Azure ディレクトリ サービスについて説明する
Microsoft Entra ID は、Microsoft のクラウド アプリケーションと、開発したクラウド アプリケーションの両方にサインインしてアクセスできるディレクトリ サービスです。 Microsoft Entra ID は、オンプレミスの Active Directory のデプロイの保守にも役立ちます。
オンプレミス環境の場合、Windows Server で実行される Active Directory によって、お客様の組織で管理される ID とアクセスの管理サービスが提供されます。 Microsoft Entra ID は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 Microsoft Entra ID を使用すると、ID アカウントはユーザーが制御しますが、サービスがグローバルに利用可能であることは Microsoft が保証します。 Active Directory を使用したことがある場合は、Microsoft Entra ID は見慣れた感じがするでしょう。
オンプレミスで Active Directory を使用して ID をセキュリティ保護する場合、Microsoft はサインインの試行を監視しません。 Active Directory を Microsoft Entra ID と接続すると、Microsoft が追加費用なしで疑わしいサインインの試行を検出することで保護を支援します。 たとえば、Microsoft Entra ID は、予期しない場所や不明なデバイスからのサインインの試行を検出できます。
Microsoft Entra ID のユーザー
Microsoft Entra ID は、次のようなユーザー向けです。
- IT 管理者。 管理者は、Microsoft Entra ID を使用して、アプリケーションとリソースへのアクセスをビジネス要件に基づいて制御できます。
- アプリ開発者。 開発者は、Microsoft Entra ID を使用して、作成するアプリケーションへの機能の追加 (アプリへの SSO 機能の追加や、ユーザーの既存の資格情報と連携するアプリ機能の有効化など) に標準ベースのアプローチを利用できます。
- ユーザー。 ユーザーは自分の ID を管理し、セルフサービス パスワード リセットのようなメンテナンス アクションを実行できます。
- オンライン サービス サブスクライバー。 Microsoft 365、Microsoft Office 365、Azure、Microsoft Dynamics CRM Online のサブスクライバーは、自分のアカウントへの認証を行うために、既に Microsoft Entra ID を使用しています。
Microsoft Entra ID の実行内容
Microsoft Entra ID は、次のようなサービスを提供します。
- 認証: これには、アプリケーションとリソースにアクセスするための ID の検証が含まれます。 また、セルフサービスによるパスワードのリセット、多要素認証、禁止されているパスワードのカスタム リスト、スマート ロックアウト サービスなどの機能も提供されます。
- シングル サインオン: シングル サインオン (SSO) を使用すると、ユーザーは 1 つのユーザー名と 1 つのパスワードを記憶するだけで、複数のアプリケーションにアクセスできるようになります。 単一の ID がユーザーに関連付けられているため、セキュリティ モデルが単純化されます。 ユーザーがロールを変更したか、退職したときに、アクセス変更がその ID に関連付けられ、アカウントを変更したり、無効にしたりするために必要な労力が大幅に減少します。
- アプリケーション管理:Microsoft Entra ID を使用して、クラウドとオンプレミスのアプリを管理できます。 アプリケーション プロキシ、SaaS アプリ、マイ アプリ ポータル、シングル サインオンなどの機能を使用すると、ユーザー エクスペリエンスを向上させることができます。
- デバイス管理:個々のユーザーのアカウントと合わせて、Microsoft Entra ID はデバイスの登録をサポートしています。 登録により、Microsoft Intune などのツールを使用してデバイスを管理できるようになります。 また、デバイスベースの条件付きアクセス ポリシーで、要求元のユーザー アカウントに関係なく、既知のデバイスからのアクセスのみに制限することもできます。
オンプレミス AD と Microsoft Entra ID を接続できますか?
Active Directory を実行するオンプレミス環境と Microsoft Entra ID を使用するクラウド デプロイがある場合は、2 つの ID セットを保守する必要があります。 ただし、Active Directory と Microsoft Entra ID を接続することで、クラウドとオンプレミスの間で一貫した ID エクスペリエンスを実現できます。
Microsoft Entra ID をオンプレミス AD に接続する方法の 1 つは、Microsoft Entra Connect を使用することです。 Microsoft Entra Connect は、オンプレミスの Active Directory と Microsoft Entra ID の間でユーザー ID を同期します。 Microsoft Entra Connect は両方の ID システム間で変更を同期します。そのため、両方のシステムで SSO、多要素認証、セルフサービス パスワード リセットなどの機能を使用できます。
Microsoft Entra Domain Services とは
Microsoft Entra Domain Services は、マネージド ドメイン サービス (ドメイン参加、グループ ポリシー、Lightweight Directory Access Protocol (LDAP)、Kerberos/NTLM 認証など) を提供するサービスです。 Microsoft Entra ID を使用すると、それをサポートするインフラストラクチャを保守することなくディレクトリ サービスを使用できるのと同様に、Microsoft Entra Domain Services を使用すると、クラウドでドメイン コントローラー (DC) をデプロイ、管理、パッチすることなく、ドメイン サービスの利点を得ることができます。
Microsoft Entra Domain Services マネージド ドメインを使用すると、最新の認証方法を使用できないか、ディレクトリ参照のたびにオンプレミスの AD DS 環境にアクセスすることが望ましくないレガシ アプリケーションをクラウドで実行できます。 クラウドで AD DS 環境を管理することなく、オンプレミス環境からマネージド ドメインに、これらのレガシ アプリケーションをリフト アンド シフトすることができます。
Microsoft Entra Domain Services は、既存の Microsoft Entra テナントと統合されています。 この統合により、ユーザーは既存の資格情報を使用して、マネージド ドメインに接続されているサービスおよびアプリケーションにサインインできます。 また、既存のグループとユーザー アカウントを使用して、リソースへのアクセスをセキュリティで保護することもできます。 これらの機能により、オンプレミスのリソースを Azure にスムーズなリフトアンドシフトすることができます。
Microsoft Entra Domain Services のしくみ
Microsoft Entra Domain Services のマネージド ドメインを作成するときは、一意の名前空間を定義します。 この名前空間はドメイン名です。 2 つの Windows Server ドメイン コントローラーが、選択した Azure リージョンにデプロイされます。 この DC のデプロイは、レプリカ セットと呼ばれます。
これらの DC の管理、構成、更新を自分で行う必要はありません。 Azure プラットフォームでは、バックアップや Azure Disk Encryption を使用した保存時の暗号化を含め、マネージド ドメインの一部としてDCを処理します。
情報は同期されますか?
Microsoft Entra ID から Microsoft Entra Domain Services への一方向の同期を実行するようにマネージド ドメインが構成されます。 リソースは、マネージド ドメイン内で直接作成できますが、Microsoft Entra ID に同期されません。 オンプレミスの AD DS 環境とのハイブリッド環境では、Microsoft Entra Connect により、ID 情報が Microsoft Entra と同期された後、マネージド ドメインと同期されます。
これで、マネージド ドメインに接続される Azure 内のアプリケーション、サービス、および VM が、共通の Microsoft Entra Domain Services 機能 (ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など) を使用できます。