Active Directory Domain Services と Microsoft Entra ID を比較する
Active Directory Domain Services (AD DS) は、物理または仮想サーバーへの Windows Server ベースの Active Directory の従来のデプロイです。 Active Directory Domain Services (AD DS) には、Active Directory 証明書サービス (AD CS)、Active Directory ライトウェイト ディレクトリ サービス (AD LDS)、Active Directory フェデレーション サービス (AD FS)、Active Directory Rights Management サービス (AD RMS) も含まれます。
重要
Azure Virtual Machines で AD DS のデプロイおよび管理を行うことはできますが、AD DS に特に依存する IaaS ワークロードがご利用の構成でターゲットにされていない限り、Microsoft Entra ID を使用することをお勧めします。
AD DS ではなく Microsoft Entra を使用する場合に考慮すべき事項
Microsoft Entra ID は AD DS に似ていますが、両者には大きな違いがあります。 Microsoft Entra ID を使用して構成するということは、Azure 仮想マシン上に Active Directory ドメイン コントローラーをデプロイし、それをご利用のオンプレミス ドメインに追加するのとは違うという点を認識することが重要です。
ID 戦略を計画する場合は、Microsoft Entra ID と AD DS を区別する次の特性を考慮してください。
ID ソリューション:AD DS は主にディレクトリ サービスですが、一方 Microsoft Entra ID は完全な ID ソリューションです。 Microsoft Entra ID は、HTTP および HTTPS 通信を使用するインターネット ベースのアプリケーション向けに設計されています。 Microsoft Entra ID の機能では、ターゲットの強力な ID 管理がサポートされます。
通信プロトコル:Microsoft Entra ID は HTTP および HTTPS ベースであるため、Kerberos 認証は使用されません。 Microsoft Entra ID では、認証用に SAML、WS-Federation、OpenID Connect などの HTTP および HTTPS プロトコルを (認可用には OAuth を) 実装します。
フェデレーション サービス:Microsoft Entra ID には、フェデレーション サービスおよび多くのサードパーティ サービス (Facebook など) が含まれています。
フラット構造:Microsoft Entra のユーザーとグループは、フラット構造で作成されます。 組織単位 (OU) またはグループ ポリシー オブジェクト (GPO) はありません。
マネージド サービス:Microsoft Entra ID はマネージド サービスです。 ユーザー、グループ、ポリシーのみを管理します。 Azure を使用して仮想マシンで AD DS をデプロイする場合は、その他のタスクも数多く管理します (デプロイ、構成、仮想マシン、修正プログラムの適用、その他のバックエンド プロセスなど)。