ID 決定ガイドIdentity decision guide

オンプレミス環境、ハイブリッド環境、クラウドのみの環境など、どのような環境であっても、IT 部門はリソースへのアクセス権を持つ管理者、ユーザー、およびグループを制御する必要があります。In any environment, whether on-premises, hybrid, or cloud-only, IT needs to control which administrators, users, and groups have access to resources. ID 管理とアクセス管理 (IAM) サービスを使用すると、クラウドでアクセス制御を管理できます。Identity and access management (IAM) services enable you to manage access control in the cloud.

ID オプションを単純なものから複雑なものへと順番に配置し、その下にジャンプ先へのリンクを示します

ジャンプ先:ID 統合の要件の決定 | クラウド ベースライン | ディレクトリ同期 | クラウドでホストされるドメイン サービス | Active Directory フェデレーション サービス | 詳細情報Jump to: Determine identity integration requirements | Cloud baseline | Directory synchronization | Cloud-hosted domain services | Active Directory Federation Services | Learn more

クラウド環境で ID を管理するためのオプションがいくつかあります。Several options are available for managing identity in a cloud environment. これらのオプションは、コストと複雑さによって異なります。These options vary in cost and complexity. クラウド ベースの ID サービスを構築する際の重要な要素は、既存のオンプレミス ID インフラストラクチャで必要とされる統合のレベルです。A key factor in structuring your cloud-based identity services is the level of integration required with your existing on-premises identity infrastructure.

Azure Active Directory (Azure AD) は Azure リソースを対象にした基本レベルのアクセス制御と ID 管理を提供します。Azure Active Directory (Azure AD) provides a base level of access control and identity management for Azure resources. 組織のオンプレミスの Active Directory インフラストラクチャに複雑なフォレスト構造やカスタマイズされた組織単位 (OU) があると、クラウドベースのワークロードでは、オンプレミス環境とクラウド環境の間で一貫性のある ID、グループ、およびロールを保持するために、Azure AD とのディレクトリ同期が必要となる場合があります。If your organization's on-premises Active Directory infrastructure has a complex forest structure or customized organizational units (OUs), your cloud-based workloads might require directory synchronization with Azure AD for a consistent set of identities, groups, and roles between your on-premises and cloud environments. さらに、レガシ認証メカニズムに依存しているアプリケーションをサポートするために、クラウドへの Active Directory Domain Services (AD DS) のデプロイが必要になる場合もあります。Additionally, support for applications that depend on legacy authentication mechanisms might require the deployment of Active Directory Domain Services (AD DS) in the cloud.

クラウドベースの ID 管理は反復的なプロセスです。Cloud-based identity management is an iterative process. 最初のデプロイは、クラウドネイティブ ソリューションを使用して、ユーザーと対応するロールの少数のセットで開始できます。You could start with a cloud-native solution with a small set of users and corresponding roles for an initial deployment. 移行が進むにつれて、ディレクトリ同期を使用した ID ソリューションの統合や、クラウドへのデプロイの一部としてのドメイン サービスの追加が必要になる場合があります。As your migration matures, you might need to integrate your identity solution using directory synchronization or add domains services as part of your cloud deployments. 移行プロセスを繰り返すたびに、ID 戦略を見直してください。Revisit your identity strategy in every iteration of your migration process.

ID 統合の要件の決定Determine identity integration requirements

QuestionQuestion クラウド ベースラインCloud baseline ディレクトリ同期Directory synchronization クラウドでホストされたドメイン サービスCloud-hosted domain services Active Directory フェデレーション サービス (AD FS)Active Directory Federation Services
現在、オンプレミス ディレクトリ サービスがないDo you currently lack an on-premises directory service? はいYes いいえNo いいえNo いいえNo
ワークロードがクラウド環境とオンプレミス環境の間で共通のユーザーおよびグループのセットを使用する必要があるDo your workloads need to use a common set of users and groups between the cloud and on-premises environment? いいえNo はいYes いいえNo いいえNo
ワークロードがレガシ認証メカニズム (Kerberos や NTLM など) に依存しているDo your workloads depend on legacy authentication mechanisms, such as Kerberos or NTLM? いいえNo いいえNo はいYes はいYes
複数の ID プロバイダーにわたってシングル サインオンが必要であるDo you require single sign-on across multiple identity providers? いいえNo いいえNo いいえNo はいYes

Azure への移行を計画する際には、既存の ID 管理とクラウド ID サービスを最適に統合する方法を決定する必要があります。As part of planning your migration to Azure, you will need to determine how best to integrate your existing identity management and cloud identity services. 一般的な統合シナリオを以下に示します。The following are common integration scenarios.

クラウド ベースラインCloud baseline

Azure AD は、ユーザーとグループに Azure プラットフォーム上の管理機能へのアクセス許可を付与するための、ネイティブの ID とアクセス管理 (IAM) システムです。Azure AD is the native identity and access management (IAM) system for granting users and groups access to management features on the Azure platform. 有効なオンプレミス ID ソリューションを持たず、クラウドベースの認証メカニズムとの互換性を持たせるためにワークロードの移行を計画する組織は、Azure AD を基盤として使用しながら自身の ID インフラストラクチャの構築を開始する必要があります。If your organization lacks a significant on-premises identity solution, and you plan to migrate workloads to be compatible with cloud-based authentication mechanisms, you should begin developing your identity infrastructure using Azure AD as a base.

クラウドでのベースラインの前提条件: 完全にクラウドネイティブな ID インフラストラクチャを使用するには、次の事項が前提となります。Cloud baseline assumptions: Using a purely cloud-native identity infrastructure assumes the following:

  • クラウドベースのリソースは、オンプレミス ディレクトリ サービスや Active Directory サーバーに従属しないこと。または、そのような従属性を取り除くためにワークロードを変更できること。Your cloud-based resources will not have dependencies on on-premises directory services or Active Directory servers, or workloads can be modified to remove those dependencies.
  • 移行するアプリケーションまたはサービスのワークロードが Azure AD と互換性のある認証メカニズムをサポートしていること。または、そのようなメカニズムをサポートするために容易に変更可能であること。The application or service workloads being migrated either support authentication mechanisms compatible with Azure AD or can be modified easily to support them. Azure AD は、SAML、OAuth、OpenID Connect などのインターネット対応の認証メカニズムを使用します。Azure AD relies on internet-ready authentication mechanisms such as SAML, OAuth, and OpenID Connect. Kerberos や NTLM などのプロトコルを使用するレガシ認証方法に依存する既存のワークロードは、クラウドに移行する前に、クラウドのベースライン パターンを使用してリファクタリングしなければならない場合があります。Existing workloads that depend on legacy authentication methods using protocols such as Kerberos or NTLM might need to be refactored before migrating to the cloud using the cloud baseline pattern.

ヒント

ID サービスを Azure AD に完全に移行することで、独自の ID インフラストラクチャを維持する必要がなくなり、IT 管理が大幅に簡素化されます。Completely migrating your identity services to Azure AD eliminates the need to maintain your own identity infrastructure, significantly simplifying your IT management.

ただし、Azure AD は従来のオンプレミスの Active Directory インフラストラクチャに完全に置き換わるものではありません。But Azure AD is not a full replacement for a traditional on-premises Active Directory infrastructure. レガシ認証方法、コンピューター管理、グループ ポリシーなどのディレクトリ機能は、クラウドに追加のツールやサービスをデプロイしないと利用できません。Directory features such as legacy authentication methods, computer management, or group policy might not be available without deploying additional tools or services to the cloud.

オンプレミスの ID またはドメイン サービスをクラウドのデプロイと統合する必要があるシナリオの場合、以下で説明するディレクトリ同期およびクラウドでホストされるドメイン サービスのパターンを参照してください。For scenarios where you need to integrate your on-premises identities or domain services with your cloud deployments, see the directory synchronization and cloud-hosted domain services patterns discussed below.

ディレクトリ同期Directory synchronization

多くの場合、既存のオンプレミス Active Directory インフラストラクチャを持つ組織においては、既存のユーザーとアクセス管理を保持すると同時に、クラウド リソースの管理に必要な IAM 機能を提供するためには、ディレクトリ同期が最適なソリューションです。For organizations with existing on-premises Active Directory infrastructure, directory synchronization is often the best solution for preserving existing user and access management while providing the required IAM capabilities for managing cloud resources. このプロセスでは、Azure AD とオンプレミスのディレクトリ サービスの間でディレクトリ情報を継続的にレプリケートし、ユーザーの共通資格情報と、一貫性のある ID、ロール、アクセス許可のシステムを組織全体で可能にします。This process continuously replicates directory information between Azure AD and on-premises directory services, allowing common credentials for users and a consistent identity, role, and permission system across your entire organization.

注意

Microsoft 365 を導入済みの組織では、オンプレミス Active Directory インフラストラクチャと Azure Active Directory の間にディレクトリ同期を既に実装している場合があります。Organizations that have adopted Microsoft 365 might have already implemented directory synchronization between their on-premises Active Directory infrastructure and Azure Active Directory.

ディレクトリ同期の前提条件: 同期済み ID ソリューションを使用するには、次の事項が前提となります。Directory synchronization assumptions: Using a synchronized identity solution assumes the following:

  • クラウドとオンプレミスの IT インフラストラクチャ全体で、ユーザー アカウントとグループの共通セットを保持する必要がある。You need to maintain a common set of user accounts and groups across your cloud and on-premises IT infrastructure.
  • オンプレミス ID サービスが Azure AD とのレプリケーションをサポートしている。Your on-premises identity services support replication with Azure AD.

ヒント

オンプレミスの Active Directory サーバーによって提供され、Azure AD によってサポートされないレガシ認証メカニズムに依存するすべてのクラウドベース ワークロードでは、これらのサービスを提供するクラウド環境のオンプレミス ドメイン サービスまたは仮想サーバーのいずれかへの接続が引き続き必要となります。Any cloud-based workloads that depend on legacy authentication mechanisms provided by on-premises Active Directory servers and that are not supported by Azure AD will still require either connectivity to on-premises domain services or virtual servers in the cloud environment providing these services. オンプレミス ID サービスを使用すると、クラウド ネットワークとオンプレミス ネットワーク間の接続性にも依存します。Using on-premises identity services also introduces dependencies on connectivity between the cloud and on-premises networks.

クラウドでホストされたドメイン サービスCloud-hosted domain services

Kerberos や NTLM などの従来のプロトコルを使用する要求ベースの認証に依存するワークロードがあり、SAML や OAuth、OpenID Connect などの最新の認証プロトコルを許可するようにそれらのワークロードをリファクタリングできない場合、クラウドをデプロイする際に、一部のドメイン サービスをクラウドに移行しなければならない場合があります。If you have workloads that depend on claims-based authentication using legacy protocols such as Kerberos or NTLM, and those workloads cannot be refactored to accept modern authentication protocols such as SAML or OAuth and OpenID Connect, you might need to migrate some of your domain services to the cloud as part of your cloud deployment.

このパターンでは、クラウド上のリソース用の Active Directory Domain Services (AD DS) を提供するために、Active Directory を実行する仮想マシンをクラウドベース仮想ネットワークにデプロイすることが必要になります。This pattern involves deploying virtual machines running Active Directory to your cloud-based virtual networks to provide Active Directory Domain Services (AD DS) for resources in the cloud. クラウド ネットワークに移行する既存のすべてのアプリケーションとサービスは、マイナーな変更によって、これらのクラウドでホストされたディレクトリ サーバーを使用できるようにする必要があります。Any existing applications and services migrating to your cloud network should be able to use these cloud-hosted directory servers with minor modifications.

既存のディレクトリとドメイン サービスは、オンプレミス環境で引き続き使用される場合が多いと思われます。It's likely that your existing directories and domain services will continue to be used in your on-premises environment. そのようなシナリオでは、クラウド環境とオンプレミス環境の両方で共通のユーザーとロールを提供するために、ディレクトリ同期も使用する必要があります。In this scenario, you should also use directory synchronization to provide a common set of users and roles in both the cloud and on-premises environments.

クラウドでホストされるドメイン サービスの前提条件: ディレクトリの移行を実行するには、次の事項が前提となります。Cloud-hosted domain services assumptions: Performing a directory migration assumes the following:

  • ワークロードが Kerberos や NTLM などのプロトコルを使用する要求ベース認証に依存している。Your workloads depend on claims-based authentication using protocols like Kerberos or NTLM.
  • Active Directory グループ ポリシーの管理または利用のために、ワークロード仮想マシンをドメインに参加させる必要がある。Your workload virtual machines need to be domain-joined for management or application of Active Directory group policy purposes.

ヒント

クラウドでホストされたドメイン サービスを伴うディレクトリ移行では、既存のワークロードの移行において優れた柔軟性がありますが、これらのサービスを提供するためにクラウド仮想ネットワーク内に仮想マシンをホストすることにより、IT 管理タスクが複雑化します。While a directory migration coupled with cloud-hosted domain services provides great flexibility when migrating existing workloads, hosting virtual machines within your cloud virtual network to provide these services does increase the complexity of your IT management tasks. クラウド移行に慣れてきたら、これらのサーバーをホスティングする長期的なメンテナンスの要件を確認します。As your cloud migration experience matures, examine the long-term maintenance requirements of hosting these servers. Azure Active Directory などのクラウド ID プロバイダとの互換性のために既存のワークロードをリファクタリングすることで、クラウドでホストされたこれらのサーバーの必要性を削減することが可能かどうかを検討します。Consider whether refactoring existing workloads for compatibility with cloud identity providers such as Azure Active Directory can reduce the need for these cloud-hosted servers.

Active Directory フェデレーション サービス (AD FS)Active Directory Federation Services

ID フェデレーションは、複数の ID 管理システムにわたって信頼関係を確立し、共通の認証機能と許可機能を可能にします。Identity federation establishes trust relationships across multiple identity management systems to allow common authentication and authorization capabilities. これにより、組織内の複数のドメインや、お客様またはビジネス パートナーによって管理される ID システム全体でシングル サインオン機能をサポートできるようになります。You can then support single sign-on capabilities across multiple domains within your organization or identity systems managed by your customers or business partners.

Azure AD は、Active Directory フェデレーション サービス (AD FS) を使用するオンプレミスの Active Directory ドメインのフェデレーションをサポートします。Azure AD supports federation of on-premises Active Directory domains using Active Directory Federation Services (AD FS). これを Azure に実装する方法の詳細については、「AD FS を Azure に拡張する」を参照してください。For more information about how this can be implemented in Azure, see Extend AD FS to Azure.

詳細情報Learn more

Azure での ID サービスの詳細については、以下を参照してください。For more information about identity services in Azure, see:

  • Azure ADAzure AD. Azure AD は、クラウド ベースの ID サービスを提供します。Azure AD provides cloud-based identity services. Azure リソースへのアクセスの管理と、ID 管理、デバイス登録、ユーザー プロビジョニング、アプリケーション アクセス制御、およびデータ保護の制御を可能にします。It allows you to manage access to your Azure resources and control identity management, device registration, user provisioning, application access control, and data protection.
  • Azure AD ConnectAzure AD Connect. Azure AD Connect ツールを使用すると、既存の ID 管理ソリューションを使用して Azure AD インスタンスに接続でき、クラウド上の既存ディレクトリの同期が可能になります。The Azure AD Connect tool allows you to connect Azure AD instances with your existing identity management solutions, allowing synchronization of your existing directory in the cloud.
  • ロールベースのアクセス制御 (RBAC)Role-based access control (RBAC). Azure AD は、管理プレーン内のリソースへのアクセスを効果的かつ安全に管理するための RBAC を提供します。Azure AD provides RBAC to efficiently and securely manage access to resources in the management plane. ジョブと責任はロールに編成され、ユーザーにはこれらのロールが割り当てられます。Jobs and responsibilities are organized into roles, and users are assigned to these roles. RBAC により、リソースへアクセス可能なユーザーと、そのリソースに実行可能なアクションを制御できます。RBAC allows you to control who has access to a resource along with which actions a user can perform on that resource.
  • Azure AD Privileged Identity Management (PIM)Azure AD Privileged Identity Management (PIM). PIM は、リソース アクセス特権の露出時間を短縮し、レポートとアラートを介して特権の使用への可視性を高めます。PIM lowers the exposure time of resource access privileges and increases your visibility into their use through reports and alerts. 「ジャスト イン タイム」 (JIT) での特権の取得や、短期間での特権の割り当て (割り当て後に自動的に特権が取り消される) により、ユーザーを制限します。It limits users to taking on their privileges "just in time" (JIT), or by assigning privileges for a shorter duration, after which privileges are revoked automatically.
  • オンプレミスの Active Directory ドメインと Azure Active Directory を統合するIntegrate on-premises Active Directory domains with Azure Active Directory. この参照アーキテクチャでは、オンプレミス Active Directory ドメインと Azure AD の間のディレクトリ同期の例を示します。This reference architecture provides an example of directory synchronization between on-premises Active Directory domains and Azure AD.
  • Active Directory Domain Services (AD DS) を Azure に拡張するExtend Active Directory Domain Services (AD DS) to Azure. この参照アーキテクチャでは、ドメイン サービスをクラウドベース リソースに拡張するために AD DS サーバーをデプロイする例を示します。This reference architecture provides an example of deploying AD DS servers to extend domain services to cloud-based resources.
  • Active Directory フェデレーション サービス (AD FS) を Azure に拡張するExtend Active Directory Federation Services (AD FS) to Azure. この参照アーキテクチャでは、Azure AD ディレクトリでのフェデレーション認証と許可を実行するために Active Directory フェデレーション サービス (AD FS) を構成する方法を示します。This reference architecture configures Active Directory Federation Services (AD FS) to perform federated authentication and authorization with your Azure AD directory.

次のステップNext steps

ID は、クラウド導入プロセスでのアーキテクチャに関する意思決定で要求されるコア インストラクチャ コンポーネントの 1 つにすぎません。Identity is just one of the core infrastructure components requiring architectural decisions during a cloud adoption process. 他の種類のインフラストラクチャの設計に関する決定を行うときに使用される代替パターンまたはモデルについては、アーキテクチャの決定ガイドの概要を参照してください。To learn about alternative patterns or models used when making design decisions for other types of infrastructure, see the architectural decision guides overview.