この記事では、Active Directory(AD)、Azure Active Directory(Azure AD)について取り上げ、それらの違いや補完関係を説明します。また、これらのMicrosoftソリューションを主要な代替アイデンティティプロバイダーと比較します。
この記事は網羅的なリソースを提供するものではなく、これらのサービスを展開する手順についてステップバイステップの指示を提供するものではありませんが、Petriにはそれらのトピックをカバーする優れた記事があります。
Windows Server AD vs Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
Active Directoryは2十年以上前にリリースされて以来、ほとんどの組織に広く使用されています-製造に出荷されたのは1999年12月15日で、一般提供が開始されたのは2000年2月17日でした。
あなたのユーザーは、それを意識することなくActive Directoryを使い慣れています:単にクライアントデバイスの電源を入れ、ユーザー名(通常はプリキャッシュされていますが必ずしもそうではない)とパスワードを入力し、日常の業務を続けるだけです。Active Directoryは、設定および維持が完了していれば、シンプルで迅速、安全、安全です。
A central identity provider
アクティブディレクトリは通常、複数の フォレスト およびドメイン全体をまたがる中央のアイデンティティプロバイダとして機能し、ユーザーを管理します。コンピューター(クライアントワークステーションとサーバー)も管理しますが、モバイルデバイスやタブレット(iOS および Android)やソフトウェアアズアサービス(SaaS)アプリはネイティブで管理しません。
アクティブディレクトリを自分でホストし、構成し、維持し、セキュリティ、レプリケーション、バックアップ、高可用性、スケーラビリティなどを管理する必要があります。これは単純な二 ドメインコントローラ(DC)ネットワークであるか、複数の場所にわたる数十のリードオンリーDCを持つ場合もあります。
理想的には、DCはディレクトリに関連するサービスおよび DNS、おそらく DHCP のみを実行するようにしています。パフォーマンスおよび(特に)セキュリティの観点から、Webサーバーやデータベースサーバーなどの他のアプリケーションを実行しないことが良い慣行です。また、再起動のためのダウンタイムのスケジュール設定にも役立ちます。
アクティブディレクトリのライセンス
クラウドの兄弟であるアクティブディレクトリは、複雑なライセンスモデルを持っていません。ドメインコントローラにライセンスを付与し、常にWindows Serverマシン、理想的には最新のものを使用します。注意として、Windows Server version 2022 は2021年8月にリリースされました。
自分のデータセンターや通信用の部屋にホストされる場合、ライセンスされたハードウェア上で無制限のインスタンスを実行できるように設計されたWindows Server Datacenterエディションを購入することができます。このトピックについて研究し、ライセンスの専門家と話をすることを確認してください。多くの人がこれを誤解し、ライセンス契約に無意識に違反してしまうことがあります。
Azure Active Directoryとは何ですか?
Azure Active Directoryは、ほぼそのままでシングルサインオン(SSO)、マルチファクタ認証(MFA)、そして条件付きアクセス(CA)を提供するエンタープライズ向けのアイデンティティサービスです。公正を期すために、テナントオーナーまたは管理者であるあなたによる少しの構成作業が必要ですが、これらのサービスを自分でホストするよりもAzure ADで実現する方がはるかに簡単でわかりやすいです。
ユーザーはデバイスを起動し、それが企業所有および管理されているデバイスであるか、会社が持ち込みデバイス(BYOD)ポリシーを設定している場合は個人所有のデバイスであってもかまいません。ユーザーはその後、ユーザー名とパスワードを入力する必要があります。幸いなことに、MFAチャレンジ(SMSチャレンジであっても何かしらのプロンプトが表示されることが望まれます)、そして許可されたものを使用すると、それが利用可能になります。
SSOを使用することで、外部のホストされたアプリ(HR、財務など)を使用し、トレーニングにアクセスしたり、それ以外の多くのことを行うことができ、それぞれの時間にIDとパスワードを入力する必要はなくなります。これは、生産性、安全性、およびユーザー満足度を向上させます。用户が複数のユーザー名とパスワードを管理する必要がないこと自体は、不満のあるIT担当者からの発言ですが、大変助かります。
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
Azure ADは、Office 365などのマイクロソフトのいくつかのクラウドサービスに完全に統合されています。これにより、ユーザーとデバイスのための一つの中央ディレクトリを提供し、他のテンャントや外部ユーザーとの協力を容易にすることができます。
Azure ADは、モバイルデバイス(iOSとAndroidにはネイティブサポートがあり)やSaaSアプリの管理に最適であり、ビジネス管理、協力、財務などの多くのカテゴリのアプリとの素晴らしいとストリームライン化された統合を提供します。より多くの例证を見るには、マイクロソフトのAzure Active DirectoryのセクションをAzure Marketplaceにあげてください。
Microsoftは、Azure ADの無料版であるFreeを提供していますが、Office 365アプリ、Premium P1、Premium P2というさらに3つのエディションがあり、機能の内容や価格に違いがあります。MicrosoftのクラウドサービスであるAzure、Office 365、Dynamics 365、Intune、Power Platformなどにサインアップすると、Azure ADの無料ティアユーザーになります。
具体的に言えば、組織がユーザーのパスワードをリセットするのにどれだけの時間を費やすか考えてみてください。セルフサービスパスワードリセット(SSPR)機能だけでも、財務ディレクターがプレミアムライセンスを正当化できるかもしれません。詳細はMicrosoftの動作原理: Azure ADのセルフサービスパスワードリセットをご覧ください。
プレミアム機能を注意深く検討し、それらを欲しいか必要かを判断し、プレミアム価格が支払う価値があるか確認してください。私はMicrosoftのライセンスを売ろうとしているわけではありませんが、インターネットの状況を考えると、ほぼ毎日のように報告されている主要組織のハッキング(しばしば成功している)を考えると、これらの追加機能に支払うことが、あなたの仕事を保ち、会社を問題に巻き込まないかもしれません。
MicrosoftのAzure Active Directory(Azure AD)の価格サイトをご覧いただき、Azure ADの価格について概要を把握し、異なる機能について詳しく学ぶために、Azure Active Directory Premium P1 vs. P2: 機能比較記事もご覧いただけます。
Active DirectoryとAzure Active Directoryを併用する
これで2つの主要トピックをカバーし、Active DirectoryとAzure Active Directoryの違いを理解したので、これらを最適に併用する方法について見ていきましょう。
Azure AD Connect
MicrosoftのAzure AD Connectを使用すると、オンプレミスのActive DirectoryからクラウドベースのAzure ADへユーザーなどのオブジェクトを同期することで、ハイブリッドアイデンティティを作成できます。
パスワードハッシュ同期(PHS)を使用すると、Azure AD Connectはユーザーのパスワードのハッシュのハッシュを同期し、パススルー認証(PTA)、Active Directory Federation Services(AD FS)などを有効にします。この設定は、小規模な組織では非常に簡単であり、より複雑な環境ではかなり複雑なものになることがあります。
Microsoftは、2022年8月31日にAzure AD Connectのバージョン1.xを廃止する予定であり、同期ツールの一部の古いバージョン2.xも2023年3月にサポートが終了します。現在サポートされているAzure AD Connectのバージョンについては、別の記事で詳しく説明しています。
Active Directory Federation Services (AD FS)
AD FSは、組織外のパートナーとID情報を共有できるSSO IDサービスです。AD FSは、クレームベースのアクセス制御認証を使用します。
AD FSはまだ広く使用されていますが、特により成熟した大規模な組織では、Microsoftは現在それを廃止されたサービスと見なしています。明確にするために、Microsoftがそれを直接廃止と呼ぶかどうかはわかりませんが、最近のトレンドはこのステートメントをサポートしています。
AD FSは、オンプレミスインフラストラクチャへの相当な投資と適切な計画が必要であり、外部パートナーへの非常に影響力のある依存関係があります – 彼らが設定を変更した場合(良い、悪い、または理由なし)、それはすぐに状況を破壊するレベルであなたの環境に影響を与えます)。私は何度もAD FSを成功裏に使用しましたが、現在は新規または既存のセットアップに簡単にお勧めできません。
Azure Active Directory Domain Services (AADDS)
Azure Active Directory Domain Services(AADDS)は、マイクロソフトのディレクトリサービスファミリーの最新追加です。AADDSは、マイクロソフトの管理されたActive Directoryサービスで、再びAzureクラウドで完全にホストされています。
AADDSの主要なセールスポイントの1つは、現代の認証方式を使用できないレガシーアプリケーションをクラウドで実行できることです。古くて重要な人事や財務アプリケーションは、変更に抵抗しているユーザーによって中身を完全に理解されており、それを置き換える準備をしながら、さらに数年使用することができます。これらのレガシーアプリケーションをオンプレミス環境から管理されたAADDSドメインに移行するとき、クラウドでドメインを管理する必要はありません。
独自のActive Directoryを実行する場合と比較して、いくつかの制限があります。グループポリシー(GPO)はオンプレミスドメインから管理されたドメインに同期されません。確立された環境では、多くがGPOによって処理されるため、これはかなりの問題となります。
同じく、組織単位(OUs)も移行されません。詳細はMicrosoftのAzure Active Directory Domain Servicesが管理するドメインでオブジェクトと資格情報が同期される方法をご覧ください。
サードパーティのアイデンティティプロバイダ
個々の要件によって、Azure AD以外のアイデンティティプロバイダを検討する必要があります。すでに使用して満足しているか、追加のセキュリティ層を持ちたいかもしれません。コンプライアンスもインフラストラクチャの他の部分からアイデンティティプロバイダを分離する理由の1つです。
Azure ADと組み合わせてサードパーティのアイデンティティプロバイダを使用することも可能です。主要なベンダーは統合ガイドを公開し、あなたの展開をサポートすることを喜んで行います。特にあなたを顧客として維持することが彼らの最大の利益であるためです。この領域の主要なベンダーには、Okta、PingIdentity、OneLogin、Auth0、ZScaler、CyberArkなどがあります。
結論
ディレクトリサービスの領域では、Microsoftはほとんどの可能なシナリオに対応しています。純粋なオンプレミス環境は少なくなってきていますが、それでもActive Directoryだけでも十分に機能します。
クラウドファーストの組織は、分散型の従業員を持ち、ユーザーが個人または法人所有のデバイスを使用して接続し、オンプレミスおよびクラウドベースのSaaSリソースにアクセスすることを可能にし、Azure ADを使用するとより効果的に対応できます。これには、サイバーセキュリティへの投資がさらに必要となります。
一つのソリューションが全てのニーズに適合するわけではありません。Active DirectoryとAzure ADのハイブリッドアイデンティティ設定は、多くの環境にとって最も明らかな選択肢でしょう。最後に、Microsoftの管理されたAADDSおよびすべてのサードパーティーのアイデンティティプロバイダーを無視すべきではありません。
関連記事: