ハイブリッドクラウドへの道 ~The road to hybrid cloud.~

Azure版Active Directory サービスの使いどころ

クラウドファーストをキーワードに、クラウドの利用がようやく当たり前の時代となりました。そんな中、すべてをクラウド化するにはどうしても無理な部分もあり、オンプレミスでのサーバー利用も依然として続いているのも事実です。クラウドとオンプレミスの使い分け、連携するための様々な技術や手法が出揃ってきています。

今回よりスタートする新連載では、Windows ServerとAzureを中心にクラウドとオンプレミスの融合「ハイブリッドクラウド」を目指すべく、独断と偏見を交えて技術情報を紹介していきます。

題して、「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~」!

Azure Active Directory と Azure Active Directory Domain Servicesの概要

まず第1回目は「Azure版Active Directory サービスの使いどころ」ということで、オンプレミスのActive Directoryを管理している方にはちょっと誤解しやすいAzure Active DirectoryとAzure Active Directory Domain Servicesの概要を紹介します。

Active Directoryと名前の付くものが、Microsoftには数多く存在しています。まずはオンプレミスでこれまで利用されてきたお馴染みのActive Directoryです。他との比較をしやすくするため「Windows Server Active Directory」=WSADとします。2つ目は、「Azure Active Directory」=AADです。もう1つ紹介するのは「Azure Active Directory Domain Services」=AADDSです。

他にもActive Directoryと名の付くサービス、機能がたくさんありますが、まずはこの3つの違いをきちんと理解しておく必要があります。サーバーを自らセットアップしてWSADを構築していたエンジニアからすると、「Azure Active Directory」とう名前から、Azure上でActive Directoryを構築してドメインに参加したユーザー管理とPCの管理ができるものという印象があるかと思います。

では、「Azure Active Directory Domain Services」って何なの? という疑問も当然出てきます。

Active Directoryで検索したところ

これらの違いをきちんと理解して使い分けることが、ハイブリッドクラウドへの最初の一歩となります。

細かい機能の説明は後ほどということで、まずはそれぞれの大まかな機能や役割を確認しておきます。

WSADAADAADDS
用途オンプレミスでのアカウント管理。対象はWindows PCクラウド環境でのアカウント管理。対象はOSを問わず各種デバイスクラウド版WSAD。アカウント管理はAADに依存
使用例社内アカウント・PC管理。ファイルサーバーのアクセス権。グループポリシーOffice365へログイン。Webアプリケーションの認証。タブレットからシングルサインオン。多要素認証Azure仮想マシンのドメイン参加。社内ドメインをクラウドに移行・同期
制限事項インターネットに公開はNG。VPNや専用回線を推奨WSADとADDは別の機能。Windows Serverは参加できないDomain Admins・Enterprise Adminsがない。Domain Policyの変更ができない。オンプレと同期できるが、一部制限あり
※WSAD:Windows Server Active Directory
 AAD  :Azure Active Directory
 AADDS:Azure Active Directory Domain Services
Windows Server Active Directory
Azure Active Directory
Azure Active Directory Domain Services

それぞれの概要を理解したところで、長年オンプレミスのWindows Serverに携わった経験から各Active Directoryサービスの使いどころを以下のように考えました。

WSADとAADは別物

まずAADは、これまで自分たちが経験を積んできたWSAD、いわゆるWindowsドメインとはまったくの別物ということです。クラウドサービス全盛の中、サービスを利用する端末は必ずしもWindows PCだけではなく、スマートフォン、タブレット、IoT端末など様々なOSやデバイスが考えられます。これらのアカウント、端末管理をするための新しいID管理の仕組みが必要となります。クラウドサービスをシングルサインオンで利用するためのアカウント管理システムがAADということです。WSADをまったく意識せず、クラウドサービスだけを利用するような環境であればAADの選択が最適です。

AADDSはドメインコントローラーの代わりとなる

Azure上に作成した仮想マシンをドメインに参加させてオンプレミス同様に管理する場合、仮想マシン自体にドメインコントローラーの機能をインストールしてドメインを構築することが可能です。このドメインコントローラーの仮想マシンの代わりとなるものが、AADDSです。ドメインコントローラーのPaaS(クラウドサービス)と言い換えることができます。ドメインコントローラー構築、運用の面倒な部分を、サービスを利用することで簡略化し、仮想マシンのリソースを削減できます。ただし、オンプレミスと同様のActive Directoryの機能が100%利用できるわけではなく、Domain Admins・Enterprise Adminsがないことや、Domain Policyの変更、ドメイン同士の信頼関係の設定、スキーマ拡張、フォレスト、Active Directoryの機能レベルの変更など、利用できない機能があります。

WSAD とAADDSの同期、移行には制限がある

ハイブリッドクラウドを目指す場合、既存のオンプレミスのWSADとAADDSの同期や移行が必要になります。この場合、Azure AD Connect(オンプレミスのアカウント情報とAADのアカウント情報を同期するツール)を利用して同期することとなるのですが、同期できるオブジェクトがユーザーデータのみという制限があり、アカウント、グループ、パスワード、SIDだけに限定されます。グループポリシー、コンピューターオブジェクトは同期対象外となります。コンピューターオブジェクトにアクセス制限などを設定している場合は注意が必要です。また、デスクトップのテンプレートイメージや、セキュリティーポリシーなどグループポリシーで制限をしている場合には、オンプレかクラウドかでPCの仕様に差異が出る可能性があり注意が必要です。

AADDSはActive Directoryの新規作成がおすすめ

AADDSを利用する場合は、新規でActive Directoryを構築して運用管理することが一番シンプルで使いやすそうです。オンプレミスにはドメインコントローラーは作らず、最初からAADDSを利用します。アカウントの同期やリソースの移行といった面倒な作業が必要なく、シンプルで使いやすい構成と考えられます。

ハイブリッドクラウドでActive Directoryを移行する場合 Azure仮想マシンあり

ハイブリッドクラウドを実現するために一番現実的で問題が少なそうな構成は、Azure上で仮想マシンを作成し、VPN接続でドメインコントローラーを複製する方法です。この方法は、オフィスと遠隔地を結ぶActive Directoryの構築方法と同じ考え方なので、これまで経験してきた手法が利用できます。Azure上に追加で仮想マシンを作成した場合は、すぐ側にドメインコントローラーがいるので、そのままドメイン参加することが可能です。最終的にはオンプレミスのドメインコントローラーをすべてなくして、Azure上のドメインコントローラーのみといった構成も可能です。Azure上にオンプレミスのリソースを最適配置して、クラウドの利点である運用コストの削減やデータ保護に役立てることが可能となります。Office365などクラウドサービスを利用する場合は、Azure AD Connectを利用してAADとアカウント同期を行い、シングルサインオンを可能とします。

ドメインコントローラーとして仮想マシンを作成

ハイブリッドクラウドでActive Directoryを移行する場合 Azure仮想マシンなし

Active Directoryはそのままオンプレミスのものを利用して、Office365などクラウドサービスを利用する場合は、Azure AD Connectを利用して、オンプレミスのドメインコントローラーとAADの間でアカウント情報の同期を取ることで、クラウドサービスとオンプレミスのリソースを1つの同じアカウントで利用することが可能となります。

オンプレミスのドメインコントローラーを利用

ドメインコントローラーを作成しない場合

ドメインコントローラーの役割を、すべてAADDSを利用することで置き換えます。オンプレミスでもAzure上の仮想マシンでもActive Directoryに参加することが可能となります。AADDSはAADと紐づいているので、Office365などクラウドサービスにシングルサインオンが可能となっています。ただし、AADDSはいくつか制限事項があるので、オンプレミスからの移行よりは、新規でAzure上にActive Directoryを構築する場合に適しているようです。

ドメインコントローラーをAADDSに置き換え

以上、「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~」連載のはじめは、「Azure版Active Directory サービスの使いどころ」ということで、サービスの概要とそれぞれの使いどころを紹介しました。

次回以降、各サービスの設定方法など詳細情報を紹介していく予定です。

著書の紹介欄

Hyper-Vで本格的なサーバー仮想環境を構築。仮想環境を設定・操作できる!

できるPRO Windows Server 2016 Hyper-V

◇Hyper-Vのさまざまな機能がわかる ◇インストールからの操作手順を解説 ◇チェックポイントやレプリカも活用できる Windows Server 2016 Hyper-Vは、仮想化ソフトウェア基盤を提供する機能であり、クラウドの実現に不可欠のものです。 本書では、仮想化の基礎知識から、Hyper-Vでの仮想マシンや仮想スイッチの設定・操作、プライベートクラウドの構築、Azureとの連携などを解説します。

初めてのWindows Azure Pack本が発売

Windows Azure Pack プライベートクラウド構築ガイド

本書は、Windows Azure PackとHyper-Vを利用し、企業内IaaS(仮想マシン提供サービス)を構成するための、IT管理者に向けた手引書です。試用したサーバーは、最小限度の物理サーバーと仮想マシンで構成しています。Windows Azure Packに必要なコンポーネントのダウンロード、実際にプライベートクラウド構築する過程を、手順を追って解説しています。これからプライベートクラウドの構築を検討するうえで、作業負担の軽減に役立つ一冊です。

ブログの著者欄

樋口 勝一

GMOインターネット株式会社

1999年6月GMOインターネットに入社。Windows Serverをプラットフォームとしたサービス開発から運用・保守まで幅広く担当。講演登壇や出版、ネット記事連載などでマイクロソフト社と強い信頼関係を構築。2007年より「マイクロソフトMVPアワード」を受賞し、インターネットソリューションのスペシャリストとして活躍。

関連記事