こんにちは。クラウド ビジネス相談センターの平川です。

クラウド ビジネス相談センターは、MPN パートナー様のクラウド ビジネス推進を支援する窓口です。毎日たくさんのパートナー様から、さまざまなご相談をいただいています。
「そこが知りたい!シリーズ」では、クラウド ビジネス相談センター (クラ相) に寄せられるパートナー様のリアルなご相談をもとに、今パートナー様が知りたい内容をお届けします。

先日投稿しました「そこが知りたい!シリーズ:AD の Azure への移行」の中で、ハイブリッド Azure AD 参加のお話はまた別の機会でということをお伝えしていましたので、今回は “ハイブリッド Azure AD 参加” について書きたいと思います。

ハイブリッドという言葉から何かの組み合わせかなーと想像している方もいらっしゃいますね?
“ハイブリッド Azure AD 参加” とは、オンプレミス環境にある Active Directory Domain Services (AD DS) と Azure Active Directory (Azure AD) のハイブリッド環境に Windows 10 デバイスを参加させることを意味します。

まず、ちょっと簡単に AD DS と Azure AD についてご説明します。

Active Directory Domain Services (AD DS)
みなさまおなじみの自己管理型 AD です。
Windows 2000 で導入されたディレクトリ サービスで、ユーザーやコンピューターを管理するための仕組みです。
グループ ポリシー (GPO) を利用し、ユーザーやコンピューターの制御を行うことができます。

Azure Active Directory (Azure AD)
Azure AD はクラウド ベースの認証サービスです。
Office 365 やその他連携している SaaS アプリケーションに対する認証基盤を提供します。

基本的に Windows 10 PC は、オンプレミス環境にある AD DS か Azure AD かどちらかの環境にのみ参加することができます。

オンプレミス環境にある AD DS ドメインへの参加のみですと、Azure AD で認証される SaaS サービスを利用する際に、AD DS へログオンしたユーザー情報とは別のAzure AD ユーザーの認証が発生してしまいます。
一方、Azure AD 参加のみですと、オンプレミス環境にあるリソースの利用時に、Azure AD のユーザー情報とは別の AD DS ユーザーの認証が発生してしまいます。

そのため、オンプレミス環境にある AD DS ドメイン内のリソースもシームレスに利用しつつ、SaaS サービスにもシームレスに使いたい!というご要望が出てくるかと思います。

そのニーズを解決できるのが “ハイブリッド Azure AD 参加” です。

“ハイブリッド Azure AD 参加” をすると、AD DS ドメイン環境に参加している Windows 10 PC を Azure AD の管理下に置くことができます。
そのため、AD DS と Azure AD の両方の良さを活かすことができ、オンプレミス環境でもクラウドでもシングル サインオン (SSO) することができるようになります。

たとえば、AD DS の GPO によってデバイスの管理をしたり、Azure AD によって、SaaS サービスにシングル サインオンができたり、条件付きアクセスによってユーザーの SaaS サービスへのサインインの制御を実現することができます。

次に、ハイブリッド Azure AD 参加のための構成についてです。
構成としては、2 つのシナリオに分かれます。

1.マネージド環境
2.フェデレーション環境

1.マネージド環境
Azure Active Directory Connect (Azure AD Connect) を使用しますので、フェデレーション サーバーの構成は不要です。

Azure AD Connect により、ディレクトリ同期、パスワードについてはパスワード ハッシュ同期 (PHS) またはパススルー認証 (PTA) を構成します。
そして、ハイブリッド Azure AD 参加済みにするデバイスのコンピューター オブジェクトを Azure AD に対して同期されていることを確認します。

詳細については、以下の Web サイトをご覧ください。

Title: チュートリアル:マネージド ドメイン用のハイブリッド Azure Active Directory 参加の構成
URL: https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-managed-domains

2.フェデレーション環境
Active Directory フェデレーション サービス (AD FS) のフェデレーション サーバーがある環境です。

Windows Server 2012 R2 以降の Windows Server の AD FS と Azure AD Connect で構成します。

詳細については、以下の Web サイトをご覧ください。

Title: チュートリアル:フェデレーション ドメイン用のハイブリッド Azure Active Directory 参加の構成
URL: https://docs.microsoft.com/ja-jp/azure/active-directory/devices/hybrid-azuread-join-federated-domains

なお、フェデレーション環境の場合は AD FS サーバーなど必要となる役割が増え、環境構築も高度になります。
そのため、特別な要件がなければ、ハイブリッド Azure AD 環境には、マネージド環境を使用するのが一般的です。

 

いかがでしたか?
お客様のニーズによっては、ハイブリッド Azure AD 参加が必要なる場合もあると思います。

ハイブリッド Azure AD 参加のご提案の際も、ぜひクラウド ビジネス相談センターにご相談ください。

 
 

===== クラウド ビジネス相談センター =====
クラウド ビジネス相談センターは、Microsoft Partner Network (MPN) にご参加いただいているパートナー様の技術的な支援を行っています。

Azure、Microsoft 365 など各種クラウド サービス、および、Windows Server、Windows 10、SQL Server について、提案準備中/提案中/展開計画中、アプリケーション設計/開発中のフェーズにおいて、パートナー様のビジネス フェーズに沿って、機能や構成についての情報やアドバイスの提供等の支援を行います。

対応範囲については、こちらの Web サイトをご覧ください。

MPN 特典として、メンバーシップに合わせて相談時間が提供されています。
Gold コンピテンシー、Silver コンピテンシーを取得済みのパートナー様は、ご提案先のお客様名など案件情報を共有していただけますと、提案中のご相談については無償で (相談時間を消費せず) ご利用いただけます。

皆様のご利用お待ちしています。
ぜひ、クラウド ビジネス相談センターをご活用ください。

— ご利用方法
クラウド ビジネス相談センターのご利用は、オンラインで承っています。

MPN ポータル、または、Partner Center からご相談いただけます。
お問い合わせ手順は、こちらの Web サイトをご覧ください。

* 本コンテンツのすべての内容は、作成日時点でのものであり、時間の経過または様々な後発事象によって変わる可能性がありますので、あらかじめご了承ください。