AzureランディングゾーンでのActive DirectoryとMicrosoft Entra IDを使用したハイブリッドID
この記事では、AzureランディングゾーンのMicrosoft Entra IDとハイブリッドIDを設計および実装する方法について説明します。
クラウドで運用されている組織では、ユーザーIDとリソースへのアクセスを管理するためのディレクトリサービスが必要です。 Microsoft Entra IDは、ユーザーとグループを管理するための堅牢な機能を提供するクラウドベースのIDおよびアクセス管理サービスです。 スタンドアロンのIDソリューションとして使用することも、Microsoft Entra Domain ServicesインフラストラクチャまたはオンプレミスのActive Directory Domain Services (AD DS) インフラストラクチャと統合することもできます。
Microsoft Entra IDは、多くの組織とワークロードに適した最新のセキュリティで保護されたIDおよびアクセス管理を提供し、AzureおよびMicrosoft 365サービスの中核となっています。 組織にオンプレミスのAD DSインフラストラクチャがある場合、オンプレミス環境とクラウド環境の間で一貫したID、グループ、およびロールのセットを維持するために、クラウドベースのワークロードでMicrosoft Entra IDとのディレクトリ同期が必要になることがあります。 または、レガシ認証メカニズムに依存するアプリケーションがある場合は、クラウドにマネージドDomain Servicesを展開する必要がある場合があります。
クラウドベースの ID 管理は反復的なプロセスです。 初期展開では、少数のユーザーと対応するロールを使用してクラウドネイティブなソリューションから始めることができます。移行が成熟するにつれて、ディレクトリ同期を使用してIDソリューションを統合するか、クラウド展開の一部としてクラウドでホストされるドメインサービスを追加することが必要になる場合があります。
時間の経過と共に、ワークロードの認証要件とその他のニーズ (組織のID戦略とセキュリティ要件の変更、他のディレクトリサービスとの統合など) に応じて、IDソリューションを再検討してください。 Active Directoryソリューションを評価するときは、Windows Server上のMicrosoft Entra ID、Domain Services、およびAD DSの違いを理解してください。
ID戦略については、 ID決定ガイド を参照してください。
AzureランディングゾーンのIDおよびアクセス管理サービス
プラットフォームチームは、IDおよびアクセス管理の管理を担当します。 IDおよびアクセス管理サービスは、組織のセキュリティの基本です。 組織はMicrosoft Entra IDを使用して、管理アクセスを制御することでプラットフォームリソースを保護できます。 このアプローチにより、プラットフォームチームの外部のユーザーは、Microsoft Entra IDに含まれる構成またはセキュリティプリンシパルを変更できなくなります。
AD DSまたはDomain Servicesを使用する組織では、承認されていないアクセスからドメインコントローラーを保護する必要もあります。 ドメインコントローラーは攻撃者にとって特に魅力的なターゲットであり、厳格なセキュリティ制御とアプリケーションワークロードからの分離が必要です。
ドメインコントローラーと関連コンポーネント (Microsoft Entra ID Connectサーバーなど) は、プラットフォーム管理グループ内のIDサブスクリプションに展開されます。 ドメインコントローラーはアプリケーションチームに委任されません。 この分離を提供することで、アプリケーション所有者はIDサービスを管理することなく使用でき、IDおよびアクセス管理サービスが侵害されるリスクが軽減されます。 IDプラットフォームサブスクリプションのリソースは、クラウドおよびオンプレミス環境のセキュリティの重要なポイントです。
アプリケーション所有者がワークロードの必要に応じてMicrosoft Entra IDまたはAD DSとDomain Servicesのいずれかを使用できるように、ランディングゾーンをプロビジョニングする必要があります。 使用するIDソリューションによっては、必要に応じて他のサービスを構成する必要がある場合があります。 たとえば、ID仮想ネットワークへのネットワーク接続を有効にし、セキュリティで保護する必要がある場合があります。 サブスクリプション販売プロセスを使用する場合は、この構成情報をサブスクリプション要求に含めます。
Azureおよびオンプレミスのドメイン (ハイブリッドID)
完全にMicrosoft Entra IDで作成されたユーザーオブジェクトは、クラウド専用アカウントと呼ばれます。 AzureとMicrosoft 365のリソースへの先進認証とアクセス、およびWindows 10またはWindows 11を使用するローカルデバイスへのアクセスをサポートしています。
ただし、多くの組織では、ライトウェイトディレクトリアクセスプロトコル (LDAP) を介して基幹業務やエンタープライズリソースプランニング (ERP) などの他のシステムと統合できる、長期間のAD DSディレクトリが既に存在しています。 これらのドメインには、認証にKerberosまたは以前のNTLMv2プロトコルを使用する、ドメインに参加しているコンピューターやアプリケーションが多数含まれている場合があります。 このような環境では、ユーザーが単一のidでオンプレミスのシステムとクラウドリソースの両方にサインインできるように、ユーザーオブジェクトをMicrosoft Entra IDに同期することができます。 オンプレミスとクラウドディレクトリサービスの統合は、ハイブリッドIDと呼ばれます。 オンプレミスドメインをAzureランディングゾーンに拡張できます:
クラウド環境とオンプレミス環境の両方で単一のユーザー オブジェクトを維持するには、Microsoft Entra Connect または Microsoft Entra Connect Sync を介して AD DS ドメイン ユーザーを Microsoft Entra ID と同期できます。お客様の環境での推奨構成を決定するには、Microsoft Entra ConnectのTopologiesを参照してください。
Windows VMsやその他のサービスをドメインに参加させるには、AzureにAD DSドメインコントローラーまたはDomain Servicesをデプロイできます。 この方法では、AD DSユーザーは、Windowsサーバー、Azure Files共有、およびActive Directoryを認証ソースとして使用するその他のリソースにサインインできます。 グループポリシーなど、他のActive Directoryテクノロジを使用することもできます。 詳細については、 Microsoft Entra Domain Servicesの一般的な展開シナリオ を参照してください。
ハイブリッドアイデンティティの推奨
Domain Servicesに依存し、古いプロトコルを使用するアプリケーションには、ドメインサービスを使用することができます。 場合によっては、既存のAD DSドメインは下位互換性をサポートし、レガシプロトコルを許可するため、セキュリティに悪影響を及ぼす可能性があります。 オンプレミスのドメインを拡張するのではなく、Domain Servicesを使用してレガシプロトコルを許可しない新しいドメインを作成し、クラウドでホストされるアプリケーションのディレクトリサービスとして使用することを検討してください。
各アプリケーションが使用する認証プロバイダーを理解して文書化することで、IDソリューションの要件を評価します。 組織が使用するサービスの種類を計画するのに役立つレビューを検討してください。 詳細については、「Azure Active Directory は Microsoft Entra ID に名称変更されています」と「ID 決定ガイド」を参照してください。
外部ユーザー、顧客、パートナーにリソースへのアクセス権限を付与するシナリオを評価する際には、以下の要素を検討する必要があります。 これらのシナリオに、顧客のMicrosoft Entra B2BまたはMicrosoft Entra外部IDが含まれるかどうかを判断します。 詳細については、Microsoft Entra 外部 ID に関するページを参照してください。
イントラネットアクセスにMicrosoft Entraアプリケーションプロキシを使用しないでください。ユーザーエクスペリエンスに待機時間が追加されるためです。 詳細については、 「Microsoft Entraアプリケーションプロキシの計画」 および 「Microsoft Entraアプリケーションプロキシのセキュリティに関する考慮事項」 を参照してください。
組織の要件を満たすために、オンプレミスのActive DirectoryをAzureと統合するために使用できるさまざまな方法を検討してください。
Microsoft Entra ID とのフェデレーションがある Active Directory フェデレーション サービス (AD FS) を使用する場合、パスワード ハッシュ同期をバックアップとして使用することができます。 AD FSは、Microsoft Entraのシームレスなシングルサインオン(SSO)をサポートしていません。
クラウドIDに適した同期ツールを決定します。
AD FSを使用するための要件がある場合は、 「AzureにAD FSをデプロイする」 を参照してください。
重要
AD FSを使用する特別な要件がない限り、Microsoft Entra IDに移行することを強くお勧めします。 詳細については、 「AD FSの使用停止に関するリソース」 および 「AD FSからMicrosoft Entra IDへの移行」 を参照してください。
Microsoft Entra ID、ドメインサービス、AD DS
管理者は、Microsoft ディレクトリ サービスを実装するためのオプションをよく理解しておく必要があります:
AD DSドメインコントローラーは、プラットフォーム管理者またはID管理者がフルコントロールできるWindows仮想マシン (VM) としてAzureにデプロイできます。 このアプローチは、サービスとしてのインフラストラクチャ (IaaS) ソリューションです。 ドメインコントローラーを既存のActive Directoryドメインに参加させることも、既存のオンプレミスドメインとオプションの信頼関係を持つ新しいドメインをホストすることもできます。 詳細については、 「AzureランディングゾーンでのAzure Virtual Machinesベースラインアーキテクチャ」 を参照してください。
Domain Services は、Azure でホストされる新しいマネージド Active Directory ドメインの作成に使用できる Azure マネージド サービスです。 ドメインは既存のドメインと信頼関係を持つことができ、Microsoft Entra IDからIDを同期できます。 管理者はドメインコントローラーに直接アクセスできず、修正プログラムの適用やその他のメンテナンス操作を担当しません。
Domain Servicesを展開する場合、またはオンプレミス環境を Azure に統合する場合は、可用性を高めるために可用性ゾーンのある場所を使用してください。
AD DSまたはDomain Servicesが構成された後、オンプレミスのコンピュータと同じ方法を使用して、Azure VMとファイル共有にドメイン参加することができます。 詳細については、 「Microsoftディレクトリベースのサービスの比較」 を参照してください。
Microsoft Entra IDとAD DSの推奨事項
Microsoft Entra IDを介してオンプレミス認証を使用するアプリケーションにリモートでアクセスするには、Microsoft Entraアプリケーションプロキシを使用します。 この機能は、オンプレミスのウェブアプリケーションへのセキュアなリモートアクセスを提供する。 VPN やネットワーク インフラストラクチャの変更は必要ありません。 ただし、Microsoft Entra ID に単一のインスタンスとしてデプロイされるため、アプリケーションの所有者とプラットフォームまたは ID チームが協力して、アプリケーションが正しく設定されていることを確認する必要があります。
Windows ServerおよびDomain Services上のAD DSのワークロードの互換性を評価する。 詳細については、 「一般的なユースケースとシナリオ」 を参照してください。
ドメインコントローラーVMまたはDomain Servicesレプリカセットをプラットフォーム管理グループ内のIDプラットフォームサブスクリプションにデプロイします。
ドメインコントローラーを含む仮想ネットワークをセキュリティで保護します。 ファイアウォール機能を提供するネットワークセキュリティグループ (NSG) を持つ分離されたサブネットにAD DSサーバーを配置することで、これらのシステムとの間で直接インターネット接続が行われないようにします。 認証にドメインコントローラーを使用するリソースには、ドメインコントローラーサブネットへのネットワークルートが必要です。 ネットワークルートは、IDサブスクリプションのサービスへのアクセスを必要とするアプリケーションに対してのみ有効にします。 詳細については、「 Azure 仮想ネットワークに AD DS をデプロイする」を参照してください。
- Azure Virtual Network Manager を使用して、仮想ネットワークに適用される標準規則を適用します。 たとえば、Active Directory ID サービスが必要な場合には、Azure Policy または仮想ネットワーク リソース タグを使用して、ランディング ゾーンの仮想ネットワークをネットワーク グループに追加できます。 その後、ネットワーク グループを使用して、必要なアプリケーションからのみ ドメイン コントローラー サブネットへのアクセスを許可し、他のアプリケーションからのアクセスのブロックができます。
ドメイン コントローラー仮想マシンおよびその他の ID リソースに適用されるロールベースのアクセス制御 (RBAC) アクセス許可をセキュリティで保護します。 共同作成者、所有者、仮想マシン共同作成者など、Azure コントロール プレーンで RBAC ロールの割り当てを持つ管理者は、仮想マシンでコマンドを実行できます。 承認された管理者のみが ID サブスクリプション内の仮想マシンにアクセスでき、過度に制限の緩いロールの割り当てが上位の管理グループから継承されていないことの確認します。
複数地域の組織では、コアプラットフォームコンポーネントをホストするリージョンにDomain Servicesをデプロイします。 Domain Servicesは、単一のサブスクリプションにのみデプロイできます。 プライマリ仮想ネットワークにピアリングされた個別の仮想ネットワークに最大4つのレプリカセットを追加することで、Domain Servicesをさらにリージョンに拡張できます。 レプリカセット用の仮想ネットワークは、レイテンシを最小限に抑えるため、コアアプリケーションと同一リージョン内に配置するか、または近くに配置してください。
Azure に AD DS ドメインコントローラーをデプロイするときは、アベイラビリティゾーンにまたがってデプロイすると回復力が高まります。 詳細については、 「可用性ゾーンにVMを作成する」 および 「VMを可用性ゾーンに移行する」 を参照してください。
認証は、クラウドとオンプレミス、またはオンプレミスでのみ行うことができます。 ID計画の一環として、Microsoft Entra IDの認証方法を検討します。
WindowsユーザーがAzure Filesファイル共有にKerberosを必要とする場合は、クラウドにドメインコントローラーをデプロイするのではなく、Microsoft Entra IDにKerberos認証を使用することを検討してください。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示