ディレクトリ間のプロビジョニングとは
ディレクトリは共有情報のインフラストラクチャであり、ネットワーク リソースや項目を検索、管理、整理する目的で使用されます。 ディレクトリ サービスを使用するアプリケーションの例として、Microsoft Active Directory と Microsoft Entra ID があります。 だれが何にアクセスできるかや、特定のリソースをだれが使用できるかといったディレクトリ システムの決定は、ID があることで可能となります。
ディレクトリ間のプロビジョニングは、2 つの異なるディレクトリ サービス システム間で ID をプロビジョニングすることです。 ディレクトリ間のプロビジョニングの最も一般的なシナリオは、Active Directory に既に存在するユーザーを Microsoft Entra ID にプロビジョニングすることです。 このプロビジョニングは、Microsoft Entra Connect Sync や Microsoft Entra Connect クラウド プロビジョニングなどのエージェントによって実現できます。
ディレクトリ間のプロビジョニングを使用すると、ハイブリッド ID 環境を作成することができます。
Microsoft Entra ID でサポートされるディレクトリ間のプロビジョニングの種類
ディレクトリ間のプロビジョニングを行う手段として、Microsoft Entra ID では現在 3 つの方法がサポートされています。 それらの方法を次に示します。
Microsoft Entra クラウド同期 - ハイブリッド ID の目標を達成するように設計された新しい Microsoft エージェントです。 Active Directory と Microsoft Entra ID との間でディレクトリ間のプロビジョニングを実現する軽量の環境となっており、これはポータルで構成できます。
Microsoft Entra Connect - ハイブリッド ID に対応し、それを達成するように設計された Microsoft のツールです。たとえば、Active Directory から Microsoft Entra ID へのディレクトリ間のプロビジョニングに対応します。
Microsoft Identity Manager - ID とアクセス管理を意図した Microsoft のオンプレミス ソリューションです。組織内のユーザー、資格情報、ポリシー、アクセスを効率的に管理できます。 また、MIM では Active Directory や Microsoft Entra ID などのディレクトリのためのハイブリッド ID 環境を実現する高度なディレクトリ間のプロビジョニングを利用できます。
主な利点
ここで説明するディレクトリ間のプロビジョニング機能は、次に挙げるような大きなメリットをビジネスにもたらします。
- パスワード ハッシュ同期 - ユーザーのオンプレミス AD パスワードのハッシュを Microsoft Entra ID と同期させるサインイン方法。
- パススルー認証 - ユーザーがオンプレミスとクラウド内で同じパスワードを使用できるようにするサインイン方法ですが、フェデレーション環境の追加のインフラストラクチャは必要ありません。
- フェデレーション統合 - オンプレミスの AD FS インフラストラクチャを使ってハイブリッド環境を構成するために使用できます。 証明書の更新や追加の AD FS サーバー デプロイなどの AD FS 管理機能も提供されます。
- 同期 - ユーザー、グループ、およびその他のオブジェクトを作成する役割を果たします。 また、オンプレミスのユーザーやグループの ID 情報をクラウド側と一致させる役割もあります。 この同期にはパスワード ハッシュも含まれます。
- 稼働状況の監視 - 堅牢な監視機能を提供し、このアクティビティを表示するための Microsoft Entra 管理センター内の一元的な場所を提供することができます。
一般的なシナリオ
ハイブリッド同期シナリオの一覧については、「一般的なシナリオ」を参照してください。