Category: 入門編
2021.07.01
目次
はじめに
Azure Active Directory Domain Services (以下、Azure AD DS )は、ドメインコントローラーの機能が Azure 上で PaaS として提供されているものです。
Azure のコンソールからデプロイするだけで簡単に利用できるようになります。オンプレミスとクラウドのハイブリッド環境でも利用でき、また、ドメインコントローラーの管理に関わるコスト削減にも有効です。
この記事では、Azure AD DS がどのようなものであるのか、特徴や価格、注意事項などをご紹介します。
1.Azure Active Directory Domain Services( Azure AD DS )とは?
Azure AD DS は、ドメインコントローラーを Azure 上 に構築し、ドメインサービスを提供するサービスです。ドメインコントローラーとは、ドメイン参加やグループポリシーなどのドメインサービスを提供し、ドメイン内の端末やユーザーなどの情報を集中して管理する機能を指します。
Azure AD DS を用いることで、Azure 上でユーザーのドメイン管理を実現したりグループポリシーを利用できるほか、既存のオンプレミス環境と接続すれば、オンプレミスで使用していたドメインユーザーを Azure AD DS に同期させることもできます。いわば Active Directory Domain Services(以下 AD DS )の Azure 版です。
また、Azure AD DS が管理するドメインはマネージドドメインと呼ばれ、ドメインコントローラーを機能として Microsoft が提供します。オンプレミスのように OS も含めたドメインコントローラーをデプロイするのではなく、ユーザーはドメインコントローラーの OS 自体やそのアップデート対応などを意識する必要が無い仕組になっています。
仮想マシンやドメインコントローラーの管理は、企業の情報システム部門の負荷が大きいものです。しかしマネージドドメインサービスを利用することで、ドメインコントローラーの管理の手間を軽減させることができるのです。
2.Azure Active Directory Domain Services の特徴
Azure AD DS には、次のような特徴があります。
2.1 AD DS と互換性があり、同じ機能がある
Azure AD DS は、AD DS と互換性があります。マネージドドメインサービスであるドメイン参加、LDAPS( LDAP over SSL/TLS、Secure LDAP とも呼ばれます)、グループポリシー、DNS の管理などが使用可能です。ただし一部使えない機能もあります(後述)。
2.2 Azure AD と自動的に同期
Azure AD DS は、Azure Active Directory(以下、Azure AD )と自動的に同期されます。これにより Azure AD と同じユーザー・パスワードで Azure AD DS のドメインにサインインできます。また、Azure AD にて新規作成・変更されたユーザーやグループ、属性は Azure AD DS に自動的に同期されます。ただし外部ディレクトリのアカウントは、Azure AD にリンクされていたとしても使用はできません。
2.3 オンプレミスとも同期可能
オンプレミスの Active Directory(以下、AD )とも同期が可能で、AD のユーザー・パスワードを使って Azure AD DS にアクセスできます。
オンプレミスの AD とのハイブリッド環境では、Azure AD Connect を用いることでユーザーを同期します。Azure AD Connect によってオンプレミスの AD ユーザーが Azure AD と同期された後、Azure AD DS と同期される…という流れです。この場合もユーザー、グループ、属性は自動的に同期されます。
2.4 デプロイ操作の簡略化
Azure AD DS に関わる操作には Azure Portal を利用します。そのため Azure AD DS を Azure AD に対して有効化する「デプロイ操作」を比較的簡単に行えます。
2.5 Kerberos/NTLM 認証
Azure AD D Sでは、NTLM と Kerberos の認証がサポートされています。Azure AD ではこれらの認証がサポートされていないため、Azure AD DS を利用すれば、Windows 統合認証を利用するアプリケーションをデプロイできます。
3.Azure AD DS 利用の例
Azure AD DS は特に Azure AD のアカウントでのドメイン参加や Kerberos 認証、LDAPS 接続ができるため、このような利用が想定されています。
3.1 Azure 上の仮想マシンにオンプレミスから Kerberos/NTLM を用いてシングルサインオンをする
Kerberos 認証もしくは NTLM 認証を用いれば、通信のセキュリティを強化しながらシングルサインオンが行えます。オンプレミスのシステムを Azure 上の仮想マシンに移行して、その仮想マシンに Kerberos 認証もしくは NTLM 認証でシングルサインオンをしたい場合は、Azure AD DS を使用して実現することになります。パスワードハッシュ同期が必要となるため、Azure AD Connect も構成することが必要です。
また、企業のセキュリティの要件として、オンプレミスの AD と Azure AD のパスワードハッシュ同期ができない制約があるもののシングルサインオンをしたい、という場合にも Azure AD DS が使えます。その場合はネットワークに ExpressRoute もしくは VPN を使うことになります。
3.2 Azure AD に対して LDAPS 接続をする
セキュリティ対策のひとつである LDAPS 接続を用いれば、通信を暗号化することが可能です。Azure AD では LDAPS 接続は直接サポートされないため、Azure で LDAPS 接続を行いたい場合は、Azure AD DS を用います。
4.Azure AD DS を使用するために必要なもの
Azure AD DS を使用するためには、下記が必要となります。
- Azure サブスクリプションおよび「共同作成者」権限
- サブスクリプションに関連付けられた Azure AD テナントおよび Azure AD の「全体管理者」権限
- オンプレミス環境がある場合は、必要に応じて Azure AD Connect
5.Azure AD DS の料金
Azure AD DS の導入に事前コストはなく、必要なのはランニングコストのみです。導入後は使用量が計算され、時間単位で課金されることとなります。Azure AD DS の料金体系は下記の3つです(2021 年 7 月現在)。
- Standard:¥16.80/時間/セット
- Enterprise:¥44.80/時間/セット
- Premium:¥179.20/時間/セット
最新の料金体系については、 公式サイトをご参照ください。 また、解約する場合の手数料は不要です。
6.Azure AD DS の注意点
AD DS で可能であって、Azure AD DS で使用できない機能もあるため注意が必要です。
6.1.スキーマ拡張はできない
スキーマ拡張とは、管理しているユーザーやコンピューターなどのオブジェクトに変更を加えることです。AD DS で可能である「スキーマ拡張」は、Azure AD DS ではできません。
6.2.ドメイン管理者/エンタープライズ管理者の権限が与えられない
Azure AD DS にはドメイン管理者およびエンタープライズ管理者の権限は与えられていません。利用するアプリケーションにこれらの権限が必要な場合は、Azure AD DS は使えないということになります。
6.3.一度作成したマネージドドメインは移動できない
Azure AD DS で作成できるドメインは 1 つだけです。作成したドメインは、別のリソースグループや仮想ネットワーク、サブスクリプションなどへ移動できません。したがって、ドメイン参加するオブジェクトの確認や導入の際の設定が肝心となります。
6.4.Microsoft 365 との認証はできない
Microsoft 365 の認証 は Azure AD DS ではできず、Azure AD の範疇となります。
まとめ
Azure AD DS について、特徴や必要なもの、価格、注意事項などをご紹介しました。細かな制約はあるものの、Azure AD DS を用いれば自前でドメインコントローラーを構築する必要がなく、Azure Portal 上で管理・運用することによって工数やコストが削減できます。人的コストや費用、セキュリティポリシーも勘案して、要件に合うかどうか検討してみてください。
Azure 設計・構築を相談する
資料ダウンロード
課題解決に役立つ詳しいサービス資料はこちら
-
-
Azure導入支援・構築・運用サービス総合カタログ
Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。
-
よく読まれる記事
- 1 Microsoft Entra IDとは? オンプレAD、Azure ADとの違いや機能、エディション、移行方法をわかりやすく解説2024.04.05
- 2 Microsoft Purviewとは?概要や主な機能、導入するメリットを解説2023.09.11
- 3 Azure Bastionとは?踏み台による仮想マシンへのセキュアな接続方法について解説2022.05.12
- 4 VDIに必要なWindows VDAライセンスとは?費用感、ライセンスの考え方について解説します!2022.08.10
- 5 Azureネットワークセキュリティグループ(NSG)とは?特徴や設定時の注意点を解説2021.04.28
Category
Contactお問い合わせ
お見積もり・ご相談など、お気軽にお問い合わせください。