この参照アーキテクチャでは、オンプレミスの AD フォレスト内のドメインによって信頼される別の Active Directory ドメインを Azure に作成する方法を示します。
"AD DS フォレスト" アーキテクチャ用の Visio ファイル をダウンロードします。
Active Directory Domain Services (AD DS) は、ID 情報を階層構造に格納します。 階層構造の最上位ノードは、フォレストと呼ばれます。 フォレストにはドメインが含まれており、ドメインには他の種類のオブジェクトが含まれています。 この参照アーキテクチャでは、オンプレミス ドメインとの一方向の送信信頼関係を持つ AD DS フォレストが Azure に作成されます。 Azure のフォレストには、オンプレミスに存在しないドメインが含まれています。 信頼関係があるため、オンプレミス ドメインに対して行われたログオンは、別の Azure ドメイン内のリソースにアクセスするために信頼できます。
このアーキテクチャの一般的な用途には、クラウドに保持されているオブジェクトと ID のセキュリティ分離の維持、オンプレミスからクラウドへの個々のドメインの移行などがあります。
その他の考慮事項については、「オンプレミスの Active Directory と Azureを統合するためのソリューションを選択する」を参照してください。
建築
アーキテクチャには、次のコンポーネントがあります。
- オンプレミス ネットワーク をします。 オンプレミス ネットワークには、独自の Active Directory フォレストとドメインが含まれています。
- Active Directory サーバー をします。 これらは、クラウドで VM として実行されているドメイン サービスを実装するドメイン コントローラーです。 これらのサーバーは、オンプレミスにあるドメインとは別に、1 つ以上のドメインを含むフォレストをホストします。
- 一方向の信頼関係 をします。 図の例は、Azure のドメインからオンプレミス ドメインへの一方向の信頼を示しています。 この関係により、オンプレミスのユーザーは Azure のドメイン内のリソースにアクセスできますが、逆の方法ではアクセスできません。
- Active Directory サブネット をします。 AD DS サーバーは、別のサブネットでホストされます。 ネットワーク セキュリティ グループ (NSG) 規則は、AD DS サーバーを保護し、予期しないソースからのトラフィックに対してファイアウォールを提供します。
- Azure ゲートウェイ をします。 Azure ゲートウェイは、オンプレミス ネットワークと Azure VNet の間の接続を提供します。 これは、VPN 接続 または Azure ExpressRoute できます。 詳細については、「VPN ゲートウェイを使用してオンプレミス ネットワークを Azure に接続する」を参照してください。
推奨 事項
Azure での Active Directory の実装に関する具体的な推奨事項については、「Active Directory Domain Services (AD DS) を Azureに拡張する」を参照してください。
信託
オンプレミス ドメインは、クラウド内のドメインとは異なるフォレスト内に含まれています。 クラウド内のオンプレミス ユーザーの認証を有効にするには、Azure のドメインがオンプレミス フォレスト内のログオン ドメインを信頼する必要があります。 同様に、クラウドが外部ユーザーにログオン ドメインを提供する場合、オンプレミス フォレストがクラウド ドメインを信頼することが必要になる場合があります。
フォレスト レベルで信頼を確立するには、フォレストの信頼 を作成するか、外部信頼 を作成ドメイン レベルで確立します。 フォレスト レベルの信頼により、2 つのフォレスト内のすべてのドメイン間にリレーションシップが作成されます。 外部ドメイン レベルの信頼では、指定された 2 つのドメイン間にのみリレーションシップが作成されます。 外部ドメイン レベルの信頼は、異なるフォレスト内のドメイン間でのみ作成する必要があります。
オンプレミスの Active Directory との信頼は、単一方向 (一方向) のみです。 一方向の信頼により、あるドメインまたはフォレスト (受信 ドメインまたはフォレストと呼ばれます) のユーザーは、別のドメインまたはフォレスト (送信 ドメインまたはフォレスト) に保持されているリソースにアクセスできます。
次の表は、いくつかの単純なシナリオの信頼構成をまとめたものです。
| シナリオ | オンプレミスの信頼 | クラウドの信頼 |
|---|---|---|
| オンプレミスのユーザーはクラウド内のリソースにアクセスする必要がありますが、その逆は必要ありません | 一方向、受信 | 一方向、送信 |
| クラウド内のユーザーはオンプレミスにあるリソースにアクセスする必要がありますが、その逆は必要ありません | 一方向、送信 | 一方向、受信 |
考慮 事項
これらの考慮事項は、Azure Well-Architected Framework の柱を実装します。これは、ワークロードの品質を向上させるために使用できる一連の基本原則です。 詳細については、Microsoft Azure Well-Architected Framework のに関するページを参照してください。
確実
信頼性により、アプリケーションは顧客に対するコミットメントを確実に満たすことができます。 詳細については、「信頼性 設計レビューチェックリスト」を参照してください。
各ドメインに少なくとも 2 つのドメイン コントローラーをプロビジョニングします。 これにより、サーバー間の自動レプリケーションが有効になります。 各ドメインを処理する Active Directory サーバーとして機能する VM の可用性セットを作成します。 この可用性セットには、少なくとも 2 つのサーバーを配置します。
また、柔軟な単一マスター操作 (FSMO) ロール として機能するサーバーへの接続が失敗した場合に、各ドメイン内の 1 つ以上のサーバーをスタンバイ操作マスターとして指定することを検討してください。
安全
セキュリティは、意図的な攻撃や貴重なデータとシステムの悪用に対する保証を提供します。 詳細については、「セキュリティ 設計レビューチェックリスト」を参照してください。
フォレスト レベルの信頼は推移的です。 オンプレミスのフォレストとクラウド内のフォレストの間にフォレスト レベルの信頼を確立した場合、この信頼は、いずれかのフォレストに作成された他の新しいドメインに拡張されます。 セキュリティ上の目的でドメインを使用して分離を提供する場合は、ドメイン レベルでのみ信頼を作成することを検討してください。 ドメイン レベルの信頼は推移的ではない。
Active Directory 固有のセキュリティに関する考慮事項については、「Active Directory を Azureに拡張する」のセキュリティに関する考慮事項のセクションを参照してください。
コストの最適化
コストの最適化は、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳細については、「コストの最適化 設計レビューチェックリスト」を参照してください。
Azure 料金計算ツールの を使用して、コストを見積もります。 その他の考慮事項については、Microsoft Azure Well-Architected Framework の「コスト」セクション参照してください。
このアーキテクチャで使用されるサービスのコストに関する考慮事項を次に示します。
AD Domain Services
コストを削減するために、複数のワークロードで使用される共有サービスとして Active Directory Domain Services を使用することを検討してください。 詳細については、「Active Directory Domain Services の価格」を参照してください。
Azure VPN Gateway
このアーキテクチャの主要なコンポーネントは、VPN ゲートウェイ サービスです。 ゲートウェイがプロビジョニングされ使用可能な時間に基づいて課金されます。
すべての受信トラフィックは無料で、すべての送信トラフィックに課金されます。 インターネット帯域幅のコストは、VPN 送信トラフィックに適用されます。
詳細については、「VPN Gateway の価格」を参照してください。
オペレーショナル エクセレンス
オペレーショナル エクセレンスは、アプリケーションをデプロイし、運用環境で実行し続ける運用プロセスを対象としています。 詳細については、「オペレーショナル エクセレンス 設計レビュー チェックリスト」を参照してください。
DevOps
DevOps に関する考慮事項については、「Active Directory Domain Services (AD DS) を Azure に拡張するのオペレーショナル エクセレンス」を参照してください。
管理
管理と監視に関する考慮事項については、「Active Directory から Azureへの拡張」を参照してください。
Active Directory の監視のガイダンスに従ってください。 Microsoft Systems Center などのツールを管理サブネット内の監視サーバーにインストールして、これらのタスクを実行できます。
パフォーマンス効率
パフォーマンス効率は、ユーザーの要求を効率的に満たすワークロードの機能です。 詳細については、「パフォーマンス効率 設計レビュー チェックリスト」を参照してください。
Active Directory は、同じドメインの一部であるドメイン コントローラーに対して自動的にスケーラブルです。 要求は、ドメイン内のすべてのコントローラーに分散されます。 別のドメイン コントローラーを追加すると、ドメインと自動的に同期されます。 ドメイン内のコントローラーにトラフィックを転送するように個別のロード バランサーを構成しないでください。 すべてのドメイン コントローラーに、ドメイン データベースを処理するための十分なメモリとストレージ リソースがあることを確認します。 すべてのドメイン コントローラー VM のサイズを同じにします。