03-5946-8400
HOME
目次
はじめに
アカウント管理にかかる負荷は、情報システム管理者でもユーザーでも、どの情報システムでも起こり得る課題です。
たとえば、オンプレミスとクラウド両方のアプリケーションを使う環境下において、どのID・パスワードを使えば良いか混乱してしまうこともあるかもしれません。
しかしAzureでは、オンプレミスとクラウドにおいて同じアカウント情報の使用を可能とする方法があります。
この記事では、Azureのアカウント管理を容易にするツール「Azure AD Connect」について、分かりやすくご紹介します。
- Azure AD Connect を使った目的別の構成例:
- 既存Active Directoryを活用してMicrosoft 365へアクセスするための構成
- 仮想デスクトップから社内システムへアクセスするための構成
- オンプレミスファイルサーバーを廃止してクラウドに移行するための構成
Azure AD Connectとは?
Azure Active Directory Connect(以下、Azure AD Connect)は、オンプレミスとクラウド両方のシステムを運用する際のアカウント管理に使えるツールです。
オンプレミスのアカウント管理には、Active Directory(以下、AD)を用います。一方、クラウドではAzure Active Directory(以下、Azure AD)で、Microsoft 365などのID・パスワードなどを管理することが可能です。オンプレミスとクラウドそれぞれで異なるアカウント情報が存在すると、情報システム管理者、ユーザーともに、アカウント管理の手間がかかってしまいます。
Azure AD Connectは、ADとAzure ADの間でアカウント情報を同期し、1つのID・パスワードで各情報システムにアクセスすることを可能とするツールです。ユーザーをグループ単位で管理することや、アプリケーションを割り当てるといったことが行えます。
オンプレミスとクラウド両方のシステムにアクセスするための共通のIDは「ハイブリッドID」と呼ばれ、認証と権限付与に用いられます。ハイブリッドIDを使用することで情報システム管理者の管理コストが削減され、ユーザーにとっても利便性・生産性の向上が見込まれるのです。
Azure AD Connectの特徴
Azure AD Connectは、アカウント同期に関する以下のような機能を備えています。
同期・認証の方法
Azure Ad Connectの認証方式は、「パスワード ハッシュ同期」「パススルー認証」「フェデレーション」が用意されています。
パスワード ハッシュ同期(PHS)
オンプレミスの AD からAzure ADにユーザーのパスワードのハッシュを同期する方式です。「ハッシュの同期」はAzure AD Connect Syncの機能の1つで、情報漏えい対策となります。Azure AD Connectのインストールを「簡単設定」で行う場合の認証方式には、このパスワード ハッシュ同期が適用されます。最も簡単に実装できる方式です。
パススルー認証(PTA)
Azure AD を経由してオンプレミスの AD にて認証が行う方式です。パスワード情報はオンプレミスのみに保存されるため、クラウドにパスワードを配置したくない場合に向いています。また、オンプレミスのパスワード要件が適用されますので、オンプレミスのADに組織独自のセキュリティポリシーがある場合にも向いています。パスワードハッシュ同期とフェデレーションの中間といった認証方式です。
フェデレーション
オンプレミスの AD にて認証を行う方式です。Active Directory フェデレーション サービス (以下、AD FS) を用いて、 ADとAzure AD でフェデレーションを構成します。シングルサインオンの認証プラットフォームである「PingFederate」を用いてのフェデレーションも選択できます。運用負荷は高まりますが、柔軟な認証を行うことができます。
同期の範囲
Azure AD Connectではユーザー、グループやその他のオブジェクトを作成でき、オンプレミスとクラウドでそれらの同期を取ることができます。同期はデフォルトの状態で30分に1回の頻度で行われ、少なくとも7日に1回は同期を取る必要があります。
監視
Azure AD Connect Healthで、オンプレミスのアカウント情報を監視することも可能です。
※別途、認証方式に応じたバージョンのAzure AD Connect Healthをインストールする必要があります。
Azure AD Connectを使うメリット
オンプレミスとクラウドで使用するID・パスワードを一本化することで、ユーザー側も管理側も以下のようなメリットを得ることができます。
ユーザー側のメリット
いくつものID・パスワードを管理する場合、人によっては忘れてしまったり、あるいは忘れないようにメモをPCに貼るなどの管理を行ったりする可能性があります。ID・パスワードを忘れないための対策は必要ですが、第三者がいつでも見られる状態にしておくことは適切ではありません。
Azure AD Connectを使用することでアカウントの情報が1つだけになれば、ユーザー自身がID・パスワードを管理する手間が省け、不適切なアカウント管理による情報漏えいのリスクを軽減できます。
また、オンプレミスとクラウドの両方にアクセスしやすくなり、作業性および生産性の向上が見込めます。
管理者側のメリット
情報システム管理者側としては、オンプレミスとクラウド間で異なるIDを管理していると、トラブル時に対応の手間が増えてしまいます。たとえば、ユーザーがID・パスワードを間違えてアカウントがロックされてしまった場合、情報システム管理者は状況確認・ロック解除などの対応を求められてしまいます。
Azure AD Connectの導入によって管理するアカウント情報が1つだけになると、結果的にユーザーの操作ミスを防止でき、情報システム管理者の工数削減・負荷軽減にもつながるのです。
また、アカウント管理が一元化されるので、退職者アカウントの削除忘れによる情報漏えいのリスクも軽減されます。
Azure AD Connectを使用するために必要なもの
Azure AD Connectを使用するために必要なものは、主に以下のとおりとなっています。
- Azure AD テナント(単一のみ)
- AzureポータルかOfficeポータル
- オンプレミスのADおよびデータ
- PowerShell 実行ポリシー
- Azure AD Connect サーバーおよびSQL Server データベース
上記のほか、AD FSを用いる場合はTLS/SSL 証明書の構成など、各種設定に伴って必要なものがあります。
サーバーの前提条件
Azure AD Connectをインストールする際、サーバーには Windows Server 2012 以降のバージョンであることと、ドメインに参加していることが必要とされます。なお、AD FSまたは Web アプリケーション プロキシがインストールされるサーバーは、Windows Server 2012 R2 以降となります。
また、下記のサーバーは対象外となりますので注意しましょう。
- Small Business Server
- AzureポータルかOfficeポータル
- 2019 より前の Windows Server Essentials
- Windows Server Core
Azure AD Connectインストール時の注意点
Azure AD Connect のインストールの順序
Azure AD Connect のインストールは、大まかに以下の順序で行うこととなります。
- Azure AD Connectのダウンロード
- ドメインの検証など前提条件の確認
- インストール(簡単設定、カスタム設定のいずれか)
- アカウントのアクセス許可
また、インストール前には下記の点に注意が必要です。
Azure ADでは変更・削除ができない
Azure AD Connectによって同期されたユーザーやグループなどの変更・削除はADから行うことになります。Azure ADでの変更・削除は行えないため、その点には注意が必要です。
AD内で重複や書式が異なるなど不適切なデータを含んだまま同期すると、不要な情報がAzure ADに渡ってしまいます。したがってAzure ADとの同期の前に、ADで不要な情報の削除を行い、その後に同期することが必要です。
SQL Serverデータベースの性能に注意
アカウント情報の格納には、SQL Server データベースが用いられます。データベースは、SQL Server Express の簡易バージョンであるSQL Server 2012 Express LocalDBがインストールされています。このデータベースだと約10万件(サイズ上限10GB)のオブジェクトを管理できます。
それ以上の規模のオブジェクトを管理したい場合は、SQL Server 2012 (最新の Service Pack)以降のSQL Serverの適用を検討することになります。ただしAzure SQL Databaseではない点にはご注意ください。
Azure AD Connectの料金
Azure AD Connectにかかる費用は、Azureサブスクリプションの範囲内であり、利用は無料です。ただしAzure AD Connect Healthの利用には、Azure AD Premium P1 ライセンスが必要となります。
まとめ
この記事では、Azure AD Connectの特徴や、導入することで得られるメリットについてご紹介しました。Azureのアカウント管理に手間がかかるなどのお悩みをお持ちであれば、ぜひ導入を検討してみてください。
※本記事は、2021年5月時点の情報をもとに作成しました。
- Azure AD Connect を使った目的別の構成例:
- 既存Active Directoryを活用してMicrosoft 365へアクセスするための構成
- 仮想デスクトップから社内システムへアクセスするための構成
- オンプレミスファイルサーバーを廃止してクラウドに移行するための構成
Azure設計・構築を任せたい
資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら
-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
Tag: Azure AD Connect Azureネットワーク ID
関連記事
-
Active Directoryとは?メリットやデメリット、使用上の注意点などを解説2021.01.14
-
Azure AD(Azure Active Directory)とは?オンプレADとの違いや機能、エディションをわかりやすく解説2022.12.08
-
Hybrid ID 環境を構築してみる2021.04.20
-
Hybrid ID 環境 + Azure Files を構築してみる2021.04.21
-
Hybrid ID 環境でシームレスシングルサインオンを実現する2021.04.21
-
Hybrid ID 環境 + Azure Virtual Desktop (AVD 旧:Windows Virtual Desktop) を構築してみる2021.04.20
よく読まれる記事
- 1 Visual Studio Code とは?柔軟で効率的なアプリ開発の方法と、Visual Studio との違いを解説2023.05.23
- 2 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
- 3 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
- 4 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 5 Azure AD Connectとは?オンプレミスとクラウドの両方で使えるアカウント管理ツール2021.06.02
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。