Azure AD がオンプレミスのワークロードに対してクラウド ガバナンス管理を提供する方法How Azure AD Delivers Cloud Governed Management for On-Premises Workloads

Azure Active Directory (Azure AD) は、何百万もの組織に使用されている包括的なサービスとしての ID (IDaaS) ソリューションです。その範囲は ID、アクセス管理、セキュリティのあらゆる面に及びます。Azure Active Directory (Azure AD) is a comprehensive identity as a service (IDaaS) solution used by millions of organizations that span all aspects of identity, access management, and security. Azure AD は 10 億を超えるユーザー ID を保持しており、ユーザーはサインインすると、以下の両方に安全にアクセスすることができます。Azure AD holds more than a billion user identities and helps users sign in and securely access both:

  • 外部リソース。Microsoft Office 365、Azure portal、その他何千という サービスとしてのソフトウェア (SaaS) アプリケーションなどです。External resources, such as Microsoft Office 365, the Azure portal, and thousands of other Software-as-a-Service (SaaS) applications.
  • 内部リソース。組織の企業ネットワークとイントラネット上のアプリケーションや、自分の組織で開発したクラウド アプリケーションなどです。Internal resources, such as applications on an organization's corporate network and intranet, along with any cloud applications developed by that organization.

組織が "純粋なクラウド" である場合は Azure AD を使用できます。また、オンプレミス ワークロードがある場合は "ハイブリッド" デプロイとして使用できます。Organizations can use Azure AD if they are 'pure cloud,' or as a 'hybrid' deployment if they have on-premises workloads. Azure AD のハイブリッド デプロイは、組織が IT 資産をクラウドに移行するため、または既存のオンプレミス インフラストラクチャを新しいクラウド サービスに統合し続けるための戦略の一部になることがあります。A hybrid deployment of Azure AD can be part of a strategy for an organization to migrate its IT assets to the cloud, or to continue to integrate existing on-premises infrastructure alongside new cloud services.

従来、"ハイブリッド" な組織は、Azure AD を既存のオンプレミス インフラストラクチャの拡張機能と見なしてきました。Historically, 'hybrid' organizations have seen Azure AD as an extension of their existing on-premises infrastructure. これらのデプロイでは、オンプレミス ID ガバナンス管理、Windows Server Active Directory、または他の社内ディレクトリ システムが制御ポイントとなり、ユーザーとグループはそれらのシステムから Azure AD などのクラウド ディレクトリに同期されます。In these deployments, the on-premises identity governance administration, Windows Server Active Directory or other in-house directory systems, are the control points, and users and groups are synced from those systems to a cloud directory such as Azure AD. これらの ID は、クラウドに移行されると、Office 365、Azure、およびその他のアプリケーションで利用できるようになります。Once those identities are in the cloud, they can be made available to Office 365, Azure, and other applications.

ID ライフサイクル

組織がアプリケーションと共により多くの IT インフラストラクチャをクラウドに移行すると、その多くがサービスとしての ID 管理のセキュリティの向上と管理機能の簡素化を求めるようになります。As organizations move more of their IT infrastructure along with their applications to the cloud, many are looking for the improved security and simplified management capabilities of identity management as a service. Azure AD のクラウドで提供される IDaaS 機能によって、組織が従来のオンプレミス システムから Azure AD へとより多くの ID 管理を迅速に採用して移行できるだけでなく、さらに既存および新規のアプリケーションを引き続きサポートすることができるので、クラウド ガバナンス管理への移行は加速されます。The cloud-delivered IDaaS features in Azure AD accelerate the transition to cloud governed management by providing the solutions and capabilities that allow organizations to quickly adopt and move more of their identity management from traditional on-premises systems to Azure AD, while continuing to support existing as well as new applications.

このドキュメントでは、ハイブリッド IDaaS に関する Microsoft の戦略の概要と、組織が既存のアプリケーションに Azure AD を使用する方法について説明します。This paper outlines Microsoft's strategy for hybrid IDaaS and describes how organizations can use Azure AD for their existing applications.

Azure AD からクラウド ガバナンス ID 管理へのアプローチThe Azure AD approach to cloud governed identity management

組織がクラウドに移行するときには、自動化によってサポートされるアクティビティのセキュリティの強化と可視化の向上、先を見越した分析情報など、全体の環境を管理することを保証する必要があります。As organizations transition to the cloud, they need assurances that they have controls over their complete environment - more security and more visibility into activities, supported by automation, and proactive insights. クラウド ガバナンス管理」では、組織がクラウドからユーザー、アプリケーション、グループ、およびデバイスをどのように管理および統制するかについて説明します。"Cloud governed management" describes how organizations manage and govern their users, applications, groups, and devices from the cloud.

この現代の世界では、SaaS アプリケーションが急増し、コラボレーションと外部の ID の役割が増大しているため、組織は効率的に大規模な環境を管理できる必要があります。In this modern world, organizations need to be able to manage effectively at scale, because of the proliferation of SaaS applications and the increasing role of collaboration and external identities. クラウドの新しいリスク環境は、組織が応答性を高める必要があることを意味します。クラウド ユーザーを侵害する悪意のあるアクターが、クラウドおよびオンプレミスのアプリケーションに影響を与える可能性があります。The new risk landscape of the cloud means an organization must be more responsive - a malicious actor who compromises a cloud user could affect cloud and on-premises applications.

特に、ハイブリッド組織では、従来は IT が手動で行っていたタスクを委任し、自動化できる必要があります。In particular, hybrid organizations need to be able to delegate and automate tasks, which historically IT did manually. タスクを自動化するには、さまざまな ID 関連リソース (ユーザー、グループ、アプリケーション、デバイス) のライフサイクルを調整する API とプロセスが必要です。そうすれば、それらのリソースの日常的な管理をコア IT スタッフ以外のより多くの個人に委任できるようになります。To automate tasks, they need APIs and processes that orchestrate the lifecycle of the different identity-related resources (users, groups, applications, devices), so they can delegate the day-to-day management of those resources to more individuals outside of core IT staff. Azure AD は、オンプレミスの ID インフラストラクチャを必要とせず、ユーザー アカウント管理とユーザーのネイティブ認証を使用してこれらの要件に対処します。Azure AD addresses these requirements through user account management and native authentication for users without requiring on-premises identity infrastructure. オンプレミスのインフラストラクチャを構築しないことは、オンプレミスのディレクトリに由来しないユーザーの新しいコミュニティ (ビジネス パートナーなど) があり、ビジネス成果の達成にアクセスの管理が不可欠な組織にメリットがあります。Not building out on-premises infrastructure can benefit organizations that have new communities of users, such as business partners, which didn't originate in their on-premises directory, but whose access management is critical to achieving business outcomes.

さらに、管理はガバナンスなしには完全にはなりません。また、この新しい世界におけるガバナンスは、アドオンではなく ID システムの統合された部分です。In addition, management isn't complete without governance --- and governance in this new world is an integrated part of the identity system rather than an add-on. ID ガバナンスによって、組織は、ID を管理し、従業員、ビジネス パートナーとベンダー、そしてサービスとアプリケーション全体にわたるライフサイクルにアクセスできるようになります。Identity governance gives organizations the ability to manage the identity and access lifecycle across employees, business partners and vendors, and services and applications.

ID ガバナンスを取り入れることで、組織はクラウド ガバナンス管理への移行が容易になり、IT 担当者はスケール、ゲストとの新たな課題への対処、およびオンプレミス インフラストラクチャの場合よりも深い分析情報と自動化を実現できます。Incorporating identity governance makes it easier to enable the organization to transition to cloud governed management, allows IT to scale, addresses new challenges with guests and provides deeper insights and automation than what customers had with on-premises infrastructure. この新しい世界のガバナンスとは、組織内のリソースへのアクセスに対して、透明性、可視性、および適切な統制力を持つ組織の能力を意味します。Governance in this new world means the ability for an organization to have transparency, visibility, and proper controls on the access to resources within the organization. Azure AD を使用すると、セキュリティ運用および監査チームは、組織内の (どのデバイス上の) どのリソースに対してどのユーザーがアクセス権を持っているか (また持つべきか)、それらのユーザーがそのアクセス権を使用して何を実行するか、組織が会社または規制によるポリシーに従ってアクセス権を削除または制限する適切な統制力を持ち、使用しているかどうかを把握できます。With Azure AD, security operations and audit teams have visibility into who has --- and who should have - access to what resources in the organization (on what devices), what those users are doing with that access, and whether the organization has and uses appropriate controls to remove or restrict access in accordance with company or regulatory policies.

新しい管理モデルは、SaaS と基幹業務 (LOB) アプリケーションの両方を使用している組織にとってメリットがあります。これは、こうしたアプリケーションへのアクセスの管理とセキュリティ保護がより簡単になるためです。The new management model benefits organizations with both SaaS and line-of-business (LOB) applications, as they are more easily able to manage and secure access to those applications. アプリケーションを Azure AD と統合することで、組織はクラウドとオンプレミスが元の ID 両方のアクセスを一貫して使用および管理できるようになります。By integrating applications with Azure AD, organizations will be able to use and manage access across both cloud and on-premises originated identities consistently. アプリケーションのライフサイクル管理はより自動化され、オンプレミスの ID 管理では簡単に達成できなかったアプリケーションの使用状況に関する豊富な分析情報が Azure AD から提供されます。Application lifecycle management becomes more automated, and Azure AD provides rich insights into application usage that wasn't easily achievable in on-premises identity management. 組織は、Azure AD、Office 365 グループ、および Teams のセルフサービス機能を使用して、アクセス管理とコラボレーションのためのグループを簡単に作成し、クラウド内のユーザーを追加または削除してコラボレーションとアクセス管理の要件を満たすことができます。Through the Azure AD, Office 365 groups and Teams self-service features, organizations can easily create groups for access management and collaboration and add or remove users in the cloud to enable collaboration and access management requirements.

クラウド ガバナンス管理のための適切な Azure AD 機能の選択は、使用するアプリケーションと、それらのアプリケーションを Azure AD に統合する方法によって変わります。Selecting the right Azure AD capabilities for cloud governed management depends upon the applications to be used, and how those applications will be integrated with Azure AD. 以下のセクションでは、AD 統合アプリケーションと、フェデレーション プロトコルを使用するアプリケーション (SAML、OAuth、OpenID Connect など) に採用するアプローチについて概要を説明します。The following sections outline the approaches to take for AD-integrated applications, and applications that use federation protocols (for example, SAML, OAuth, or OpenID Connect).

AD 統合アプリケーションのクラウド ガバナンス管理Cloud governed management for AD-integrated applications

Azure AD では、これらのアプリケーションへのセキュリティで保護されたリモート アクセスと条件付きアクセスを通して、組織のオンプレミスの Active Directory 統合アプリケーションに対する管理機能を向上させます。Azure AD improves the management for an organization's on-premises Active Directory-integrated applications through secure remote access and Conditional Access to those applications. さらに、Azure AD には、ユーザーの既存の AD アカウントに対して、次のようなアカウント ライフサイクル管理と資格情報管理の機能があります。In addition, Azure AD also provides account lifecycle management and credential management for the user's existing AD accounts, including:

  • オンプレミスのアプリケーションへのセキュリティで保護されたリモート アクセスと条件付きアクセスSecure remote access and Conditional Access for on-premises applications

多くの組織にとって、オンプレミスの AD 統合 Web およびリモート デスクトップベースのアプリケーションでクラウドからのアクセスを管理する最初の手順は、それらのアプリケーションの前にアプリケーション プロキシを配置し、セキュリティで保護されたリモート アクセスを提供することです。For many organizations, the first step in managing access from the cloud for on-premises AD-integrated web and remote desktop-based applications is to deploy the application proxy in front of those applications to provide secure remote access.

Azure AD にシングル サインオンした後、ユーザーは、外部の URL または内部のアプリケーション ポータルから、クラウド アプリケーションとオンプレミス アプリケーションの両方にアクセスできます。After a single sign-on to Azure AD, users can access both cloud and on-premises applications through an external URL or an internal application portal. たとえば、アプリケーション プロキシは、リモート デスクトップ、SharePoint だけでなく、Tableau、Qlik、基幹業務 (LOB) アプリケーションなどのアプリへのリモート アクセスとシングル サインオンを提供します。For example, Application Proxy provides remote access and single sign-on to Remote Desktop, SharePoint, as well as apps such as Tableau and Qlik, and line of business (LOB) applications. さらに、条件付きアクセス ポリシーには、使用条件の表示と、アプリケーションにアクセスできるようになる前にユーザーがこれらの条件に同意していることの確認を含めることができます。Furthermore, Conditional Access policies can include displaying the terms of use and ensuring the user has agreed to them before being able to access an application.

アプリ プロキシのアーキテクチャ

  • Active Directory アカウントの自動ライフサイクル管理Automatic lifecycle management for Active Directory accounts

ID ガバナンスにより、組織は、"生産性" (従業員が組織に加わったときなどに、必要なリソースへのアクセスできるようになるまでの時間) とIdentity governance helps organizations achieve a balance between productivity --- how quickly can a person have access to the resources they need, such as when they join the organization? "セキュリティ" (従業員の雇用形態の変更などによって、時間の経過に伴いアクセス権をどのように変更すべきか) とのバランスを取ることができます。--- and security --- how should their access change over time, such as when that person's employment status changes? ID ライフサイクル管理は ID 管理の基盤であり、大規模な効果的な管理には、アプリケーションの ID ライフサイクル管理インフラストラクチャの近代化が必要です。Identity lifecycle management is the foundation for identity governance, and effective governance at scale requires modernizing the identity lifecycle management infrastructure for applications.

多くの組織では、従業員の ID ライフサイクルは、ヒューマン キャピタル マネジメント (HCM) システムでのそのユーザーの表示に関連付けられています。For many organizations, identity lifecycle for employees is tied to the representation of that user in a human capital management (HCM) system. HCM システムとして Workday を使用している組織の場合、Azure AD によって、AD のユーザー アカウントが確実に Workday のワーカーに対して自動的にプロビジョニングおよびプロビジョニング解除されるようにすることができます。For organizations using Workday as their HCM system, Azure AD can ensure user accounts in AD are automatically provisioned and deprovisioned for workers in Workday. その結果、ユーザーが役割を変更したり組織を離れたりしたときにアプリケーションのアクセスが確実に自動的に更新されるようになり、生得権アカウントの自動化によってユーザーの生産性が向上し、リスクが管理されるようになります。Doing so leads to improved user productivity through automation of birthright accounts and manages risk by ensuring application access is automatically updated when a user changes roles or leaves the organization. Workday 主導のユーザー プロビジョニング デプロイ計画は、Workday から Active Directory へのユーザー プロビジョニング ソリューションのベスト プラクティス実装を 5 段階のプロセスで説明する手順ガイドです。The Workday-driven user provisioning deployment plan is a step-by-step guide that walks organizations through the best practices implementation of Workday to Active Directory User Provisioning solution in a five-step process.

Azure AD Premium には Microsoft Identity Manager も含まれていて、SAP、Oracle eBusiness、Oracle PeopleSoft などの他のオンプレミスの HCM システムからレコードをインポートすることができます。Azure AD Premium also includes Microsoft Identity Manager, which can import records from other on-premises HCM systems, including SAP, Oracle eBusiness, and Oracle PeopleSoft.

企業間のコラボレーションには、組織外のユーザーにアクセスを許可することがますます必要になっています。Business-to-business collaboration increasingly requires granting access to people outside your organization. 組織が Azure AD B2B コラボレーションを使用すると、独自の社内データに対するコントロールを維持した状態で、アプリケーションとサービスをゲスト ユーザーや外部パートナーと安全に共有することができます。Azure AD B2B collaboration enables organizations to securely share their applications and services with guest users and external partners while maintaining control over their own corporate data.

Azure AD では、必要に応じてゲスト ユーザー用のアカウントを自動的に AD に作成し、ビジネス ゲストが別のパスワードを必要とせずにオンプレミスの AD 統合アプリケーションにアクセスできるようにすることができます。Azure AD can automatically create accounts in AD for guest users as needed, enabling business guests to access on-premises AD-integrated applications without needing another password. 組織はゲスト ユーザーの多要素認証 (MFA) ポリシーを設定できるので、MFA チェックはアプリケーション プロキシ認証中に行われます。Organizations can set up multi-factor authentication (MFA) policies for guest users so MFA checks are done during application proxy authentication. また、クラウド B2B ユーザーに対して行われたアクセスのレビューは、オンプレミス ユーザーにも適用されます。Also, any access reviews that are done on cloud B2B users apply to on-premises users. たとえば、ライフサイクル管理ポリシーを使用してクラウド ユーザーが削除された場合、オンプレミス ユーザーも削除されます。For example, if the cloud user is deleted through lifecycle management policies, the on-premises user is also deleted.

Active Directory アカウントの資格情報管理 Azure AD のセルフサービス パスワード リセットにより、パスワードを忘れたユーザーは再認証され、変更されたパスワードがオンプレミスの Active Directory に書き込まれますCredential management for Active Directory accounts Azure AD's self-service password reset allows users who have forgotten their passwords to be reauthenticated and reset their passwords, with the changed passwords written to on-premises Active Directory. パスワードのリセット プロセスは、オンプレミス Active Directory のパスワード ポリシーも使用できます。ユーザーが自分のパスワードをリセットするとき、パスワードがオンプレミスの Active Directory ポリシーに準拠していることを確認してから、そのディレクトリにコミットします。The password reset process can also use the on-premises Active Directory password policies: When a user resets their password, it's checked to ensure it meets the on-premises Active Directory policy before committing it to that directory. セルフサービス パスワード リセットのデプロイ計画では、Web および Windows 統合エクスペリエンスを介してセルフサービス パスワード リセットをユーザーにロールアウトするためのベスト プラクティスの概要を示します。The self-service password reset deployment plan outlines best practices to roll out self-service password reset to users via web and Windows-integrated experiences.

Azure AD SSPR のアーキテクチャ

最後に、ユーザーが AD で自分のパスワードを変更することを許可する組織の場合、Azure AD パスワード保護機能 (現在プレビュー段階) を使用して、組織が Azure AD で使用しているのと同じパスワード ポリシーを使用するように構成できます。Finally, for organizations that permit users to change their passwords in AD, AD can be configured to use the same password policy as the organization is using in Azure AD through the Azure AD password protection feature, currently in public preview.

組織が、アプリケーションをホストしているオペレーティング システムを Azure に移動して AD 統合アプリケーションをクラウドに移動する準備ができたら、Azure AD Domain Services によって AD 互換ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など) が提供されます。When an organization is ready to move an AD-integrated application to the cloud by moving the operating system hosting the application to Azure, Azure AD Domain Services provides AD-compatible domain services (such as domain join, group policy, LDAP, and Kerberos/NTLM authentication). Azure AD Domain Services は組織の既存の Azure AD テナントと統合されるので、ユーザーは企業の資格情報を使用してサインインできるようになります。Azure AD Domain Services integrates with the organization's existing Azure AD tenant, making it possible for users to sign in using their corporate credentials. さらに、既存のグループおよびユーザー アカウントを使用してリソースへのアクセスをセキュリティで保護することができます。このため、'リフト アンド シフト' 方式でオンプレミスのリソースを Azure インフラストラクチャ サービスに滑らかに移行することができます。Additionally, existing groups and user accounts can be used to secure access to resources, ensuring a smoother 'lift-and-shift' of on-premises resources to Azure infrastructure services.

Azure AD Domain Services

オンプレミスのフェデレーションベースのアプリケーションのクラウド ガバナンス管理Cloud governed management for on-premises federation-based applications

オンプレミスの ID プロバイダーを既に使用している組織の場合、アプリケーションを Azure AD に移動することで、フェデレーション管理のアクセスがより安全になり、管理エクスペリエンスが簡単になります。For an organization that already uses an on-premises identity provider, moving applications to Azure AD enables more secure access and an easier administrative experience for federation management. Azure AD では、Azure AD の条件付きアクセスを使用して、アプリケーションごとのきめ細かなアクセス制御 (Azure Multi-Factor Authentication を含む) を構成できます。Azure AD enables configuring granular per-application access controls, including Azure Multi-Factor Authentication, by using Azure AD Conditional Access. Azure AD は、アプリケーション固有のトークン署名証明書や構成可能な証明書の有効期限など、その他の機能をサポートしています。Azure AD supports more capabilities, including application-specific token signing certificates and configurable certificate expiration dates. 組織は、これらの機能、ツール、およびガイダンスを使用して、オンプレミスの ID プロバイダーを廃止することができます。These capabilities, tools, and guidance enable organizations to retire their on-premises identity providers. 一例を挙げると、Microsoft の IT 部門は、17,987 個のアプリケーションを Microsoft 社内の Active Directory フェデレーション サービス (AD FS) から Azure AD に移行しました。Microsoft's own IT, for one example, has moved 17,987 applications from Microsoft's internal Active Directory Federation Services (AD FS) to Azure AD.

Azure AD の進化

フェデレーション アプリケーションを ID プロバイダーとして Azure AD に移行する作業を始めるには、以下のリンクが含まれる https://aka.ms/migrateapps を参照してください。To begin migrating federated applications to Azure AD as the identity provider, refer to https://aka.ms/migrateapps that includes links to:

クラウドとオンプレミスのアプリケーション全体の継続的なアクセス管理Ongoing access management across cloud and on-premises applications

組織には、スケーラブルなアクセス管理プロセスが必要です。Organizations need a process to manage access that is scalable. ユーザーがアクセス権を蓄積し続けると、最終的には始めにプロビジョニングされたものを超えます。Users continue to accumulate access rights and end up with beyond what was initially provisioned for them. さらに、企業組織では、アクセス ポリシーと管理を継続的に開発し適用するように、効率的なスケールが可能でなければなりません。Furthermore, enterprise organizations need to be able to scale efficiently to develop and enforce access policy and controls on an ongoing basis.

通常、IT 部門は、アクセス承認の決定を管理職意思決定者に委任します。Typically, IT delegates access approval decisions to business decision makers. さらに、ユーザー自身が IT 部門に関与していることがあります。Furthermore, IT can involve the users themselves. たとえば、ヨーロッパで会社のマーケティング アプリケーションで顧客の機密データにアクセスするユーザーは、会社のポリシーを把握している必要があります。For example, users that access confidential customer data in a company's marketing application in Europe need to know the company's policies. また、ゲスト ユーザーは、招待されている組織のデータの処理要件を理解していない可能性もあります。Guest users also may be unaware of the handling requirements for data in an organization to which they've been invited.

組織では、動的グループなどのテクノロジを SaaS アプリケーションや、System for Cross-Domain Identity Management (SCIM) 標準を使用して統合されたアプリケーションへのユーザー プロビジョニングと組み合わせて使用して、アクセスのライフサイクル プロセスを自動化することができます。Organizations can automate the access lifecycle process through technologies such as dynamic groups, coupled with user provisioning to SaaS applications, or applications integrated using the System for Cross-Domain Identity Management (SCIM) standard. また、組織では、オンプレミス アプリケーションへのアクセス権を持つゲスト ユーザーを制御することもできます。Organizations also can control which guest users have access to on-premises applications. それにより、Azure AD アクセス レビューを定期的に利用して、これらのアクセス権を定期的にレビューすることができます。These access rights can then be regularly reviewed using recurring Azure AD access reviews.

今後の方向性Future directions

ハイブリッド環境における Microsoft の戦略は、クラウドが ID の制御プレーンであり Active Directory や他のオンプレミス アプリケーションなどのオンプレミス ディレクトリや他の ID システムが、ユーザーにアクセス権をプロビジョニングするためのターゲットであるデプロイに対応することです。In hybrid environments, Microsoft's strategy is to enable deployments where the cloud is the control plane for identity, and on-premises directories and other identity systems, such as Active Directory and other on-premises applications, are the target for provisioning users with access. この戦略は、こうしたアプリケーションとそれらに依存するワークロードの権限、ID、およびアクセスを確保するために今後も継続されます。This strategy will continue to ensure the rights, identities, and access in those applications and workloads that rely upon them. この最終段階では、組織はクラウドからエンドユーザーの生産性を全体的に向上できるようになります。At this end state, organizations will be able to drive end-user productivity entirely from the cloud.

Azure AD のアーキテクチャ

次の手順Next steps

この体験の始め方の詳細については、https://aka.ms/deploymentplans にある Azure AD のデプロイ計画を参照してください。For more information on how to get started on this journey, see the Azure AD deployment plans, located at https://aka.ms/deploymentplans . Azure Active Directory (Azure AD) の機能をデプロイする方法についてのエンド ツー エンドのガイダンスが紹介されています。They provide end-to-end guidance about how to deploy Azure Active Directory (Azure AD) capabilities. 各計画では、Azure AD の一般的な機能について、そのビジネス上の価値や、正しく展開するうえで必要な計画の考慮事項、設計、運用手順が説明されています。Each plan explains the business value, planning considerations, design, and operational procedures needed to successfully roll out common Azure AD capabilities. Microsoft は、Azure AD を使用したクラウドからの管理に新機能を追加する際は、お客様のデプロイやその他のフィードバックから学んだベスト プラクティスを取り入れてデプロイ計画を継続的に更新します。Microsoft continually updates the deployment plans with best practices learned from customer deployments and other feedback when we add new capabilities to managing from the cloud with Azure AD.