Azure Managed Service Column ＜Azure運用コラム＞Active Directoryと社内ファイルサーバーをクラウドに同期し、AVD（Azure Virtual Desktop）から接続する方法

社内のオンプレミス環境をハイブリッドに移行する方法をご紹介

近年、クラウド化の進展に伴い、オンプレミスで運用していた社内システムをクラウド化する企業が増えています。これまで自社で調達・導入・管理を行っていたシステムをクラウド化することで、クラウドの高いスケーラビリティやアジリティの恩恵を受けることができ、管理作業の軽減にもつながります。ただし、クラウドへの移行は、システムの構成要素ごとに検討が必要なためノウハウが必要です。

本記事では、オンプレミスで運用中の AD（ Active Directory ）とファイルサーバーを Azure と同期してハイブリッドに利用し、かつ PC 環境を AVD（ Azure Virtual Desktop ）で構築して接続するユースケースについて紹介します。

1. Azure AD と Azure Files の概要とメリット

Azure AD と Azure Files は共に、クラウドの普及に伴い重要度が高まっているサービスです。まずは、Azure AD と、Azure Files の概要とメリットについて解説します。

Azure AD の概要とメリット

Azure AD （Azure Active Directory ）とは、マイクロソフトが提供するクラウドベースの ID 管理・アクセス管理サービスです。次のリソースへの認証・認可とサインイン（アクセス）機能を提供します。

• Azureサービス、Microsoft365、その他外部の SaaS アプリケーションなど
• 企業が独自に開発したアプリケーションなどの内部リソース

Azure AD はクラウドとオンプレミス全体のすべてのアプリケーションに対する ID 管理・アクセス管理機能を提供しますが、その他にも、シングルサインオン、多要素認証、オンプレミス AD との連携など多くの機能を備えているサービスです。Azure AD を導入することで下記のメリットを得ることができます。

• さまざまなクラウドやオンプレミスをまとめて ID ・アクセスの一元管理を行える
• AD のハードや OS が不要なことによる構築・管理コスト削減
• Azure クラウドによる高い可用性と拡張性

Azure Files の概要とメリット

Azure Files は、Azure が提供するフルマネージドのファイル共有サービスです。業界標準となっている SMB 3.0 や NFS プロトコルなどを介してアクセスが可能で、データは暗号化されて保存されます。オンプレミスからでも SMB 3.0 や HTTPS（ Azure File Sync ）で通信することにより、転送中のデータが暗号化されるため、シンプルで安全なファイルストレージとして利用できます。Azure Files を導入することで下記のメリットを得ることができます。

• 業界標準プロトコルをサポートしているため互換性を気にせずファイル共有が可能
• フルマネージドのためハードや OS の管理が不要
• API を利用したさまざまなアクセス方法を利用できる
• Azure クラウドによる高い可用性と拡張性

2. AD サーバーと Azure AD の同期と移行

まずは AD サーバーを移行する方法について解説します。オンプレミスで運用している AD サーバーを、Azure AD Connect を用いて Azure AD へ同期してハイブリッドな形態で利用し、最終的にクラウド側への移行を行います。

Azure AD Connectとは

Azure Active Directory Connect（以下、Azure AD Connect）は、オンプレミスとクラウド両方のシステムで、AD とAzure AD をハイブリッドに利用するためのツールです。Azure AD Connect を使用すると、オンプレミス AD と Azure AD の間でアカウント情報を同期し、1 つの ID・パスワードで各情報システムにアクセスすることが可能となります。オンプレミスとクラウド両方のシステムにアクセスするための共通の ID を「ハイブリッド ID 」と呼びます。ハイブリッド ID を利用すると、アクセスや各種管理作業を一元的に行うことができるため、利便性や生産性の向上につながります。

なお、ハイブリッド ID を利用するには、オンプレミス AD と Azure AD とでは多くの前提条件（※1）があります。そのため、事前に十分な検討が必要です。利用は無料ですが、Azure AD Connect Health を利用するには、Azure AD Premium P1 ライセンスが必要です。

Azure AD Connect を用いたオンプレミス AD から Azure AD への同期と移行

Azure AD Connect によって AD を同期するには、既存のオンプレミス環境に Azure AD Connect を導入し、オンプレミスで運用している既存 AD と Azure AD を接続します。この方法により自動的にオンプレミス AD と Azure AD の情報が同期され、単一の ID でオンプレミス・Azure 側両方にアクセスが可能となります。ユーザー追加・削除等の管理の手間もオンプレミス AD のみの変更を行うことで Azure AD 側にも変更が反映されるようになります。このように、Azure AD Connect を利用することで、既存環境への変更と管理コストを最小限に抑えながら Azure AD にデータを移すことが可能です。

この構成では、オンプレミス側の AD が残るハイブリッド構成となるため、完全にクラウドへ移行する場合は、移行完了後に Azure AD Connect の同期を解除し、Azure AD の同期 ID をクラウド ID に変更する必要があります。

3. ファイルサーバーの同期と移行

次に、オンプレミスで運用しているファイルサーバーを、Azure Files と Azure File Sync を用いて同期・移行する方法を解説します。

Azure File Sync とは

Azure File Sync は、オンプレミスまたはクラウド上の仮想マシンと Azure Files を同期するためのサービスです。1 つの Azure Files を複数の Windows ファイルサーバーと同期させるマルチサイトアクセス機能を提供し、災害対策（ディザスタ・リカバリー）としても利用できます。また、実ファイルをクラウド上に持ち、同期サーバーにはポインタを置くことでサーバーのデータ容量を節約することができる「クラウド階層化」という機能も利用できます。

なお、Azure File Sync の料金体系は、Azure Files の料金に加え、送信データ転送量、同期サーバーの台数に応じた従量課金制となっています。

オンプレミスファイルサーバーの移行

オンプレミスで運用中のファイルサーバーを移行するには下記 2 通りの方法が考えられます。移行対象のファイルの容量や、ファイルサーバーを廃止したいかどうかにより選択することが望ましいでしょう。

Azure Files を直接マウントする

Azure Files では SMB や NFS によるアクセスが可能です。Windows、macOS、および Linux で使用可能な標準的な SMB クライアント等を使用して、オンプレミスまたはクラウドで Azure Files を直接マウントすることが可能です。直接マウントすることで、任意のフォルダやファイルをコピーや移動することが可能となります。Azure Files はサーバーレスであるため、別途ファイルサーバーや NAS デバイスなどを準備する必要はありません。移行対象ファイルの容量が比較的少ない場合や、オンプレミス側のファイルサーバーを廃止したい場合はこの方法がおすすめです。

Azure File Sync を使用したファイルの同期と移行

Azure File Sync を利用することで、オンプレミスで運用中のファイルサーバーを停止することなくファイルの同期による移行が可能となります。移行元のファイルサーバーに Azure File Sync エージェントをインストールし、Azure File Sync にサーバーを登録するだけで利用可能となります。移行対象ファイルの容量が多い場合、ファイルサーバーの廃止を行わない場合はこの方法がおすすめです。なお、この構成では、オンプレミスのファイルサーバーが残るため、完全にクラウドへ移行する場合は、移行完了後に Azure File Sync の同期を解除する必要があります。

4. AVD と Azure AD・Azure Files の連携

最後に、クラウドへ同期した AD と Azure Files を、Azure Virtual Desktop（ AVD ）から接続して利用する方法について解説します。

Azure Virtual Desktop とは

Azure Virtual Desktop（旧 Windows Virtual Desktop ） は、Azure クラウド上に用意された VDI（仮想デスクトップ）環境をサービスとして提供する DaaS（ Desktop as a Service ）型のサービスです。Windows 10 マルチセッションに対応していることが大きな特徴であり、1 つの仮想 PC の中で、複数のデスクトップ環境を生成することが可能です。

Azure Virtual Desktop を利用するためには下記ライセンスが必要です。

Windows 10 または Windows 7 ライセンス

Windows 10 Enterprise E3 および Microsoft 365 Business Premium 以上のライセンス

Windows Server ライセンス

ユーザーごとまたはデバイスごとの RDS CAL ライセンス （アクティブなソフトウェア アシュアランス (SA) 付き）

なお、上記ライセンスを持たない外部ユーザー向けに、ユーザー単位の月額料金オプションも導入されています。

Azure Virtual Desktop からハイブリッド ID 環境への接続

Azure Virtual Desktop を利用するには AD によるユーザー認証が必要です。そのため、Azure クラウド上に構築する Azure Virtual Desktop と、オンプレミス側の AD（ハイブリッド ID 環境）とを接続する必要があります。Azure Virtual Desktop とオンプレミス AD への接続には、Azure Virtual Desktop 用の仮想ネットワークをオンプレミス AD と VPN あるいは専用線で接続してドメインに参加する構成にします。その上で Azure Virtual Desktop を構築することで、オンプレミス側の AD で認証を行うことができるようになります。

5. まとめ

本記事では、Azure AD と Azure Files の概要と、Azure AD・ファイルサーバーの移行と AVD からの接続のユースケースを紹介しました。

AVD と Azure Connect、Azure File Sync を併用することにより、社内の PC から、Azure 上の仮想 PC にアクセスし、ハイブリッド構成となった AD で認証・サインインした上で Azure Files に同期されたファイルを利用する構成となります。

近年、クラウド化の流れはますます広がっています。オンプレミスからの移行によって、クラウドの持つ高いアジリティやスケーラビリティの恩恵を受けることができるため、新ビジネスの立ち上げや、既存ビジネスの変更もスムーズに進めることが期待できます。ぜひ専門家の支援を受けながら、導入を検討してみてください。

Tag： Azure Active Directory Azure AD Azure AD Connect Azure File Sync Azure Files Azure Virtual Desktop ID 仮想デスクトップ

• 

  Azure AD Multi-Factor Authenticationとは？Azureにおける多要素認証の実現方法を解説

• 

  Microsoft 365のライセンスとAzure ADを有効活用しAVD（Azure Virtual Desktop）を導入する