自己管理型の Active Directory Domain Services、Azure Active Directory、およびマネージド Azure Active Directory Domain Services の比較Compare self-managed Active Directory Domain Services, Azure Active Directory, and managed Azure Active Directory Domain Services

アプリケーション、サービス、またはデバイスから、集中管理された ID にアクセスできるようにするには、Azure の Active Directory ベースのサービスを使用する一般的な方法が 3 つあります。To provide applications, services, or devices access to a central identity, there are three common ways to use Active Directory-based services in Azure. この中から ID ソリューションを選択すると、組織のニーズに最も適したディレクトリを柔軟に使用できます。This choice in identity solutions gives you the flexibility to use the most appropriate directory for your organization's needs. たとえば、モバイル デバイスを実行するクラウドのみを使用するユーザーを主に管理している場合、ご自分の Active Directory Domain Services (AD DS) の ID ソリューションを独自に構築して実行しても意味がない可能性があります。For example, if you mostly manage cloud-only users that run mobile devices, it may not make sense to build and run your own Active Directory Domain Services (AD DS) identity solution. 代わりに、Azure Active Directory を使用することができます。Instead, you could just use Azure Active Directory.

Active Directory ベースのこの 3 つの ID ソリューションは、共通の名前とテクノロジを共有しますが、顧客の異なる要求に対応するサービスが提供されるように設計されています。Although the three Active Directory-based identity solutions share a common name and technology, they're designed to provide services that meet different customer demands. これらの ID ソリューションと機能セットの概要は、次のとおりです。At high level, these identity solutions and feature sets are:

  • Active Directory Domain Services (AD DS) - ID と認証、コンピューター オブジェクトの管理、グループ ポリシー、信頼などの主要な機能が提供されるエンタープライズ対応のライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバー。Active Directory Domain Services (AD DS) - Enterprise-ready lightweight directory access protocol (LDAP) server that provides key features such as identity and authentication, computer object management, group policy, and trusts.
  • Azure Active Directory (Azure AD) - Microsoft 365、Azure portal、SaaS アプリケーションなどのリソースに対して、ユーザー アカウント サービスと認証サービスが提供されるクラウドベースの ID およびモバイル デバイス管理。Azure Active Directory (Azure AD) - Cloud-based identity and mobile device management that provides user account and authentication services for resources such as Microsoft 365, the Azure portal, or SaaS applications.
    • Azure AD をオンプレミスの AD DS 環境と同期させて、クラウドでネイティブに機能する単一の ID をユーザーに提供できます。Azure AD can be synchronized with an on-premises AD DS environment to provide a single identity to users that works natively in the cloud.
    • Azure AD の詳細については、「Azure Active Directory とは」を参照してください。For more information about Azure AD, see What is Azure Active Directory?
  • Azure Active Directory Domain Services (Azure AD DS) - 完全に互換性のある従来の AD DS 機能のサブセット (ドメイン参加、グループ ポリシー、LDAP、Kerberos 認証、NTLM 認証など) を使用してマネージド ドメイン サービスが提供されます。Azure Active Directory Domain Services (Azure AD DS) - Provides managed domain services with a subset of fully-compatible traditional AD DS features such as domain join, group policy, LDAP, and Kerberos / NTLM authentication.
    • Azure AD DS は Azure AD と統合され、それ自体でオンプレミスの AD DS 環境と同期することができます。Azure AD DS integrates with Azure AD, which itself can synchronize with an on-premises AD DS environment. この機能により、ID の一元管理のユース ケースを、リフト アンド シフト戦略の一部として Azure で実行される従来の Web アプリケーションに拡張することができます。This ability extends central identity use cases to traditional web applications that run in Azure as part of a lift-and-shift strategy.
    • Azure AD およびオンプレミスとの同期の詳細については、マネージド ドメイン内でのオブジェクトと資格情報の同期のしくみに関するページを参照してください。To learn more about synchronization with Azure AD and on-premises, see How objects and credentials are synchronized in a managed domain.

この概要記事では、組織のニーズに応じて、これらの ID ソリューションを連携させる場合と個別に使用する場合を比較対比します。This overview article compares and contrasts how these identity solutions can work together, or would be used independently, depending on the needs of your organization.

Azure AD DS と自己管理型 AD DSAzure AD DS and self-managed AD DS

Kerberos や NTLM などの従来の認証メカニズムにアクセスする必要があるアプリケーションおよびサービスを使用している場合、クラウドで Active Directory Domain Services を提供するには、次の 2 つの方法があります。If you have applications and services that need access to traditional authentication mechanisms such as Kerberos or NTLM, there are two ways to provide Active Directory Domain Services in the cloud:

  • "マネージド ドメイン"。Azure Active Directory Domain Services (Azure AD DS) を使用して作成します。A managed domain that you create using Azure Active Directory Domain Services (Azure AD DS). Microsoft が、必要なリソースの作成と管理を行います。Microsoft creates and manages the required resources.
  • "自己管理型" ドメイン: 仮想マシン (VM)、Windows Server ゲスト OS、Active Directory Domain Services (Azure AD DS) などの従来のリソースを使用して、作成および構成します。A self-managed domain that you create and configure using traditional resources such as virtual machines (VMs), Windows Server guest OS, and Active Directory Domain Services (AD DS). 管理者が引き続き、これらのリソースを管理します。You then continue to administer these resources.

Azure AD DS では、管理者に代わって Microsoft がコア サービス コンポーネントを "マネージド" ドメイン エクスペリエンスとしてデプロイし、管理します。With Azure AD DS, the core service components are deployed and maintained for you by Microsoft as a managed domain experience. 管理者は、VM、Windows Server OS、ドメイン コントローラー (DC) などのコンポーネント用 AD DS インフラストラクチャのデプロイ、管理、修正プログラムの適用、セキュリティ保護は行いません。You don't deploy, manage, patch, and secure the AD DS infrastructure for components like the VMs, Windows Server OS, or domain controllers (DCs).

Azure AD DS では、機能のより小さいサブセットが従来の自己管理型 AD DS 環境に提供され、設計と管理の複雑さの一部が軽減されます。Azure AD DS provides a smaller subset of features to traditional self-managed AD DS environment, which reduces some of the design and management complexity. たとえば、設計および保守すべき AD フォレスト、ドメイン、サイト、レプリケート リンクはありません。For example, there are no AD forests, domain, sites, and replication links to design and maintain. それでも Azure AD DS とオンプレミス環境の間にフォレストの信頼を作成することができます。You can still create forest trusts between Azure AD DS and on-premises environments.

アプリケーションおよびサービスがクラウドで実行され、Kerberos や NTLM などの従来の認証メカニズムにアクセスする必要がある場合、Azure AD DS では、管理オーバーヘッドを最小限に抑えたマネージド ドメイン エクスペリエンスが提供されます。For applications and services that run in the cloud and need access to traditional authentication mechanisms such as Kerberos or NTLM, Azure AD DS provides a managed domain experience with the minimal amount of administrative overhead. 詳細については、Azure AD DS でのユーザー アカウント、パスワード、および管理の概念に関するページを参照してください。For more information, see Management concepts for user accounts, passwords, and administration in Azure AD DS.

自己管理型 AD DS 環境をデプロイして実行する場合、関連するすべてのインフラストラクチャとディレクトリ コンポーネントを保守する必要があります。When you deploy and run a self-managed AD DS environment, you have to maintain all of the associated infrastructure and directory components. 自己管理型 AD DS 環境では、追加の保守オーバーヘッドが発生しますが、スキーマの拡張やフォレストの信頼の作成などの追加タスクを実行できます。There's additional maintenance overhead with a self-managed AD DS environment, but you're then able to do additional tasks such as extend the schema or create forest trusts.

クラウド内のアプリケーションおよびサービスに ID を提供する自己管理型 AD DS 環境の一般的なデプロイ モデルには、次のものがあります。Common deployment models for a self-managed AD DS environment that provides identity to applications and services in the cloud include the following:

  • スタンドアロンのクラウド専用 AD DS: Azure VM はドメイン コントローラーとして構成され、個別のクラウド専用 AD DS 環境が作成されます。Standalone cloud-only AD DS - Azure VMs are configured as domain controllers and a separate, cloud-only AD DS environment is created. この AD DS 環境は、オンプレミスの AD DS 環境と統合されません。This AD DS environment doesn't integrate with an on-premises AD DS environment. クラウド内の VM にサインインして管理するために、別の資格情報セットを使用します。A different set of credentials is used to sign in and administer VMs in the cloud.
  • リソース フォレストのデプロイ: Azure VM はドメイン コントローラーとして構成され、既存のフォレストの一部として AD DS ドメインが作成されます。Resource forest deployment - Azure VMs are configured as domain controllers and an AD DS domain that's part of an existing forest is created. オンプレミスの AD DS 環境に対して信頼関係が構成されます。A trust relationship is then configured to an on-premises AD DS environment. クラウドのこのリソース フォレストに、他の Azure VM をドメイン参加させることができます。Other Azure VMs can domain-join to this resource forest in the cloud. ユーザー認証は、オンプレミスの AD DS 環境への VPN/ExpressRoute 接続経由で実行されます。User authentication runs over a VPN / ExpressRoute connection to the on-premises AD DS environment.
  • オンプレミスのドメインを Azure に拡張: VPN/ExpressRoute 接続を使用して、オンプレミスのネットワークに Azure 仮想ネットワークを接続します。Extend on-premises domain to Azure - An Azure virtual network connects to an on-premises network using a VPN / ExpressRoute connection. Azure VM をこの Azure 仮想ネットワークに接続して、オンプレミスの AD DS 環境にドメイン参加させます。Azure VMs connect to this Azure virtual network, which lets them domain-join to the on-premises AD DS environment.
    • 別の方法として、Azure VM を作成し、オンプレミスの AD DS ドメインからレプリカ ドメイン コントローラーとして昇格させます。An alternative is to create Azure VMs and promote them as replica domain controllers from the on-premises AD DS domain. これらのドメイン コントローラーは、オンプレミスの AD DS 環境への VPN/ExpressRoute 接続経由でレプリケートされます。These domain controllers replicate over a VPN / ExpressRoute connection to the on-premises AD DS environment. オンプレミスの AD DS ドメインは、Azure に効果的に拡張されます。The on-premises AD DS domain is effectively extended into Azure.

次の表では、組織に必要となる可能性のある機能の一部、マネージド Azure AD DS ドメインまたは自己管理型 AD DS ドメインの違いについて概要を示します。The following table outlines some of the features you may need for your organization, and the differences between a managed Azure AD DS domain or a self-managed AD DS domain:

機能Feature Azure AD DSAzure AD DS 自己管理型 AD DSSelf-managed AD DS
マネージド サービスManaged service
安全なデプロイSecure deployments 管理者がデプロイをセキュリティ保護Administrator secures the deployment
DNS サーバーDNS server (管理されたサービス) (managed service)
ドメインまたはエンタープライズ管理者の特権Domain or Enterprise administrator privileges
ドメイン参加Domain join
NTLM と Kerberos を使用するドメイン認証Domain authentication using NTLM and Kerberos
Kerberos の制約付き委任Kerberos constrained delegation リソースベースResource-based リソースベースとアカウントベースResource-based & account-based
カスタムの OU 構造Custom OU structure
グループ ポリシーGroup Policy
スキーマの拡張機能Schema extensions
AD ドメイン/フォレストの信頼AD domain / forest trusts (一方向の出力方向フォレスト信頼のみ) (one-way outbound forest trusts only)
LDAP の読み取りLDAP read
LDAP の書き込みLDAP write (マネージド ドメイン内) (within the managed domain)
地理的に分散したデプロイGeo-distributed deployments

Azure AD DS と Azure ADAzure AD DS and Azure AD

Azure AD を使用することにより、組織で使用されているデバイスの ID を管理して、これらのデバイスから企業リソースへのアクセスを制御できます。Azure AD lets you manage the identity of devices used by the organization and control access to corporate resources from those devices. ユーザーは、個人のデバイスを Azure AD に登録 (Bring Your Own (BYO) モデル) することも可能です。これにより、デバイスに ID が提供されます。Users can also register their personal device (a bring-your-own (BYO) model) with Azure AD, which provides the device with an identity. すると、ユーザーが Azure AD にサインインし、デバイスを使用してセキュリティで保護されたリソースにアクセスすると、Azure AD でデバイスは認証されます。Azure AD then authenticates the device when a user signs in to Azure AD and uses the device to access secured resources. デバイスは、Microsoft Intune などのモバイル デバイス管理 (MDM) ソフトウェアを使用して管理できます。The device can be managed using Mobile Device Management (MDM) software like Microsoft Intune. この管理機能を使用すると、機密性の高いリソースへのアクセスを、管理対象デバイスとポリシーに準拠しているデバイスに制限できます。This management ability lets you restrict access to sensitive resources to managed and policy-compliant devices.

従来のコンピューターおよびノート PC も Azure AD に参加できます。Traditional computers and laptops can also join to Azure AD. このメカニズムには、個人用デバイスを Azure AD に登録する場合と同じメリットがあります。たとえば、ユーザーは会社の資格情報を使用してデバイスにサインインできます。This mechanism offers the same benefits of registering a personal device with Azure AD, such as to allow users to sign in to the device using their corporate credentials.

Azure AD に参加しているデバイスには、次のような利点があります。Azure AD joined devices give you the following benefits:

  • Azure AD によってセキュリティ保護されたアプリケーションに対するシングル サインオン (SSO)Single-sign-on (SSO) to applications secured by Azure AD.
  • デバイス間でのユーザー設定の企業ポリシーに準拠しているローミングEnterprise policy-compliant roaming of user settings across devices.
  • 会社の資格情報を使用したビジネス向け Windows ストアへのアクセスAccess to the Windows Store for Business using corporate credentials.
  • Windows Hello for BusinessWindows Hello for Business.
  • 企業のポリシーに準拠しているデバイスからアプリおよびリソースへのアクセス制限Restricted access to apps and resources from devices compliant with corporate policy.

オンプレミスの AD DS 環境を含むハイブリッド デプロイの有無に関係なく、デバイスを Azure AD に参加させることができます。Devices can be joined to Azure AD with or without a hybrid deployment that includes an on-premises AD DS environment. 次の表は、一般的なデバイスの所有権モデルと、それらをドメインに参加させる通常の方法について概要を示します。The following table outlines common device ownership models and how they would typically be joined to a domain:

デバイスの種類Type of device デバイス プラットフォームDevice platforms メカニズムMechanism
個人用デバイスPersonal devices Windows 10、iOS、Android、macOSWindows 10, iOS, Android, macOS Azure AD 登録済みAzure AD registered
オンプレミスの AD DS に参加していない組織所有デバイスOrganization-owned device not joined to on-premises AD DS Windows 10Windows 10 Azure AD 参加済みAzure AD joined
オンプレミスの AD DS に参加している組織所有デバイスOrganization-owned device joined to an on-premises AD DS Windows 10Windows 10 ハイブリッド Azure AD 参加済みHybrid Azure AD joined

Azure AD に参加または登録しているデバイスでは、最新の OAuth/OpenID 接続ベースのプロトコルを使用して、ユーザー認証が行われます。On an Azure AD-joined or registered device, user authentication happens using modern OAuth / OpenID Connect based protocols. これらのプロトコルは、インターネット経由で動作するように設計されているため、ユーザーが会社のリソースにどこからでもアクセスするモバイル シナリオに最適です。These protocols are designed to work over the internet, so are great for mobile scenarios where users access corporate resources from anywhere.

Azure AD DS に参加しているデバイスでは、アプリケーションは認証に Kerberos プロトコルおよび NTLM プロトコルを使用できます。このため、リフト アンド シフト戦略の一環として Azure VM に移行され、そこで実行されるレガシ アプリケーションをサポートできます。With Azure AD DS-joined devices, applications can use the Kerberos and NTLM protocols for authentication, so can support legacy applications migrated to run on Azure VMs as part of a lift-and-shift strategy. 次の表は、デバイスの表現方法の違いと、ディレクトリに対してデバイス自体を認証できる方法の違いについて概要を示します。The following table outlines differences in how the devices are represented and can authenticate themselves against the directory:

特徴Aspect Azure AD 参加済みAzure AD-joined Azure AD DS 参加済みAzure AD DS-joined
デバイスの制御Device controlled by Azure ADAzure AD Azure AD DS マネージド ドメインAzure AD DS managed domain
ディレクトリ内の表現Representation in the directory Azure AD ディレクトリ内のデバイス オブジェクトDevice objects in the Azure AD directory Azure AD DS マネージド ドメイン内にあるコンピューター オブジェクトComputer objects in the Azure AD DS managed domain
認証Authentication OAuth/OpenID Connect ベースのプロトコルOAuth / OpenID Connect based protocols Kerberos および NTLM プロトコルKerberos and NTLM protocols
管理Management Intune などのモバイル デバイス管理 (MDM) ソフトウェアMobile Device Management (MDM) software like Intune グループ ポリシーGroup Policy
ネットワークNetworking インターネット経由で動作Works over the internet マネージド ドメインがデプロイされている仮想ネットワークに接続されているか、ピアリングされている必要がありますMust be connected to, or peered with, the virtual network where the managed domain is deployed
最適な対象Great for... エンドユーザーのモバイルまたはデスクトップ デバイスEnd-user mobile or desktop devices Azure にデプロイされるサーバー VMServer VMs deployed in Azure

ADFS を使用したフェデレーション認証のために、オンプレミスの AD DS と Azure AD が構成されている場合、Azure DS で使用できる (現在の、または有効な) パスワード ハッシュはありません。If on-prem AD DS and Azure AD are configured for federated authentication using ADFS then there is no (current/valid) password hash available in Azure DS. フェデレーション認証が実装される前に作成された Azure AD ユーザー アカウントには古いパスワード ハッシュがある可能性がありますが、これはオンプレミスのパスワードのハッシュと一致しないと考えられます。Azure AD user accounts created before fed auth was implemented might have an old password hash but this likely doesn't match a hash of their on-prem password. そのため、Azure AD DS はユーザーの資格情報を検証できません。Hence Azure AD DS won't be able to validate the users credentials

次のステップNext steps

Azure AD DS の使用を開始するには、Microsoft Azure portal を使用して Azure AD DS マネージド ドメインを作成します。To get started with using Azure AD DS, create an Azure AD DS managed domain using the Azure portal.

また、Azure AD DS でのユーザー アカウント、パスワード、および管理の概念およびマネージド ドメインでのオブジェクトと資格情報の同期のしくみについても学習できます。You can also learn more about management concepts for user accounts, passwords, and administration in Azure AD DS and how objects and credentials are synchronized in a managed domain.