社内レポート

イベントレポート

2019年12月25日(水)

ハイブリッドクラウドへの道 ~The road to hybrid cloud.~

Azure版Active Directory サービスの使いどころ

クラウドファーストをキーワードに、クラウドの利用がようやく当たり前の時代となりました。そんな中、すべてをクラウド化するにはどうしても無理な部分もあり、オンプレミスでのサーバー利用も依然として続いているのも事実です。クラウドとオンプレミスの使い分け、連携するための様々な技術や手法が出揃ってきています。

今回よりスタートする新連載では、Windows ServerとAzureを中心にクラウドとオンプレミスの融合「ハイブリッドクラウド」を目指すべく、独断と偏見を交えて技術情報を紹介していきます。

題して、「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~」!

記事INDEX

Azure Active Directory と Azure Active Directory Domain Servicesの概要

まず第1回目は「Azure版Active Directory サービスの使いどころ」ということで、オンプレミスのActive Directoryを管理している方にはちょっと誤解しやすいAzure Active DirectoryとAzure Active Directory Domain Servicesの概要を紹介します。

Active Directoryと名前の付くものが、Microsoftには数多く存在しています。まずはオンプレミスでこれまで利用されてきたお馴染みのActive Directoryです。他との比較をしやすくするため「Windows Server Active Directory」=WSADとします。2つ目は、「Azure Active Directory」=AADです。もう1つ紹介するのは「Azure Active Directory Domain Services」=AADDSです。

他にもActive Directoryと名の付くサービス、機能がたくさんありますが、まずはこの3つの違いをきちんと理解しておく必要があります。サーバーを自らセットアップしてWSADを構築していたエンジニアからすると、「Azure Active Directory」とう名前から、Azure上でActive Directoryを構築してドメインに参加したユーザー管理とPCの管理ができるものという印象があるかと思います。

では、「Azure Active Directory Domain Services」って何なの? という疑問も当然出てきます。

Active Directoryで検索したところ
Active Directoryで検索したところ

これらの違いをきちんと理解して使い分けることが、ハイブリッドクラウドへの最初の一歩となります。

細かい機能の説明は後ほどということで、まずはそれぞれの大まかな機能や役割を確認しておきます。

WSAD AAD AADDS
用途 オンプレミスでのアカウント管理。対象はWindows PC クラウド環境でのアカウント管理。対象はOSを問わず各種デバイス クラウド版WSAD。アカウント管理はAADに依存
使用例 社内アカウント・PC管理。ファイルサーバーのアクセス権。グループポリシー Office365へログイン。Webアプリケーションの認証。タブレットからシングルサインオン。多要素認証 Azure仮想マシンのドメイン参加。社内ドメインをクラウドに移行・同期
制限事項 インターネットに公開はNG。VPNや専用回線を推奨 WSADとADDは別の機能。Windows Serverは参加できない Domain Admins・Enterprise Adminsがない。Domain Policyの変更ができない。オンプレと同期できるが、一部制限あり

※WSAD:Windows Server Active Directory
 AAD  :Azure Active Directory
 AADDS:Azure Active Directory Domain Services

Windows Server Active Directory
Windows Server Active Directory
Azure Active Directory
Azure Active Directory
Azure Active Directory Domain Services
Azure Active Directory Domain Services

それぞれの概要を理解したところで、長年オンプレミスのWindows Serverに携わった経験から各Active Directoryサービスの使いどころを以下のように考えました。

WSADとAADは別物

まずAADは、これまで自分たちが経験を積んできたWSAD、いわゆるWindowsドメインとはまったくの別物ということです。クラウドサービス全盛の中、サービスを利用する端末は必ずしもWindows PCだけではなく、スマートフォン、タブレット、IoT端末など様々なOSやデバイスが考えられます。これらのアカウント、端末管理をするための新しいID管理の仕組みが必要となります。クラウドサービスをシングルサインオンで利用するためのアカウント管理システムがAADということです。WSADをまったく意識せず、クラウドサービスだけを利用するような環境であればAADの選択が最適です。

AADDSはドメインコントローラーの代わりとなる

Azure上に作成した仮想マシンをドメインに参加させてオンプレミス同様に管理する場合、仮想マシン自体にドメインコントローラーの機能をインストールしてドメインを構築することが可能です。このドメインコントローラーの仮想マシンの代わりとなるものが、AADDSです。ドメインコントローラーのPaaS(クラウドサービス)と言い換えることができます。ドメインコントローラー構築、運用の面倒な部分を、サービスを利用することで簡略化し、仮想マシンのリソースを削減できます。ただし、オンプレミスと同様のActive Directoryの機能が100%利用できるわけではなく、Domain Admins・Enterprise Adminsがないことや、Domain Policyの変更、ドメイン同士の信頼関係の設定、スキーマ拡張、フォレスト、Active Directoryの機能レベルの変更など、利用できない機能があります。

WSAD とAADDSの同期、移行には制限がある

ハイブリッドクラウドを目指す場合、既存のオンプレミスのWSADとAADDSの同期や移行が必要になります。この場合、Azure AD Connect(オンプレミスのアカウント情報とAADのアカウント情報を同期するツール)を利用して同期することとなるのですが、同期できるオブジェクトがユーザーデータのみという制限があり、アカウント、グループ、パスワード、SIDだけに限定されます。グループポリシー、コンピューターオブジェクトは同期対象外となります。コンピューターオブジェクトにアクセス制限などを設定している場合は注意が必要です。また、デスクトップのテンプレートイメージや、セキュリティーポリシーなどグループポリシーで制限をしている場合には、オンプレかクラウドかでPCの仕様に差異が出る可能性があり注意が必要です。

AADDSはActive Directoryの新規作成がおすすめ

AADDSを利用する場合は、新規でActive Directoryを構築して運用管理することが一番シンプルで使いやすそうです。オンプレミスにはドメインコントローラーは作らず、最初からAADDSを利用します。アカウントの同期やリソースの移行といった面倒な作業が必要なく、シンプルで使いやすい構成と考えられます。

ハイブリッドクラウドでActive Directoryを移行する場合 Azure仮想マシンあり

ハイブリッドクラウドを実現するために一番現実的で問題が少なそうな構成は、Azure上で仮想マシンを作成し、VPN接続でドメインコントローラーを複製する方法です。この方法は、オフィスと遠隔地を結ぶActive Directoryの構築方法と同じ考え方なので、これまで経験してきた手法が利用できます。Azure上に追加で仮想マシンを作成した場合は、すぐ側にドメインコントローラーがいるので、そのままドメイン参加することが可能です。最終的にはオンプレミスのドメインコントローラーをすべてなくして、Azure上のドメインコントローラーのみといった構成も可能です。Azure上にオンプレミスのリソースを最適配置して、クラウドの利点である運用コストの削減やデータ保護に役立てることが可能となります。Office365などクラウドサービスを利用する場合は、Azure AD Connectを利用してAADとアカウント同期を行い、シングルサインオンを可能とします。

ドメインコントローラーとして仮想マシンを作成
ドメインコントローラーとして仮想マシンを作成
ハイブリッドクラウドでActive Directoryを移行する場合 Azure仮想マシンなし

Active Directoryはそのままオンプレミスのものを利用して、Office365などクラウドサービスを利用する場合は、Azure AD Connectを利用して、オンプレミスのドメインコントローラーとAADの間でアカウント情報の同期を取ることで、クラウドサービスとオンプレミスのリソースを1つの同じアカウントで利用することが可能となります。

オンプレミスのドメインコントローラーを利用
オンプレミスのドメインコントローラーを利用
ドメインコントローラーを作成しない場合

ドメインコントローラーの役割を、すべてAADDSを利用することで置き換えます。オンプレミスでもAzure上の仮想マシンでもActive Directoryに参加することが可能となります。AADDSはAADと紐づいているので、Office365などクラウドサービスにシングルサインオンが可能となっています。ただし、AADDSはいくつか制限事項があるので、オンプレミスからの移行よりは、新規でAzure上にActive Directoryを構築する場合に適しているようです。

ドメインコントローラーをAADDSに置き換え
ドメインコントローラーをAADDSに置き換え

以上、「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~」連載のはじめは、「Azure版Active Directory サービスの使いどころ」ということで、サービスの概要とそれぞれの使いどころを紹介しました。

次回以降、各サービスの設定方法など詳細情報を紹介していく予定です。