AzureランディングゾーンでのActive DirectoryとMicrosoft Entra IDを使用したハイブリッドID
この記事では、Azure ランディングゾーンの Microsoft Entra ID とハイブリッドID を設計および実装する方法について説明します。
クラウドで運用されている組織では、ユーザーIDとリソースへのアクセスを管理するためのディレクトリサービスが必要です。 Microsoft Entra IDは、ユーザーとグループを管理するための堅牢な機能を提供するクラウドベースのIDおよびアクセス管理サービスです。 スタンドアロンの ID ソリューションとして Microsoft Entra ID を使用することも、Microsoft Entra Domain ServicesインフラストラクチャまたはオンプレミスのActive Directory Domain Services (AD DS) インフラストラクチャと統合することもできます。
Microsoft Entra ID は、Azure および Microsoft 365 サービスの最新のセキュリティで保護された ID およびアクセス管理を提供します。 Microsoft Entra ID は、さまざまな組織やワークロードに使用できます。 たとえば、オンプレミスの AD DS インフラストラクチャとクラウドベースのワークロードを持つ組織は、Microsoft Entra ID とのディレクトリ同期を使用できます。 ディレクトリ同期により、オンプレミス環境とクラウド環境で一貫した ID、グループ、ロールのセットが共有されます。 レガシ認証メカニズムを必要とするアプリケーションでは、クラウド内のマネージド ドメイン サービス用の Domain Services を必要とし、オンプレミスの AD DS インフラストラクチャを Azure に拡張することが必要になる場合があります。
クラウドベースの ID 管理は反復的なプロセスです。 クラウドネイティブ ソリューションと、ユーザーと初期展開に対応するロールの少数のセットを持つクラウドネイティブ ソリューションを使用して開始できます。 移行が進むにつれて、ディレクトリ同期の使用による ID ソリューションの統合や、クラウド展開の一部としてクラウドがホストするドメイン サービスの追加が必要になる場合があります。
ワークロードの認証要件とその他のニーズ (組織のID戦略とセキュリティ要件の変更、他のディレクトリサービスとの統合など) に応じて、時間をかけて IDソリューションを調節します。 Windows Server Active Directory ソリューションを評価するときは、Windows Server 上の Microsoft Entra ID、Domain Services、および AD DS の違いを理解してください。
詳細については、「アイデンティティーの決定」を参照ください。
AzureランディングゾーンのIDおよびアクセス管理サービス
プラットフォームチームは、IDおよびアクセス管理の管理を担当します。 IDおよびアクセス管理サービスは、組織のセキュリティの基本です。 組織は Microsoft Entra ID を使用して、管理アクセスを制御し、プラットフォーム リソースを保護できます。 このアプローチにより、プラットフォーム チームの外部のユーザーは、Microsoft Entra ID に含まれる構成またはセキュリティ プリンシパルを変更できなくなります。
AD DS または Domain Services を使用する場合、未承認のアクセスからドメイン コントローラーを保護する必要もあります。 ドメイン コントローラーは攻撃者にとって非常に脆弱であり、厳格なセキュリティ制御とアプリケーション ワークロードからの分離が必要です。
ドメイン コントローラーと関連コンポーネント (Microsoft Entra Connect サーバーなど) は、プラットフォーム管理グループ内に置かれた ID サブスクリプションに展開されます。 ドメインコントローラーはアプリケーションチームに委任されません。 この分離により、アプリケーション所有者は ID サービスを保守しなくても使用できるため、ID およびアクセス管理サービスに対する侵害のリスクが軽減されます。 IDプラットフォームサブスクリプションのリソースは、クラウドおよびオンプレミス環境のセキュリティの重要なポイントです。
アプリケーション所有者がワークロードのニーズに合わせて Microsoft Entra ID または AD DS と Domain Services のいずれかを選択できるように、ランディング ゾーンをプロビジョニングします。 ID ソリューションによっては、その他のサービスを構成する必要がある場合があります。 たとえば、ID仮想ネットワークへのネットワーク接続を有効にし、セキュリティで保護する必要がある場合があります。 サブスクリプション販売プロセスを使用する場合は、この構成情報をサブスクリプション要求に含めます。
Azureおよびオンプレミスのドメイン (ハイブリッドID)
完全に Microsoft Entra ID で作成されたユーザーオブジェクトは、クラウド専用アカウント として知られています。 クラウド専用アカウントは、Azure と Microsoft 365 のリソースへの先進認証とアクセスをサポートし、また、Windows 10 または Windows 11 を使用するローカルデバイスへのアクセスもサポートしています。
組織では、ライトウェイトディレクトリアクセスプロトコル (LDAP) を介して基幹業務やエンタープライズ リソース プランニング (ERP) などの他のシステムと統合する、長期間の AD DS ディレクトリが既に存在しています。 これらのドメインには、認証に Kerberos または以前の NTLMv2 プロトコルを使用する、ドメインに参加しているコンピューターやアプリケーションが多数含まれている場合があります。 このような環境では、ユーザーが単一のidでオンプレミスのシステムとクラウドリソースの両方にサインインできるように、ユーザーオブジェクトをMicrosoft Entra IDに同期することができます。 オンプレミスとクラウド ディレクトリサービスの統合は、ハイブリッドID として知られています。 オンプレミスドメインをAzureランディングゾーンに拡張できます:
クラウド環境とオンプレミス環境の両方で単一のユーザー オブジェクトを維持するために、Microsoft Entra Connect または Microsoft Entra Cloud Sync を介して AD DS ドメイン ユーザーを Microsoft Entra ID と同期できます。お使いの環境での推奨構成を決定するには、「Microsoft Entra Connect のトポロジ」と「Microsoft Entra Cloud Sync のトポロジ」を参照してください。
Windows Virtual Machines (VM) やその他のサービスをドメイン参加させるには、Azure にAD DS ドメインコントローラーまたは Domain Services をデプロイできます。 この方法を使用して、AD DSユーザーは、Windowsサーバー、Azure ファイル共有、および Active Directory を認証ソースとして使用するその他のリソースにサインインできます。 認証ソースとして、グループ ポリシーなど、他の Active Directory テクノロジを使用することもできます。 詳細については、 Microsoft Entra Domain Servicesの一般的な展開シナリオ を参照してください。
ハイブリッドアイデンティティの推奨
IDソリューションの要件を判断するには、各アプリケーションが使用する認証プロバイダーを文書化します。 ID 決定ガイド を使用して、組織に適したサービスを選択します。 詳細については、「Azure Active Directory を Microsoft Entra ID と比較する」を参照してください。
Domain Servicesに依存し、古いプロトコルを使用するアプリケーションには、ドメインサービスを使用することができます。 場合によっては、既存の AD DS ドメインは後方互換対応性をサポートし、レガシプロトコルを許可するため、セキュリティに悪影響を及ぼす可能性があります。 オンプレミス ドメインを拡張する代わりに、Domain Services を使用して、レガシ プロトコルを許可しない新しいドメインを作成することを検討してください。 クラウドでホストされるアプリケーションのディレクトリ サービスとして、新しいドメインを使用します。
Azure のハイブリッド ID 戦略の重要な設計要件として回復性を考慮します。 Microsoft Entra ID は グローバルに冗長なクラウドベースのシステム ですが、Domain Services と AD DS はそうではありません。 Domain Services と AD DS を実装する場合は、回復性を慎重に計画します。 いずれかのサービスを設計する場合は、マルチリージョン デプロイを使用して、リージョン インシデントが発生した場合にサービス操作を継続することを検討してください。
オンプレミスの AD DS インスタンスを Azure に拡張し、デプロイを最適化するには、Azure リージョンを Active Directory サイト デザイン に組み込みます。 ワークロードをデプロイする予定の各 Azure リージョンの AD DS サイトとサービスにサイトを作成します。 次に、リージョンにデプロイする予定の IP アドレスの範囲ごとに、AD DS サイトとサービスに新しいサブネット オブジェクトを作成します。 新しいサブネット オブジェクトを、作成した AD DS サイトに関連付けます。 この構成により、ドメイン コントローラー 位置情報サービスは、承認要求と認証要求を、同じ Azure リージョン内の最も近い AD DS ドメイン コントローラーに送信します。
ゲスト、顧客、パートナーにリソースへアクセスできるように設定するシナリオを評価します。 これらのシナリオに、顧客のMicrosoft Entra B2BまたはMicrosoft Entra外部IDが含まれるかどうかを判断します。 詳細については、Microsoft Entra 外部 ID に関するページを参照してください。
イントラネットアクセスにMicrosoft Entraアプリケーションプロキシを使用しないでください。ユーザーエクスペリエンスに待機時間が追加されるためです。 詳細については、 「Microsoft Entraアプリケーションプロキシの計画」 および 「Microsoft Entraアプリケーションプロキシのセキュリティに関する考慮事項」 を参照してください。
組織の要件を満たすために、オンプレミスのActive DirectoryをAzureと統合するために使用できるさまざまな方法を検討してください。
Microsoft Entra ID とのフェデレーションがある Active Directory フェデレーション サービス (AD FS) を使用する場合、パスワード ハッシュ同期をバックアップとして使用することができます。 AD FSは、Microsoft Entraのシームレスなシングルサインオン(SSO)をサポートしていません。
クラウドIDに適した同期ツールを決定します。
AD FSを使用するための要件がある場合は、 「AzureにAD FSをデプロイする」 を参照してください。
Microsoft Entra Connect を同期ツールとして使用する場合は、ディザスター リカバリーのためにプライマリ Microsoft Entra Connect サーバーとは異なるリージョンに ステージング サーバー をデプロイすることを検討してください。 または、複数のリージョンを使用しない場合は、可用性を高めるために可用性ゾーンを実装します。
Microsoft Entra Cloud Sync を同期ツールとして使用する場合は、ディザスター リカバリーのために、複数のリージョンの異なるサーバーに少なくとも 3 種のエージェント をインストールすることを検討してください。 または、高可用性のために、異なる可用性ゾーン内の複数のサーバーにエージェントをインストールすることもできます。
重要
特に AD FS を必要とする場合を除いて、Microsoft Entra IDに移行することを強くお勧めします。 詳細については、「AD FSの使用停止に関するリソース」および「AD FSからMicrosoft Entra IDへの移行」 を参照してください。
Microsoft Entra ID、ドメインサービス、AD DS
Microsoft ディレクトリ サービスを実装するには、管理者に次のオプションを把握してもらいます:
プラットフォーム管理者または ID 管理者がフルコントロールする Windows VM として Azure に AD DS ドメインコントローラーをデプロイ できます。 このアプローチは、サービスとしてのインフラストラクチャ (IaaS) ソリューションです。 ドメインコントローラーを既存の Active Directory ドメインに参加させることも、既存のオンプレミスドメインとオプションの信頼関係を持つ新しいドメインをホストすることもできます。 詳細については、 「AzureランディングゾーンでのAzure Virtual Machinesベースラインアーキテクチャ」 を参照してください。
Domain Services は、Azure でホストされる新しいマネージド Active Directory ドメインの作成に使用できる Azure マネージド サービスです。 ドメインは既存のドメインと信頼関係を持つことができ、Microsoft Entra IDからIDを同期できます。 管理者はドメインコントローラーに直接アクセスできず、修正プログラムの適用やその他のメンテナンス操作を担当しません。
Domain Services を展開する場合、またはオンプレミス環境を Azure に統合する場合は、極力可用性を高めるために 可用性ゾーン のある場所を使用してください。 回復性を向上するために、複数の Azure リージョンにデプロイすることも検討します。
AD DS または Domain Services を構成した後、オンプレミスのコンピュータと同じ方法を使用して、Azure VM とファイル共有にドメイン参加することができます。 詳細については、 「Microsoftディレクトリベースのサービスの比較」 を参照してください。
Microsoft Entra IDとAD DSの推奨事項
Microsoft Entra ID を介してリモートでオンプレミス認証を使用するアプリケーションにアクセスするには、Microsoft Entra アプリケーション プロキシ を使用します。 この機能は、オンプレミスのウェブアプリケーションへのセキュアなリモートアクセスを提供する。 Microsoft Entra アプリケーション プロキシには、VPN やネットワーク インフラストラクチャの変更は必要ありません。 ただし、Microsoft Entra ID に単一のインスタンスとしてデプロイされるため、アプリケーションの所有者とプラットフォームまたは ID チームが協力して、アプリケーションが正しく設定されていることを確認する必要があります。
Windows ServerおよびDomain Services上のAD DSのワークロードの互換性を評価する。 詳細については、 「一般的なユースケースとシナリオ」 を参照してください。
ドメインコントローラーVMまたはDomain Servicesレプリカセットをプラットフォーム管理グループ内のIDプラットフォームサブスクリプションにデプロイします。
ドメインコントローラーを含む仮想ネットワークをセキュリティで保護します。 Virtual Network との直接のインターネット接続を防ぎ、コントローラーを実行するにはメインネットワーク セキュリティ グループ (NSG) を使用して分離されたサブネットに AD DS サーバーを配置します。 NSG はファイアウォール機能を備えています。 認証にドメインコントローラーを使用するリソースには、ドメインコントローラーサブネットへのネットワークルートが必要です。 ネットワークルートは、IDサブスクリプションのサービスへのアクセスを必要とするアプリケーションに対してのみ有効にします。 詳細については、「 Azure 仮想ネットワークに AD DS をデプロイする」を参照してください。
Azure Virtual Network Manager を使用して、仮想ネットワークに適用される標準規則を適用します。 たとえば、Active Directory ID サービスが必要な場合には、Azure Policy または仮想ネットワーク リソース タグを使用して、ランディング ゾーンの仮想ネットワークをネットワーク グループに追加できます。 その後、ネットワーク グループを使用して、必要なアプリケーションからのみ ドメイン コントローラー サブネットへのアクセスを許可し、他のアプリケーションからのアクセスのブロックができます。
ドメイン コントローラー VM およびその他の ID リソースに適用されるロールベースのアクセス制御 (RBAC) アクセス許可をセキュリティで保護します。 共同作成者、所有者、Virtual Machines 共同作成者など、Azure コントロール プレーンで RBAC ロールの割り当てを持つ管理者は、VM でコマンドを実行できます。 承認された管理者のみが ID サブスクリプション内の VM にアクセスでき、過度に制限の緩いロールの割り当てが上位の管理グループから継承されていないことの確認します。
レプリカ セット用の仮想ネットワークは、待機時間を最小限に抑えるため、コア アプリケーションを同一リージョン内に配置するか、または近くに配置してください。 複数地域の組織では、コアプラットフォームコンポーネントをホストするリージョンにDomain Servicesをデプロイします。 Domain Servicesは、単一のサブスクリプションにのみデプロイできます。 Domain Services をさらにリージョンに拡張するには、プライマリ仮想ネットワークにピアリングされた個別の仮想ネットワークに最大 4 つの レプリカセット を追加できます。
回復性と可用性を向上させるために、AD DS ドメイン コントローラーを複数の Azure リージョンおよび 可用性ゾーン にデプロイすることを検討してください。 詳細については、 「可用性ゾーンにVMを作成する」 および 「VMを可用性ゾーンに移行する」 を参照してください。
ID 計画の一環として、Microsoft Entra IDの認証方法 を検討します。 認証は、クラウドとオンプレミス、またはオンプレミスでのみ行うことができます。
Windows ユーザーが Azure Files ファイル共有に Kerberos を必要とする場合は、クラウドにドメイン コントローラーをデプロイするのではなく、Microsoft Entra ID に Kerberos 認証 を使用することを検討します。