編集

次の方法で共有


Azure での AD DS リソース フォレストの作成

Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

この参照アーキテクチャは、オンプレミスの AD フォレストでドメインから信頼される別の Active Directory ドメインを Azure に作成する方法を示しています。

別の Active Directory ドメインを使用し、セキュリティ保護されたハイブリッド ネットワーク アーキテクチャ ダイアグラム。

"AD DS フォレスト" アーキテクチャ用の Visio ファイル をダウンロードする。

Active Directory Domain Services (AD DS) は、階層構造に ID 情報を格納します。 階層構造の最上位ノードはフォレストと呼ばれます。 1 つのフォレストには複数のドメインが含まれ、ドメインには他の種類のオブジェクトが含まれています。 この参照アーキテクチャは、オンプレミス ドメインとの間に一方向の送信の信頼関係がある AD DS を Azure に作成します。 Azure のフォレストには、オンプレミスに存在しないドメインが含まれています。 信頼関係があるため、オンプレミス ドメインに対して行われたログオンは、別の Azure ドメイン内のリソースにアクセスする場合にも信頼できます。

このアーキテクチャは、クラウドで保持されているオブジェクトと ID のセキュリティ分離を維持しつつ、個々 のドメインをオンプレミスからクラウドに移行する場合によく使用されます。

その他の考慮事項については、「オンプレミスの Active Directory を Azure と統合するためのソリューションの選択」をご覧ください。

アーキテクチャ

このアーキテクチャには次のコンポーネントがあります。

  • オンプレミス ネットワーク。 オンプレミス ネットワークには、独自の Active Directory フォレストとドメインが含まれています。
  • Active Directory サーバー。 クラウドで VM として実行されているドメイン サービスを実装するドメイン コントローラーです。 これらのサーバーは、1 つ以上のドメインを含むフォレストをオンプレミスとは別にホストします。
  • 一方向の信頼。 次の図は、Azure のドメインからオンプレミス ドメインへの一方向の信頼の例を示します。 この関係があると、オンプレミス ユーザーは Azure のドメイン内のリソースにアクセスできますが、逆方向にはアクセスできません。
  • Active Directory サブネット。 AD DS サーバーは、個別のサブネットでホストされます。 ネットワーク セキュリティ グループ (NSG) ルールによって AD DS サーバーが保護され、予期しないソースからのトラフィックに対するファイアウォールが提供されます。
  • Azure ゲートウェイ。 Azure ゲートウェイによって、オンプレミス ネットワークと Azure VNet の間に接続が提供されます。 VPN 接続または Azure ExpressRoute を使用できます。 詳しくは、「VPN ゲートウェイを使用した Azure へのオンプレミス ネットワークの接続」をご覧ください。

Recommendations

Azure での Active Directory の実装に関する具体的な推奨事項については、Active Directory Domain Services (AD DS) の Azure への拡張に関するページを参照してください。

[Trust (信頼)]

オンプレミス ドメインは、クラウドのドメインとは別のフォレストに含まれています。 クラウドでオンプレミス ユーザーの認証を有効にするには、Azure のドメインがオンプレミス フォレストのログオン ドメインを信頼する必要があります。 同様に、クラウドが外部ユーザーに対してログオン ドメインを提供している場合は、必要に応じてオンプレミス フォレストがクラウド ドメインを信頼します。

フォレスト レベルで信頼を確立するには、フォレストの信頼を作成するか、外部信頼を作成してドメイン レベルで信頼を確立します。 フォレスト レベルの信頼で、2 つのフォレスト内のすべてのドメイン間にリレーションシップが作成されます。 外部ドメイン レベルの信頼では、2 つの指定したドメイン間にのみリレーションシップが作成されます。 外部ドメイン レベルの信頼は、異なるフォレストにあるドメイン間にのみ作成することをお勧めします。

オンプレミスの Active Directory との信頼は単向性 (一方向) です。 一方向の信頼では、一方のドメインまたはフォレスト (着信ドメインまたはフォレストと呼ばれます) のユーザーが、もう一方 (送信ドメインまたはフォレスト) に保持されているリソースにアクセスできます。

次の表は、いくつの単純なシナリオについて信頼の構成をまとめた一覧です。

シナリオ オンプレミスの信頼 クラウドの信頼
オンプレミス ユーザーは、クラウド内のリソースにアクセスする必要がありますが、反対方向のアクセスは不要です。 一方向、着信 一方向、送信
クラウドのユーザーは、オンプレミスにあるリソースにアクセスする必要がありますが、反対方向のアクセスは不要です。 一方向、送信 一方向、着信

スケーラビリティに関する考慮事項

同じドメインに属するドメイン コントローラーの場合、Active Directory は自動的にスケーリングします。 要求は、ドメイン内のすべてのコントローラーに分散されます。 別のドメイン コントローラーを追加することもできます。追加したドメイン コントローラーはドメインと自動的に同期されます。 トラフィックをドメイン内のコントローラーに送信するために別のロード バランサーは構成しないでください。 すべてのドメイン コントローラーに、ドメイン データベースを処理できる十分なメモリとストレージ リソースを確保します。 すべてのドメイン コントローラーの VM を同じサイズにします。

可用性に関する考慮事項

各ドメインに少なくとも 2 つのドメイン コントローラーをプロビジョニングします。 こうすることで、サーバー間の自動レプリケーションが可能になります。 各ドメインを処理する Active Directory サーバーとして動作する VM に可用性セットを作成します。 この可用性セットに少なくとも 2 つのサーバーを配置します。

また、Flexible Single Master Operations (FSMO) ロールとして動作するサーバーへの接続が失敗した場合に備えて、各ドメインの 1 つ以上のサーバーをスタンバイ操作マスターに指定することを検討します。

管理容易性に関する考慮事項

管理と監視の考慮事項については、Active Directory の Azure への拡張に関するページを参照してください。

その他の情報については、Active Directory の監視に関するページを参照してください。 Microsoft Systems Center などのツールを監視サーバーにインストールして、これらのタスクを実行することもできます。

セキュリティに関する考慮事項

フォレスト レベルの信頼は推移的です。 オンプレミスのフォレストとクラウドのフォレスト間にフォレスト レベルの信頼を確立する場合、この信頼は、いずれかのフォレストで作成された他の新しいドメインにも拡張されます。 セキュリティ上の目的で分離のために複数のドメインを使用する場合は、ドメイン レベルでのみ信頼を作成することを検討してください。 ドメイン レベルの信頼は非推移的です。

Active Directory 固有のセキュリティの考慮事項については、Active Directory の Azure への拡張に関するページのセキュリティに関する考慮事項を参照してください。

DevOps の考慮事項

DevOps の考慮事項については、Active Directory Domain Services (AD DS) の Azure への拡張に関するページの「オペレーショナル エクセレンス」をご覧ください。

コストに関する考慮事項

コストの見積もりには、Azure 料金計算ツールをご利用ください。 その他の考慮事項については、Microsoft Azure Well-Architected Framework のコストに関するセクションに説明されています。

ここでは、このアーキテクチャで使用されるサービスのコストに関する考慮事項を示します。

AD Domain Services

コストを削減するために、複数のワークロードで使用される共有サービスとして Active Directory Domain Services を使用することを検討してください。 詳細については、「Active Directory Domain Services の価格」を参照してください。

Azure VPN Gateway

このアーキテクチャの主要コンポーネントは、VPN ゲートウェイ サービスです。 料金は、ゲートウェイがプロビジョニングされ、利用可能になっている時間に基づいて発生します。

受信トラフィックはすべて無料です。送信トラフィックはすべて課金されます。 インターネット帯域幅のコストは、VPN の送信トラフィックに適用されます。

詳細については、「VPN Gateway の価格」を参照してください。

次のステップ