Microsoft Entra Domain Services について説明する
Contoso IT チームは、ドメイン メンバーであるコンピューターとデバイスに、さまざまな基幹業務 (LOB) アプリケーションを展開します。 Contoso は、認証に AD DS ベースの資格情報を使用し、それらのデバイスとアプリの管理に GPO を使用します。 Azure で実行するために、これらのアプリの移行を検討しています。 ここでの主な問題は、これらのアプリにどのように認証サービスを提供するかということです。
このニーズを満たすために、Contoso IT チームは次のことを選択できます。
- ローカル インフラストラクチャと Azure IaaS の間に、サイト間仮想プライベート ネットワーク (VPN) を実装します。
- Azure の VM としてローカル AD DS からレプリカ ドメイン コントローラーをデプロイします。
ただし、これらのアプローチでは、追加のコストと管理作業が必要になる場合があります。 また、この 2 つの方法の違いは、1 つ目のオプションを使用すると、認証トラフィックが VPN を越えることです。2 つ目のオプションでは、レプリケーション トラフィックが VPN を越え、認証トラフィックはクラウドにとどまります。 Microsoft では、これらの方法の代替策として Microsoft Entra Domain Services を提供しています。
Microsoft Entra Domain Services とは
Microsoft Entra Domain Services は、Microsoft Entra ID P1 または P2 レベルの一部として実行され、グループ ポリシー管理、ドメイン参加、Kerberos 認証などのドメイン サービスを Microsoft Entra テナントに提供します。 これらのサービスはオンプレミスの AD DS と完全に互換性があるため、クラウドに追加のドメイン コントローラーをデプロイして管理することなく使用できます。
Microsoft Entra ID はオンプレミスの AD DS と統合できるため、Microsoft Entra Connect を実装すると、ユーザーはオンプレミスの AD DS と Microsoft Entra Domain Services の両方で組織の資格情報を利用できます。 AD DS がローカルにデプロイされていない場合でも、Microsoft Entra Domain Services をクラウド専用サービスとして使用することを選択できます。 これにより、オンプレミスまたはクラウドに単一のドメイン コントローラーを展開しなくても、ローカルに展開された AD DS と同様の機能を持つことができます。
たとえば、Contoso の IT スタッフは、Microsoft Entra のテナントを作成し、Microsoft Entra Domain Services を有効にしたうえで、オンプレミスのリソースと Microsoft Entra テナントの間に仮想ネットワーク (VNet) をデプロイすることを選択できます。 Contoso の IT スタッフは、この VNet に対して Microsoft Entra Domain Services を有効にして、すべてのオンプレミスのユーザーとサービスが Microsoft Entra ID からドメイン サービスを使用できるようにすることができます。
Microsoft Entra Domain Services には、組織にとって次のようないくつかの利点があります。
- 管理者は、ドメイン コントローラーの管理、更新、および監視を行う必要はありません。
- 管理者は Active Directory レプリケーションを展開および管理する必要はありません。
- Microsoft Entra Domain Services によって管理されるドメインの Domain Admins または Enterprise Admins グループは必要ありません。
Microsoft Entra Domain Services を実装することを選択した場合は、サービスの現在の制限事項を理解する必要があります。 次の設定があります。
- 基本のコンピューターの Active Directory オブジェクトのみがサポートされています。
- Microsoft Entra Domain Services ドメインのスキーマを拡張することはできません。
- OU 構造はフラットであり、入れ子になった OU は現在サポートされていません。
- 組み込みの GPO があります。これは、コンピューターとユーザー アカウント用に存在します。
- 組み込みの GPO を持つ OU を対象にすることはできません。 また、Windows Management Instrumentation (WMI) フィルターやセキュリティグループのフィルター処理を使用することはできません。
Microsoft Entra Domain Services を使用すると、LDAP、NT LAN Manager (NTLM)、または Kerberos プロトコルを使用するアプリケーションを、オンプレミスのインフラストラクチャからクラウドに自由に移行できます。 また、VM で Microsoft SQL Server や SharePoint Server などのアプリケーションを使用したり、Azure IaaS にデプロイしたりすることもできます。 これはすべて、クラウド内のドメイン コントローラー、またはローカル インフラストラクチャへの VPN を必要としません。 次の表は、Microsoft Entra Domain Services を利用するいくつかの一般的なシナリオを示しています。
| 長所 | 説明 |
|---|---|
| Azure VM のセキュリティで保護された管理 | Azure VM を Microsoft Entra Domain Services マネージド ドメインに参加させることができます。これにより、Active Directory の資格情報の 1 つのセットを使用できます。 この方法を使用すると、各 VM 上のローカル管理者アカウントの管理や、環境間での個別のアカウントおよびパスワードの管理など、資格情報の管理に関する問題が軽減されます。 Microsoft Entra Domain Services マネージド ドメインに参加する VM を管理およびセキュリティで保護できます。 必要なセキュリティ ベースラインを VM に適用し、企業のセキュリティ ガイドラインに従ってロックダウンすることもできます。 たとえば、グループ ポリシー管理機能を使用することで、VM 上で起動できるアプリケーションの種類を制限することができます。 |
| LDAP バインド認証を使用するオンプレミス アプリケーション | このシナリオでは、Microsoft Entra Domain Services を使用することで、認証プロセスの一環としてアプリケーションに LDAP バインドを実行させることができます。 構成またはユーザー エクスペリエンスに何ら変更を加えることなく、従来のオンプレミス アプリケーションを Azure にリフトアンドシフトし、そのアプリケーションで引き続きユーザーをシームレスに認証することができます。 |
| LDAP 読み取りを使用してディレクトリにアクセスするオンプレミスのアプリケーション | このシナリオでは、Microsoft Entra Domain Services はアプリケーションにマネージド ドメインに対する LDAP 読み取りを実行させて、必要な属性情報を取得できます。 アプリケーションを書き直す必要がないため、Azure へのリフトアンドシフトを実施することにより、アプリの実行場所の変更に気づくことなくユーザーが引き続きアプリを使用できるようにすることができます。 |
| オンプレミスのサービスまたはデーモン アプリケーション | 一部のアプリケーションには複数の層が含まれていますが、そのうち 1 つの層では、データベースなどのバックエンド層に対して認証された呼び出しを実行する必要があります。 Active Directory サービス アカウントは、これらのシナリオで一般的に使用されます。 アプリケーションを Azure にリフトアンドシフトする場合、Microsoft Entra Domain Services を利用すれば、サービス アカウントを引き続き同じ方法で使用できます。 オンプレミスのディレクトリから Microsoft Entra ID に同期される同じサービス アカウントを使用することも、カスタム OU を作成してから、その OU 内で個別のサービス アカウントを作成することもできます。 どちらの方法でも、アプリケーションは引き続き同じ方法で機能し、他の層およびサービスに対して認証された呼び出しを行います。 |
| Azure でのリモート デスクトップ サービス | Microsoft Entra Domain Services を使用して、Azure にデプロイされているリモート デスクトップ サーバーに対して、マネージド ドメイン サービスを提供することもできます。 |
考慮事項
前のシナリオを実装する場合は、次のデプロイに関する考慮事項が適用されます。
- Microsoft Entra Domain Services マネージド ドメインでは、既定で単一のフラットな OU 構造が使用されます。 ドメインに参加している VM はすべて、単一の OU 内にあります。 必要に応じて、カスタム OU を作成することができます。
- Microsoft Entra Domain Services では、ユーザーおよびコンピューターのコンテナーごとに組み込みの GPO が使用されます。 追加の制御を行う場合は、カスタム GPO を作成して、それらをカスタム OU に対するターゲットにすることができます。
- Microsoft Entra Domain Services では、Active Directory の基本コンピューター オブジェクト スキーマがサポートされています。 ただし、コンピューター オブジェクトのスキーマを拡張することはできません。
- Microsoft Entra Domain Services マネージド ドメインでは、パスワードを直接変更することはできません。 エンド ユーザーがパスワードを変更するには、Microsoft Entra ID のセルフサービス パスワード変更メカニズムを使用するか、オンプレミスのディレクトリに対してパスワード変更を行います。 そうすると、これらの変更は自動的に同期され、Microsoft Entra Domain Services マネージド ドメイン内で使用できるようになります。
次のことも確認してください。
- アプリケーションでは、LDAP ディレクトリへの変更や書き込みは不要です。 Microsoft Entra Domain Services マネージド ドメインへの LDAP 書き込みアクセスはサポートされていません。
- アプリケーションには、カスタムまたは拡張 Active Directory スキーマは必要ありません。 Microsoft Entra Domain Services では、スキーマの拡張はサポートされていません。
- アプリケーションでは、認証にユーザー名とパスワードを使用しています。 Microsoft Entra Domain Services では、証明書またはスマート カードベースの認証はサポートされていません。