ディレクトリ統合
更新日: 2015 年 6 月 24 日
適用対象: Azure、Office 365、Windows Intune
組織にオンプレミスのディレクトリ サービスがある場合は、それを Microsoft Azure Active Directory (Microsoft Azure AD) ディレクトリと統合し、Microsoft エンタープライズ レベルのクラウド サービス、IT ガバナンス、セルフサービス機能を利用できるため、エンドユーザーの生産性が向上し、コンプライアンスが有効になり、管理コストが削減されます。
オンプレミスのディレクトリを Azure AD に拡張することには、次の利点があります。
クラウド ベースの管理タスクの簡素化
ユーザーのサインイン手順の効率化
すべてのクラウド ベースのアプリケーションへのシングル サインオンの実現
クラウドかオンプレミスかを問わず統一された手順で、ユーザーおよびデバイスの ID を安全でシームレスに管理できる
ファーストパーティおよびサードパーティのアプリケーション、SaaS、その他の既存のクラウドおよびオンプレミスのエンタープライズ アプリケーションを統一された手順で管理できる
詳細については、「 Active Directory と Azure AD の類似点」を参照してください。
このセクションの内容
サポートされるディレクトリ統合シナリオ
ディレクトリ統合ツール
AAD Connect
サポートされるディレクトリ統合シナリオ
重要
ハイブリッド ID インフラストラクチャの計画 (ローカル ディレクトリを Azure AD に拡張する) の重要な部分は、ディレクトリの管理方法と、ユーザーが Microsoft クラウド サービスにサインインする方法を決定することです。 これらの各シナリオで提供される利点と機能の詳細と概要のマトリックスについては、「 使用するディレクトリ統合シナリオを決定する」を参照してください。
Azure AD では、次の 4 つのディレクトリ統合シナリオがサポートされています。
ディレクトリ同期は、ディレクトリ同期とも呼ばれます。ディレクトリ同期が設定されると、管理者はオンプレミスの Active Directoryからディレクトリ オブジェクトを管理でき、それらの変更はテナントに同期されます。 このシナリオでは、ユーザーは別のユーザー名とパスワードを使って、クラウドおよび内部設置型リソースにアクセスします。
DirSync とパスワード同期 – ユーザーが会社のネットワークとリソースにログオンするときに使用するのと同じユーザー名とパスワードを使用して、Azure AD やその他のサービスにサインインできるようにする場合に使用されます。 パスワード同期は、ディレクトリ同期ツールの機能です。
DirSync とシングル サインオン - 企業ネットワークにログオンしているときに Microsoft クラウド サービスにアクセスするときに最もシームレスな認証エクスペリエンスをユーザーに提供するために使用されます。 シングル サインオンをセットアップするには、Active Directory フェデレーション サービス (AD FS) など、内部設置型のセキュリティ トークン サービスを配置する必要があります。 セットアップすると、ユーザーは Active Directory の企業資格情報 (ユーザー名とパスワード) を使用し、クラウド内のサービスおよび既存のオンプレミス リソースにアクセスできます。
マルチフォレスト - DirSync とシングル サインオン - 企業ネットワークにログオンしているときに Microsoft クラウド サービスにアクセスするときに最もシームレスな認証エクスペリエンスをユーザーに提供するために使用されます。 シングル サインオンをセットアップするには、内部設置型のセキュリティ トークン サービスとして、Active Directory フェデレーション サービス (AD FS) を配置する必要があります。 セットアップすると、ユーザーは Active Directory の企業資格情報 (ユーザー名とパスワード) を使用し、クラウド内のサービスおよび既存のオンプレミス リソースにアクセスできます。
ディレクトリ統合ツール
オンプレミスのディレクトリを Azure AD ディレクトリに拡張する作業には、次のツールを使用できます。
Azure Active Directory 同期ツール (DirSync)
Azure Active Directory 同期サービス (AAD Sync)
Forefront Identity Manager 2010 R2
詳細については、「 ディレクトリ統合ツール」を参照してください。
AAD Connect
注意
AAD Connect は現在、パブリック プレビュー リリースの状態にあります。
AAD Connect を使用すると、ローカル ディレクトリを Azure AD に拡張する手順が効率化され、インストールに必要なツールが少なくて済みます。全体の手順が順番にわかりやすく進められるため、ドキュメントを何ページも読む必要はありません。また、多くのサーバーをデプロイする必要がないため、オンプレミスの占有面積が削減されます。
AAD Connect では、Windows Server Active Directory を Azure Active Directory に接続するために手動で実行する必要のある手順が、すべて 1 つのウィザードで実行されます。
.NET Framework、Azure Active Directory PowerShell モジュール、Microsoft Online Services サインイン アシスタントなどの前提条件をダウンロードし、インストールします。
Dirsync (AAD Sync) をダウンロードし、インストールして構成し、Azure AD ディレクトリで有効にします。
使用するサインオン オプションに応じてパスワード同期またはシングル サインオン シナリオを構成し、Azure で必要な構成も行います。
構成が適切であることを確認します。
詳細については、「Azure Active Directory Connect」を参照してください。