こんにちは。クラウド ビジネス相談センターの平川です。

クラウド ビジネス相談センターは、 MPN パートナー様のクラウド ビジネス推進を支援する窓口です。 毎日たくさんのパートナー様から、 さまざまなご相談をいただいています。
「そこが知りたい!シリーズ」では、 クラウド ビジネス相談センター (クラ相) に寄せられるパートナー様のリアルなご相談をもとに、 今パートナー様が知りたい内容をお届けします。

Windows Server 2008/2008 R2 のサポート終了 (EOS) が近づいてきました。
最近では、オンプレミス環境にあるサーバーを Azure 仮想マシンとして移行するため提案のご相談を多くいただいています。
Azure への移行をきっかけに、オンプレミス環境にあるサーバーを全部 Azure 仮想マシンにして、ついでにドメイン コントローラーをなくして、Azure Active Directory での管理を検討されている場合もあるようです。

ちょっと待ってください。Azure Active Directory はドメイン コントローラーの代わりではないですよ。。
ということで、今回は、Azure へ移行する際に比較されがちな 3 つのサービス Active Directory Domain Services、Azure Active Directory、Azure Active Directory Domain Services についてです。

まず、簡単に用語についてご説明します。
Active Directory Domain Services (AD DS)
みなさまおなじみの自己管理型 AD です。Windows 2000 で導入されたディレクトリ サービスで、ユーザーやコンピューターを管理するための仕組みです。

Azure Active Directory (Azure AD)
Azure AD はクラウド ベースの認証サービスです。
Office 365 やその他連携している SaaS アプリケーションに対する認証基盤を提供します。

Azure Active Directory Domain Services (Azure AD DS)
Azure AD DS 内に作成したユーザーだけでなく、Azure AD に登録されたユーザーも認証に使用できる PaaS 版のドメイン サービスです。

イメージとしてはこんな感じです。
オンプレミス環境にあるサーバーを Azure 仮想マシンとして移行した後の環境に応じて、必要なディレクトリ サービスを選択します。

現在の環境でどのように AD DS をご利用になっているのかを伺っていますと、グループ ポリシーによるデバイスの管理、ユーザー情報の一元管理によるファイル サーバーやアプリケーションのアクセス権の管理といった運用で多く使われているようです。
これらの運用を Azure 上で引き続き実施しようとする場合、どのサービスが必要でしょうか?

1 つ目の選択肢としては、AD DS です。

オンプレミス環境にある AD DS ドメインに Azure 仮想マシンを参加させることもできますし、Azure 仮想マシンとして AD DS ドメイン コントローラーを構成し、オンプレミス環境にある AD DS を拡張することもできます。(* VPN 接続が必要です。)
また、Azure 仮想マシンのみで AD DS ドメイン環境を構成することもできます。

AD DS は自己管理型の AD DS ですので、すべて自分たちで管理する必要があります。

2 つ目の選択肢としては、Azure AD DS があります。
Azure AD DS は PaaS サービスですので、フォレストやドメインなどの構成を考えたり、保守をする必要がないというメリットがありますが、いくつか制限があります。

たとえば、
・現在の環境で展開済みの AD DS をそのまま引き継いだ環境は作れない
・ドメイン コントローラーに直接アクセスして操作をすることができない
・ドメイン管理者やエンタープライズ管理者の権限が使用できない
・スキーマの拡張ができない
・1 つの Azure 仮想ネットワークにのみ展開可能で地理的冗長ができない
・自己管理型の AD DS のドメイン環境との信頼関係が構築できない
という制限があります。

このような制限があっても運用に支障が無い場合には、Azure AD DS をご利用いただけます。
また、Azure AD DS は、Azure AD に登録されているユーザー情報を基に、AD DS と同様なドメイン サービスが構成されますので、現在 Office 365 をご利用中で、これから AD DS による運用を始めるというお客様には選択肢のひとつになると思います。

なお、Azure AD はクラウド ベースの認証サービスですので、Azure AD のみで社内デバイスのグループ ポリシーによる管理や、社内ユーザー情報によるファイル サーバーなどのアクセス権制御には利用できません。
そのため、現在の環境で展開済みの AD DS の移行先として、Azure AD は選択肢に含まれません。

ただ、これまでの AD DS によるグループ ポリシーやユーザー情報でのアクセス権制御という運用が必須では無く、クライアント OS が Windows 10 のみという場合は、Azure AD のみでの運用とすることも検討できます。
Windows 10 は、従来の AD DS へのドメイン参加の構成と、Azure AD 参加という構成が行えます。
Azure AD 参加構成済みの Windows 10 端末に Azure AD ユーザーでサインインすることで、Azure AD ユーザーの資格情報でクラウド アプリケーションにシングル サインオンすることができるため、Office 365 などの SaaS アプリケーションのみで運用を行う組織では、Azure AD 参加構成も選択肢となります。
しかし、Azure AD にはデバイス管理の機能はありませんので、デバイス管理の機能が必要な場合は Microsoft Intune により管理します。
なお、端末の構成としては従来の AD DS へのドメイン参加として、社内ユーザーの情報や端末情報を Azure AD に同期する ハイブリッド Azure AD 参加という構成もありますが、AD DS と Azure AD のディレクトリ同期など別途要件が増えるため、ハイブリッド Azure AD 参加のお話は、また別の機会でご紹介したいと思います。

AD DS、Azure AD、Azure AD DS の比較については、以下の Web サイトをご覧ください。

Title: 自己管理型の Active Directory Domain Services、Azure Active Directory、およびマネージド Azure Active Directory Domain Services の比較
URL: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/compare-identity-solutions#domain-join-to-azure-ad-domain-services-managed-domains

いかがでしたか?
オンプレミス環境から Azure への移行のご提案について、何かお困りのことがありましたら、ぜひクラウド ビジネス相談センターにご相談ください。

===== クラウド ビジネス相談センター =====
クラウド ビジネス相談センターは、Microsoft Partner Network (MPN) にご参加いただいているパートナー様の技術的な支援を行っています。

Azure、Microsoft 365 など各種クラウド サービス、および、Windows Server、Windows 10、SQL Server について、提案準備中/提案中/展開計画中、アプリケーション設計/開発中のフェーズにおいて、パートナー様のビジネス フェーズに沿って、機能や構成についての情報やアドバイスの提供等の支援を行います。

対応範囲については、こちらの Web サイトをご覧ください。

MPN 特典として、メンバーシップに合わせて相談時間が提供されています。
Gold コンピテンシー、Silver コンピテンシーを取得済みのパートナー様は、ご提案先のお客様名など案件情報を共有していただけますと、提案中のご相談については無償で (相談時間を消費せず) ご利用いただけます。

皆様のご利用お待ちしています。ぜひ、クラウド ビジネス相談センターをご活用ください。

–ご利用方法
クラウド ビジネス相談センターのご利用は、お電話、または、オンラインで承っています。

電話
0120-70-8105 音声案内 3 番 (* 携帯からもご利用いただけます)
受付時間: 9:00 – 17:30 (土日祝日、弊社指定休業日を除く)

オンライン
MPN ポータル、または、Partner Center からご相談いただけます。
お問い合わせ手順は、こちらの Web サイトをご覧ください。

* 本コンテンツのすべての内容は、作成日時点でのものであり、時間の経過または様々な後発事象によって変わる可能性がありますので、あらかじめご了承ください。