して、従業員の生産性の向上、IT プロセスの合理化、さまざまなクラウド サービスを導入するためのセキュリティの強化を実現できます。 Contoso の従業員は、1 つのユーザー アカウントを使用して複数のオンライン アプリケーションにアクセスできます。 Contoso は、よく知られている Windows PowerShell コマンドレットを使用して、ユーザーの集中管理を行うこともできます。 また、Microsoft Entra ID は、設計上拡張性が高く、高可用性を備えているため、IT チームは、関連するインフラストラクチャを維持したり、ディザスター リカバリーについて心配したりする必要がないという点も注目に値します。
Azure のコンポーネントである Microsoft Entra ID では、クラウド サービス全体のアクセス戦略の一部として多要素認証をサポートできるため、セキュリティが強化されます。 ロールベースのアクセス制御 (RBAC)、セルフサービスのパスワード、グループ管理、およびデバイスの登録により、エンタープライズ対応の ID 管理ソリューションが実現します。 また、Microsoft Entra ID では、脅威をより効率的に認識するのに役立つレポートとアラートの強化に加えて、高度な ID 保護も提供されます。
Microsoft Entra ID の概要
Microsoft Entra ID は、サービスとしてのプラットフォーム (PaaS) オファリングの一部であり、クラウドで Microsoft が管理するディレクトリ サービスとして動作します。 これは、顧客が所有および管理するコア インフラストラクチャに含まれるものではなく、IaaS オファリングでもありません。 これは実装を制御できる範囲が少ないことを意味しますが、デプロイまたはメンテナンスに専用のリソースを割り当てる必要がないことも意味します。
![Microsoft Entra 管理センターの [Microsoft Entra] ペインのスクリーンショット。サインインの線グラフが表示されています。](../../wwl-azure/implement-hybrid-identity-windows-server/media/m12-azure-active-directory.png#lightbox)
Microsoft Entra ID では、多要素認証、ID 保護、セルフサービス パスワード リセットのサポートなど、AD DS でネイティブには使用できない一連の機能にもアクセスできます。 Microsoft Entra ID を使用すると、次の方法により、組織や個人のクラウドベースのリソースにより安全にアクセスできます。
- アプリケーションへのアクセスの構成。
- クラウドベースの SaaS アプリケーションに対する SSO の構成。
- ユーザーとグループの管理。
- ユーザーのプロビジョニング。
- 組織間のフェデレーションの有効化。
- ID 管理ソリューションの提供。
- 不規則なサインイン アクティビティの特定。
- 多要素認証の構成。
- オンプレミスで実装されている既存の Active Directory の Microsoft Entra ID への拡張。
- クラウドおよびローカル アプリケーションのアプリケーション プロキシの構成。
- ユーザーとデバイスに対する条件付きアクセスの構成。
Microsoft Entra テナント
オンプレミスの AD DS とは異なり、Microsoft Entra ID はマルチテナントとして設計されており、特に、個々のディレクトリ インスタンス間で確実に分離されるように実装されています。 これは、100 万個を超えるディレクトリ サービス インスタンスをホストし、1 週間あたり数十億の認証要求がある、世界最大のマルチテナント ディレクトリです。 このコンテキストで "テナント" という用語は、通常、Microsoft 365、Microsoft Intune、Azure など (それぞれで Microsoft Entra ID が使用されます)、Microsoft のクラウドベースのサービスへのサブスクリプションにサインアップした会社または組織を表します。
ただし、技術的な観点から言うと、"テナント" という用語は、個々の Microsoft Entra インスタンスを表します。 1 つの Azure サブスクリプション内で、複数の Microsoft Entra テナントを作成できます。 複数の Microsoft Entra テナントを持つということは、他のテナントに影響を与えずに 1 つのテナントで Microsoft Entra 機能をテストする場合に便利なことがあります。
Note
どの時点でも、Azure サブスクリプションは 1 つの Microsoft Entra テナントのみに関連付けられている必要があります。 ただし、同じ Microsoft Entra テナントを複数の Azure サブスクリプションに関連付けることができます。
各 Microsoft Entra テナントには、一意のプレフィックスで構成される既定の DNS ドメイン名が割り当てられます。 このプレフィックスは、Azure サブスクリプションの作成に使用する Microsoft アカウントの名前から派生するか、Microsoft Entra テナントを作成するときに明示的に指定し、その後にサフィックス onmicrosoft.com が続きます。 同じ Microsoft Entra テナントに少なくとも 1 つのカスタム ドメイン名を追加することは可能であり、一般的です。 この名前には、該当する会社または組織が所有する DNS ドメイン名前空間 (Contoso.com など) が利用されます。 Microsoft Entra テナントは、セキュリティ境界として機能し、ユーザー、グループ、アプリケーションなどの Microsoft Entra オブジェクトのコンテナーとして機能します。
Microsoft Entra ID の特性
Microsoft Entra ID は多くの点で AD DS に似ていますが、違いも数多くあります。 認識すべき重要な点は、Microsoft Entra ID を使用することは、AD DS ドメイン コントローラーを Azure VM にデプロイし、それをオンプレミス ドメインに追加することと同じではないということです。
Microsoft Entra ID を AD DS と比較するときに、AD DS とは異なる Microsoft Entra の特性に注意することが重要です。
- Microsoft Entra ID は主に ID ソリューションであり、HTTP (ポート 80) および HTTPS (ポート 443) 通信を使用してインターネットベースのアプリケーション向けに設計されています。
- Microsoft Entra ID はマルチテナント ディレクトリ サービスです。
- Microsoft Entra ユーザーとグループはフラット構造で作成され、組織単位 (OU) またはグループ ポリシー オブジェクト (GPO) はありません。
- LDAP を使用して Microsoft Entra ID のクエリを実行することはできません。代わりに、Microsoft Entra ID では、HTTP および HTTPS 経由で REST API を使用します。
- Microsoft Entra ID では Kerberos 認証を使用しません。代わりに、Security Assertion Markup Language (SAML)、Web Services Federation (WS-Federation)、OpenID Connect などの HTTP および HTTPS プロトコルを認証に使用します。 また、承認には Open Authorization (OAuth) も使用します。
- Microsoft Entra ID にはフェデレーション サービスが含まれており、多くのサードパーティのサービスが Microsoft Entra ID とフェデレーションされ、Microsoft Entra ID を信頼します。
Microsoft Entra 統合オプション
オンプレミスのディレクトリ (AD DS など) を持たない小規模な組織は、認証と認可のサービスを Microsoft Entra ID に完全に依存できます。 ただし、このような組織の数は依然として非常に少ないため、ほとんどの企業は、オンプレミスの AD DS と Microsoft Entra ID を統合する方法を探しています。 Microsoft が Microsoft Entra ID によって提供するクラウド規模の ID とアクセスの管理には、AD DS と Azure を統合するためのいくつかのオプションが用意されています。 次の表では、これらのオプションについて説明します。
| Options | 説明 |
|---|---|
| オンプレミスの AD DS を Azure に拡張 | このオプションでは、Azure で VM をホストし、オンプレミスの AD DS でドメイン コントローラーとして昇格させます。 |
| オンプレミスの AD DS と Microsoft Entra ID の同期 | ディレクトリ同期は、ユーザー、グループ、連絡先の情報を Microsoft Entra ID に伝え、その情報を同期された状態に保ちます。 このシナリオでは、ユーザーは異なるパスワードを使用してクラウドとオンプレミスのリソースにアクセスします。認証プロセスは独立しています。 |
| パスワード ハッシュ同期を使用した AD DS と Microsoft Entra ID の同期 | この方法では、オンプレミスの AD DS は Microsoft Entra ID とオブジェクトを同期しますが、ユーザー オブジェクトのパスワード ハッシュも Microsoft Entra ID に送信されます。 このオプションを使うと、ユーザーは、現在のオンプレミスのサインインと同じパスワードを提供して、Microsoft Entra ID に対応したアプリケーションとリソースにアクセスできます。 エンド ユーザーにとって、このアプローチでは同じサインイン エクスペリエンスが提供されます。 |
| オンプレミスの AD DS と Microsoft Entra ID の間の SSO の実装 | このオプションでは、最大範囲の統合機能がサポートされており、ユーザーはオンプレミスの AD DS 経由で認証した後に Azure にサインインすることができます。 この機能を提供するテクノロジは、"フェデレーション" と呼ばれ、Active Directory フェデレーション サービス (AD FS) を使用して実装できます。 AD FS は、Web アプリケーション プロキシ サーバーの役割サービスの形式を使用する、一連のフェデレーション サーバーとプロキシに依存します。 AD FS デプロイの代替手段として、パススルー認証テクノロジを使用することもできます。これにより、AD FS とほぼ同じ結果が得られます。 ただし、Web アプリケーション プロキシは使用しないため、AD FS よりも複雑でないインフラストラクチャが必要です。 |
Microsoft Entra ディレクトリは、オンプレミス ディレクトリの拡張機能ではありません。 同じオブジェクトと ID を含んだコピーです。 オンプレミスでこれらのアイテムに変更が加えられた場合、それらの変更は Microsoft Entra ID にコピーされますが、Microsoft Entra ID で加えられた変更はオンプレミス ドメインにはレプリケートされません。
ヒント
オンプレミス ディレクトリを使用せずに Microsoft Entra ID を使用することもできます。 その場合、Microsoft Entra ID はオンプレミス ディレクトリからレプリケートされたデータを格納するのではなく、すべての ID 情報のプライマリ ソースとして機能します。