オンプレミスの AD ドメインと Azure AD を統合する

Azure Active Directory
Virtual Network
Virtual Machines

Azure Active Directory (Azure AD) は、クラウドベースでマルチテナントのディレクトリおよび ID サービスです。Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. この参照アーキテクチャでは、オンプレミスの Active Directory ドメインと Azure AD を統合してクラウド ベースの ID 認証を提供する場合のベスト プラクティスを示します。This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication.

Azure Active Directory を使用するクラウド ID アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。Download a Visio file of this architecture.

注意

わかりやすくするため、この図では Azure AD に直接関係する接続のみを示してあり、認証および ID フェデレーションの一部として発生する可能性があるプロトコル関連のトラフィックは示されていません。For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. たとえば、Web アプリケーションは Azure AD を介して要求を認証するため Web ブラウザーをリダイレクトする可能性があります。For example, a web application may redirect the web browser to authenticate the request through Azure AD. 認証が済むと、適切な ID 情報と共に要求を Web アプリケーションに戻すことができます。Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

この参照アーキテクチャの一般的な用途は次のとおりです。Typical uses for this reference architecture include:

  • 組織に属しているリモート ユーザーにアクセスを提供する、Azure にデプロイされた Web アプリケーション。Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • パスワードのリセットやグループ管理の委任など、エンド ユーザー向けのセルフ サービス機能の実装。Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. これには Azure AD Premium Edition が必要です。This requires Azure AD Premium edition.
  • オンプレミスのネットワークとアプリケーションの Azure VNet が VPN トンネルまたは ExpressRoute 回線を使って接続されていないアーキテクチャ。Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

注意

Azure AD では、組織のディレクトリに存在するユーザーおよびアプリケーションの ID を認証できます。Azure AD can authenticate the identity of users and applications that exist in an organization's directory. SQL Server などの一部のアプリケーションとサービスではコンピューターの認証が必要になることがあり、そのような場合にこのソリューションは適していません。Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

その他の考慮事項については、「オンプレミスの Active Directory を Azure と統合するためのソリューションの選択」をご覧ください。For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

アーキテクチャArchitecture

このアーキテクチャには次のコンポーネントがあります。The architecture has the following components.

  • Azure AD テナントAzure AD tenant. 組織によって作成された Azure AD のインスタンス。An instance of Azure AD created by your organization. オンプレミスの Active Directory からコピーされたオブジェクトを格納することによってクラウド アプリケーションのディレクトリ サービスとして動作し、ID サービスを提供します。It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Web 層サブネットWeb tier subnet. このサブネットは、Web アプリケーションを実行する VM を保持します。This subnet holds VMs that run a web application. Azure AD は、このアプリケーションに対する ID ブローカーとして機能できます。Azure AD can act as an identity broker for this application.

  • オンプレミスの AD DS サーバーOn-premises AD DS server. オンプレミスのディレクトリおよび ID サービスです。An on-premises directory and identity service. AD DS ディレクトリは、Azure AD がオンプレミスのユーザーを認証できるように同期することができます。The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Azure AD Connect 同期サーバーAzure AD Connect sync server. Azure AD Connect 同期サービスを実行するオンプレミスのコンピューターです。An on-premises computer that runs the Azure AD Connect sync service. このサービスは、オンプレミスの Active Directory に保持されている情報を Azure AD に同期します。This service synchronizes information held in the on-premises Active Directory to Azure AD. たとえば、オンプレミスのグループとユーザーをプロビジョニングまたはプロビジョニング解除すると、その変更が Azure AD に反映されます。For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    注意

    セキュリティ上の理由により、Azure AD はユーザーのパスワードをハッシュとして格納します。For security reasons, Azure AD stores user's passwords as a hash. ユーザーがパスワードをリセットする必要がある場合、オンプレミスでリセットを実行して、新しいハッシュを Azure AD に送信する必要があります。If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Azure AD Premium Edition には、このタスクを自動化してユーザーが自分のパスワードをリセットできるようにする機能が含まれます。Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • N 層アプリケーション用の VMVMs for N-tier application. これらのリソースについて詳しくは、「n 層アプリケーションの Windows VM を実行する」をご覧ください。For more information about these resources, see Run VMs for an N-tier architecture.

推奨事項Recommendations

ほとんどのシナリオには、次の推奨事項が適用されます。The following recommendations apply for most scenarios. これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。Follow these recommendations unless you have a specific requirement that overrides them.

Azure AD Connect 同期サービスAzure AD Connect sync service

Azure AD Connect 同期サービスは、クラウドに格納されている ID 情報とオンプレミスに保持されている情報の整合性を保証します。The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. このサービスは Azure AD Connect ソフトウェアを使ってインストールします。You install this service using the Azure AD Connect software.

Azure AD Connect 同期を実装する前に、組織の同期要件を決定します。Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. たとえば、同期するもの、同期元のドメイン、同期の頻度などです。For example, what to synchronize, from which domains, and how frequently. 詳しくは、「ディレクトリ同期要件の決定」をご覧ください。For more information, see Determine directory synchronization requirements.

Azure AD Connect 同期サービスは、オンプレミスでホストされている VM またはコンピューターで実行できます。You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. Active Directory ディレクトリ内の情報の変動の度合いによっては、Azure AD Connect 同期サービスの負荷が、Azure AD と初期同期された後はそれほど高くならない可能性があります。Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. VM でサービスを実行すると、必要に応じて簡単にサーバーを拡張できます。Running the service on a VM makes it easier to scale the server if needed. 監視に関する考慮事項のセクションで説明されているように VM でのアクティビティを監視し、拡張が必要かどうかを判断します。Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

フォレストに複数のオンプレミス ドメインがある場合は、フォレスト全体の情報を格納して 1 つの Azure AD テナントに同期することをお勧めします。If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. 複数のドメインで発生する ID の情報をフィルター処理し、各 ID が Azure AD に 1 回だけ出現し、重複しないようにします。Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. 重複していると、データを同期するときに不整合が生じる可能性があります。Duplication can lead to inconsistencies when data is synchronized. 詳しくは、後のトポロジに関するセクションをご覧ください。For more information, see the Topology section below.

必要なデータだけが Azure AD に格納されるように、フィルター機能を使います。Use filtering so that only necessary data is stored in Azure AD. たとえば、組織によっては、Azure AD の非アクティブなアカウントに関する情報を格納したくない場合があります。For example, your organization might not want to store information about inactive accounts in Azure AD. フィルター処理は、グループ、ドメイン、組織単位 (OU)、または属性に基づいて行うことができます。Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. フィルターを組み合わせて、複雑なルールを生成できます。You can combine filters to generate more complex rules. たとえば、ドメインに保持されているオブジェクトのうち、選んだ属性が特定の値のものだけを同期できます。For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. 詳しくは、「Azure AD Connect Sync:フィルター処理の構成」を参照してください。For detailed information, see Azure AD Connect sync: Configure Filtering.

AD Connect 同期サービスに高可用性を実装するには、セカンダリ ステージング サーバーを実行します。To implement high availability for the AD Connect sync service, run a secondary staging server. 詳しくは、トポロジの推奨事項に関するセクションをご覧ください。For more information, see the Topology recommendations section.

セキュリティに関する推奨事項Security recommendations

ユーザー パスワードの管理User password management. Azure AD Premium Edition ではパスワードの書き戻しがサポートされており、オンプレミスのユーザーは Azure Portal 内からセルフサービス パスワード リセットを実行できます。The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. この機能は、組織のパスワード セキュリティ ポリシーを確認した後でのみ有効にする必要があります。This feature should be enabled only after reviewing your organization's password security policy. たとえば、自分のパスワードを変更できるユーザーを制限したり、パスワード管理エクスペリエンスを調整したりすることができます。For example, you can restrict which users can change their passwords, and you can tailor the password management experience. 詳しくは、組織ニーズに合わせたパスワード管理のカスタマイズに関するページをご覧ください。For more information, see Customizing Password Management to fit your organization's needs.

外部からアクセスできるオンプレミスのアプリケーションを保護します。Protect on-premises applications that can be accessed externally. Azure AD アプリケーション プロキシを使って、オンプレミスの Web アプリケーションに対する、外部ユーザーによる Azure AD を介したアクセスを制御します。Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Azure ディレクトリに有効な資格情報を持つユーザーにだけ、アプリケーションを使うアクセス許可が与えられます。Only users that have valid credentials in your Azure directory have permission to use the application. 詳しくは、Azure portal でアプリケーション プロキシを有効にする方法に関するページをご覧ください。For more information, see the article Enable Application Proxy in the Azure portal.

Azure AD で不審なアクティビティの兆候を積極的に監視します。Actively monitor Azure AD for signs of suspicious activity. Azure AD Identity Protection が含まれる Azure AD Premium P2 Edition の使用を検討します。Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Identity Protection はアダプティブ Machine Learning アルゴリズムとヒューリスティックを使用して、ID が侵害されていることを示している可能性のある異常とリスク イベントを検出します。Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. たとえば、不規則なサインイン アクティビティ、不明なソースまたは疑わしいアクティビティが発生している IP アドレスからのサインイン、感染しているおそれがあるデバイスからのサインインなど、異常なアクティビティの可能性を検出できます。For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. このデータを使って、Identity Protection はレポートとアラートを生成し、ユーザーがこれらのリスク イベントを調査して、適切なアクションを実行できるようにします。Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. 詳細については、「Azure Active Directory Identity Protection」をご覧ください。For more information, see Azure Active Directory Identity Protection.

Azure Portal で Azure AD のレポート機能を使って、システムで発生しているセキュリティ関連のアクティビティを監視できます。You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. レポートの使い方について詳しくは、「Azure Active Directory レポートの概要」をご覧ください。For more information about using these reports, see Azure Active Directory Reporting Guide.

トポロジに関する推奨事項Topology recommendations

組織の要件に最も近いトポロジを実装するように Azure AD Connect を構成します。Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. Azure AD Connect は次のようなトポロジをサポートしています。Topologies that Azure AD Connect supports include:

  • 単一のフォレスト、単一の Azure AD ディレクトリSingle forest, single Azure AD directory. このトポロジでは、Azure AD Connect が、オンプレミスの単一のフォレストに含まれる 1 つ以上のドメインから、単一の Azure AD テナントに、オブジェクトと ID 情報を同期します。In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. これは、Azure AD Connect の高速インストールによって実装される既定のトポロジです。This is the default topology implemented by the express installation of Azure AD Connect.

    注意

    後で説明するステージング モードでサーバーを実行している場合を除き、複数の Azure AD Connect 同期サーバーを使って、オンプレミスの同じフォレストに含まれる異なるドメインを、同じ Azure AD テナントに接続しないでください。Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • 複数のフォレスト、単一の Azure AD ディレクトリMultiple forests, single Azure AD directory. このトポロジの Azure AD Connect は、複数のフォレストから、単一の Azure AD テナントに、オブジェクトと ID 情報を同期します。In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. 組織にオンプレミスのフォレストが複数ある場合は、このトポロジを使います。Use this topology if your organization has more than one on-premises forest. 同じユーザーが複数のフォレストに存在する場合でも、個々のユーザーが Azure AD ディレクトリにおいて 1 回だけ表されるように、ID 情報を統合することができます。You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. すべてのフォレストは、同じ Azure AD Connect 同期サーバーを使います。All forests use the same Azure AD Connect sync server. Azure AD Connect 同期サーバーは、ドメインの一部になっていなくてもかまいませんが、すべてのフォレストから到達可能である必要があります。The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    注意

    このトポロジでは、単一の Azure AD テナントに接続するために、オンプレミスのフォレストごとに異なる Azure AD Connect 同期サーバーを使わないでください。In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. このようにすると、同じユーザーが複数のフォレストに存在する場合、Azure AD に重複する ID 情報が作成されてしまいます。This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • 複数のフォレスト、分離トポロジMultiple forests, separate topologies. このトポロジは、異なるフォレストからの ID 情報を単一の Azure AD テナントにマージし、すべてのフォレストを個別のエンティティとして処理します。This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. このトポロジは、異なる複数の組織からフォレストを結合していて、各ユーザーの ID 情報が 1 つのフォレストにのみ保持されている場合に便利です。This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    注意

    各フォレストのグローバル アドレス一覧 (GAL) が同期されている場合、あるフォレストのユーザーが別のフォレストに連絡先として存在する可能性があります。If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. このようなことは、組織が GALSync を Forefront Identity Manager 2010 または Microsoft Identity Manager 2016 で実装している場合に、発生する可能性があります。This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. このシナリオでは、ユーザーが "メール" 属性によって識別されるように指定できます。In this scenario, you can specify that users should be identified by their Mail attribute. また、ObjectSID および msExchMasterAccountSID 属性を使って ID を照合することもできます。You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. これは、アカウントが無効になったリソース フォレストが存在する場合に便利です。This is useful if you have one or more resource forests with disabled accounts.

  • ステージング サーバーStaging server. この構成では、Azure AD Connect 同期サーバーの第 2 のインスタンスを、第 1 のインスタンスと並行して実行します。In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. この構造は、次のようなシナリオをサポートします。This structure supports scenarios such as:

    • 高可用性:High availability.

    • Azure AD Connect 同期サーバーの新しい構成のテストとデプロイ。Testing and deploying a new configuration of the Azure AD Connect sync server.

    • 新しいサーバーの導入と前の構成の使用停止。Introducing a new server and decommissioning an old configuration.

      これらのシナリオでは、第 2 のインスタンスは "ステージング モード" で実行します。In these scenarios, the second instance runs in staging mode. サーバーは、インポートされたオブジェクトと同期データをデータベースに記録しますが、Azure AD にはデータを渡しません。The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. ステージング モードを無効にすると、サーバーは Azure AD へのデータの書き込みを開始し、必要に応じてオンプレミスのディレクトリへのパスワードの書き戻しを実行し始めます。If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. 詳しくは、「Azure AD Connect Sync:操作タスクおよび考慮事項」をご覧ください。For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • 複数の Azure AD ディレクトリMultiple Azure AD directories. 組織に対して 1 つの Azure AD ディレクトリを作成することをお勧めしますが、状況によっては、情報を異なる複数の Azure AD ディレクトリに分割することが必要になる場合があります。It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. そのような場合は、同期とパスワードの書き戻しの問題を防ぐため、オンプレミスのフォレストの各オブジェクトが、ただ 1 つの Azure AD ディレクトリだけに含まれるようにします。In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. このシナリオを実装するには、Azure AD ディレクトリごとに個別の Azure AD Connect 同期サーバーを構成し、フィルターを使って、各 Azure AD Connect 同期サーバーが、相互に排他的なオブジェクトのセットを処理するようにします。To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

これらのトポロジについて詳しくは、「Azure AD Connect のトポロジ」をご覧ください。For more information about these topologies, see Topologies for Azure AD Connect.

ユーザー認証User authentication

既定では、Azure AD Connect 同期サーバーはオンプレミスのドメインと Azure AD の間にパスワード ハッシュ同期を構成し、Azure AD サービスは、ユーザーがオンプレミスで使っているものと同じパスワードで認証を行うものと想定されています。By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. 多くの組織にはこの方法が適していますが、組織の既存のポリシーとインフラストラクチャを考慮する必要があります。For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. 次に例を示します。For example:

  • 組織のセキュリティ ポリシーで、クラウドへのパスワード ハッシュの同期が禁止されている可能性があります。The security policy of your organization may prohibit synchronizing password hashes to the cloud. この場合は、お客様の組織がパススルー認証を検討する必要があります。In this case, your organization should consider pass-through authentication.
  • ユーザーが、企業ネットワーク上のドメイン参加マシンからクラウドのリソースに、シームレスなシングル サインオン (SSO) でアクセスできるようにすることが必要な場合があります。You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • 組織によっては、Active Directory フェデレーション サービス (AD FS) またはサード パーティのフェデレーション プロバイダーが既にデプロイされている場合があります。Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. クラウドに保持されているパスワード情報ではなく、このインフラストラクチャを使って認証と SSO を実装するように、Azure AD を構成できます。You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

詳細については、「Azure AD Connect ユーザーのサインイン オプション」を参照してください。For more information, see Azure AD Connect User Sign-on options.

Azure AD アプリケーション プロキシAzure AD application proxy

Azure AD を使って、オンプレミスのアプリケーションにアクセスできるようにします。Use Azure AD to provide access to on-premises applications.

Azure AD アプリケーション プロキシ コンポーネントによって管理されるアプリケーション プロキシ コネクタを使って、オンプレミスの Web アプリケーションを公開します。Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. アプリケーション プロキシ コネクタは Azure AD アプリケーション プロキシへの送信ネットワーク接続を開き、リモート ユーザーの要求は、この接続を介して Azure AD から Web アプリに戻るようにルーティングされます。The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. これにより、オンプレミスのファイアウォールで受信ポートを開く必要がなくなり、組織が攻撃にさらされている範囲が削減されます。This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

詳しくは、「Azure AD アプリケーション プロキシを使用してアプリケーションを発行する」をご覧ください。For more information, see Publish applications using Azure AD Application proxy.

オブジェクトの同期Object synchronization

Azure AD Connect の既定の構成では、次の記事で指定されているルールに基づいてローカル Active Directory ディレクトリからオブジェクトが同期されます: 「Azure AD Connect 同期: 既定の構成について」というドキュメントの同期規則エディターに関するセクションをご覧ください。The default configuration for Azure AD Connect synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. これらの規則を満たすオブジェクトは同期され、他のすべてのオブジェクトは無視されます。Objects that satisfy these rules are synchronized while all other objects are ignored. 規則の例を次に示します。Some example rules:

  • ユーザー オブジェクトは、一意の sourceAnchor 属性を持ち、accountEnabled 属性が設定されている必要がある。User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • ユーザー オブジェクトは、sAMAccountName 属性を持つ必要があり、テキスト Azure AD_ または MSOL_ で始まっていてはならない。User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Azure AD Connect は、User、Contact、Group、ForeignSecurityPrincipal、Computer の各オブジェクトに、複数の規則を適用します。Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. 既定の規則セットを変更する必要がある場合は、Azure AD Connect でインストールされる同期規則エディターを使います。Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. 詳しくは、「Azure AD Connect Sync:既定の構成について」をご覧ください。For more information, see Azure AD Connect sync: Understanding the default configuration).

また、独自のフィルターを定義し、同期されるオブジェクトをドメインまたは OU の値で制限することができます。You can also define your own filters to limit the objects to be synchronized by domain or OU. または、「Azure AD Connect Sync:フィルター処理の構成」を参照してください。Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

監視Monitoring

正常性の監視は、オンプレミスにインストールされる次のエージェントによって実行されます。Health monitoring is performed by the following agents installed on-premises:

  • Azure AD Connect は、同期操作に関する情報をキャプチャするエージェントをインストールします。Azure AD Connect installs an agent that captures information about synchronization operations. 正常性とパフォーマンスを監視するには、Azure Portal の [Azure AD Connect Health] ブレードを使います。Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. 詳しくは、「Azure AD Connect Health for Sync の使用」をご覧ください。For more information, see Using Azure AD Connect Health for sync.
  • AD DS ドメインとディレクトリの正常性を Azure から監視するには、オンプレミスのドメイン内のマシンに Azure AD Connect Health for AD DS エージェントをインストールします。To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. 正常性の監視には、Azure Portal の [Azure Active Directory Connect Health] ブレードを使います。Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. 詳しくは、「AD DS での Azure AD Connect Health の使用」をご覧くださいFor more information, see Using Azure AD Connect Health with AD DS
  • オンプレミスで実行しているサービスの正常性を監視するには Azure AD Connect Health for AD FS エージェントをインストールし、AD FS を監視するには Azure Portal の [Azure Active Directory Connect Health] ブレードを使います。Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. 詳しくは、「AD FS での Azure AD Connect Health の使用」をご覧くださいFor more information, see Using Azure AD Connect Health with AD FS

AD Connect Health エージェントのインストールとその要件について詳しくは、「Azure AD Connect Health エージェントのインストール」をご覧ください。For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

スケーラビリティに関する考慮事項Scalability considerations

Azure AD サービスはレプリカに基づく拡張性をサポートし、書き込み操作を処理する 1 つのプライマリ レプリカと、複数の読み取り専用セカンダリ レプリカを使います。The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Azure AD は、セカンダリ レプリカに対して試みられた書き込みをプライマリ レプリカに透過的にリダイレクトして、最終的な整合性を提供します。Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. プライマリ レプリカに加えられたすべての変更は、セカンダリ レプリカに伝達されます。All changes made to the primary replica are propagated to the secondary replicas. Azure AD に対するほとんどの操作は書き込みではなく読み取りなので、このアーキテクチャは優れた拡張性を備えています。This architecture scales well because most operations against Azure AD are reads rather than writes. 詳しくは、Azure AD:地理冗長で高可用性の分散クラウド ディレクトリの内部に関するページをご覧ください。For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Azure AD Connect 同期サーバーの場合、ローカル ディレクトリから同期すると予想されるオブジェクトの数を決定します。For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. オブジェクトが 100,000 未満の場合は、Azure AD Connect に付属する既定の SQL Server Express LocalDB ソフトウェアを使うことができます。If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. オブジェクトの数がそれより多い場合は、運用バージョンの SQL Server をインストールし、Azure AD Connect のカスタム インストールを実行して、SQL Server の既存のインスタンスを使う必要があることを指定します。If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

可用性に関する考慮事項Availability considerations

Azure AD サービスは、地理的に分散されており、自動フェールオーバーを利用して、世界中に点在する複数のデータ センターで実行されます。The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. データセンターが利用できなくなった場合、Azure AD は少なくとも 2 つの他のリージョンにあるデータセンターでディレクトリ データのインスタンスにアクセスできることを保証します。If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

注意

Microsoft 365 アプリの AD のサービス レベルおよび Premium サービスのサービス レベル アグリーメント (SLA) では、99.9% 以上の可用性が保証されます。The service level agreement (SLA) for the Microsoft 365 Apps AD tier and Premium services guarantees at least 99.9% availability. Azure AD の Free レベルには SLA はありません。There is no SLA for the Free tier of Azure AD. 詳しくは、「Azure Active Directory の SLA」をご覧ください。For more information, see SLA for Azure Active Directory.

トポロジの推奨事項のセクションで説明したように、可用性を高めるには、ステージング モードで Azure AD Connect 同期サーバーの第 2 のインスタンスをプロビジョニングすることを検討してください。Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Azure AD Connect に付属する SQL Server Express LocalDB のインスタンスを使っていない場合は、SQL のクラスタリングを使って高可用性を実現することを検討します。If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. ミラーリングや Always On などのソリューションは、Azure AD Connect ではサポートされていません。Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Azure AD Connect 同期サーバーの高可用性の実現に関するその他の考慮事項と、障害発生後の復旧方法については、「Azure AD Connect Sync:操作タスクおよび考慮事項 - ディザスター リカバリー」をご覧ください。For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

管理容易性に関する考慮事項Manageability considerations

Azure AD の管理には次の 2 つの側面があります。There are two aspects to managing Azure AD:

  • クラウドでの Azure AD の管理。Administering Azure AD in the cloud.
  • Azure AD Connect 同期サーバーの管理。Maintaining the Azure AD Connect sync servers.

Azure AD では、クラウド内のドメインとディレクトリの管理に関して、次のオプションが用意されています。Azure AD provides the following options for managing domains and directories in the cloud:

  • Azure Active Directory PowerShell モジュールAzure Active Directory PowerShell Module. ユーザー管理、ドメイン管理、シングル サインオンの構成など、Azure AD でよく行われる管理タスクのスクリプトを作成する必要がある場合は、このモジュールを使います。Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Azure Portal の Azure AD 管理ブレードAzure AD management blade in the Azure portal. このブレードでは、ディレクトリの対話形式の管理ビューが提供されており、Azure AD のほとんどの側面を制御および構成することができます。This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Azure AD Connect では、オンプレミスのコンピューターから Azure AD Connect 同期サービスを維持するための、次のツールがインストールされます。Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Microsoft Azure Active Directory Connect コンソールMicrosoft Azure Active Directory Connect console. このツールを使うと、Azure AD Sync サーバーの構成の変更、同期方法のカスタマイズ、ステージング モードの有効化または無効化、ユーザーのサインイン モードの切り替えを行うことができます。This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. オンプレミスのインフラストラクチャを使って Active Directory FS サインインを有効にすることができます。You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service ManagerSynchronization Service Manager. 同期プロセスを管理し、プロセスのどこかが失敗したかどうかを検出するには、このツールの [Operations](操作) タブを使います。Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. このツールを使うと、同期を手動でトリガーできます。You can trigger synchronizations manually using this tool. [Connectors](コネクタ) タブでは、同期エンジンがアタッチされているドメインに対する接続を制御することができます。The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • 同期規則エディターSynchronization Rules Editor. このツールは、オンプレミスのディレクトリと Azure AD の間でオブジェクトがコピーされるときのオブジェクトの変換方法をカスタマイズするために使います。Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. このツールを使うと、同期の追加属性とオブジェクトを指定した後、フィルターを実行して、同期の必要なオブジェクトと不要なオブジェクトを決定できます。This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. 詳しくは、「Azure AD Connect Sync:既定の構成について」というドキュメントの同期規則エディターに関するセクションをご覧ください。For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Azure AD Connect の管理に関する詳細とヒントについては、「Azure AD Connect Sync:既定の構成を変更するためのベスト プラクティス」をご覧ください。For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

セキュリティに関する考慮事項Security considerations

予期しないソースからの認証要求を拒否するには、条件付きアクセス制御を使います。Use conditional access control to deny authentication requests from unexpected sources:

  • 信頼されたネットワークではなくインターネット経由などのように、ユーザーが信頼できない場所から接続しようとしている場合は、Azure Active Directory Multi-Factor Authentication (MFA) をトリガーします。Trigger Azure Active Directory Multi-Factor Authentication (MFA) if a user attempts to connect from a untrusted location such as across the Internet instead of a trusted network.

  • ユーザーのデバイス プラットフォームの種類 (iOS、Android、Windows Mobile、Windows) を使って、アプリケーションや機能へのアクセス ポリシーを決定します。Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • ユーザーのデバイスの有効/無効状態を記録し、この情報をアクセス ポリシーのチェックに組み込みます。Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. たとえば、ユーザーが電話をなくしたり盗まれたりした場合は、その電話を無効と記録し、アクセスに使われないようにする必要があります。For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • グループ メンバーシップに基づいて、リソースへのユーザーのアクセスを制御します。Control user access to resources based on group membership. グループの管理を簡素化するには、Azure AD 動的メンバーシップ ルールを使います。Use Azure AD dynamic membership rules to simplify group administration. この機能の簡単な概要については、「グループの動的メンバーシップの概要」をご覧ください。For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • 疑わしいサインイン アクティビティや他のイベントに基づいて高度な保護を提供するには、Azure AD Identity Protection の条件付きアクセス リスク ポリシーを使います。Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

詳しくは、「Azure Active Directory の条件付きアクセス」をご覧ください。For more information, see Azure Active Directory conditional access.

DevOps の考慮事項DevOps considerations

DevOps の考慮事項については、DevOps:Active Directory Domain Services (AD DS) を Azure に拡張する方法に関する記事をご覧ください。For DevOps considerations, see DevOps: Extending Active Directory Domain Services (AD DS) to Azure.

コストに関する考慮事項Cost considerations

コストの見積もりには、Azure 料金計算ツールをご利用ください。Use the Azure pricing calculator to estimate costs. その他の考慮事項については、Microsoft Azure Well-Architected Framework のコストに関するセクションに説明されています。Other considerations are described in the Cost section in Microsoft Azure Well-Architected Framework.

ここでは、このアーキテクチャで使用されるサービスのコストに関する考慮事項を示します。Here are cost considerations for the services used in this architecture.

Azure AD ConnectAzure AD Connect

Azure Active Directory が提供するエディションのについては、Azure AD の価格に関するページをご覧ください。For information about the editions offered by Azure Active Directory, see Azure AD pricing. AD Connect の同期機能は、すべてのエディションで使用できます。The AD Connect sync feature is available in all editions.

N 層アプリケーション用の VMVMs for N-Tier application

これらのリソースのコスト情報については、N 層アーキテクチャ用の VM の実行に関するページをご覧ください。For cost information about these resources, Run VMs for an N-tier architecture.