
AWS入門 初心者が覚えておくべきAWSの基本
Azure ADDSは、Azure ADの情報を元にドメインコントローラーをPaaSとして提供しているサービスです。混同されがちなものとして、(主にオンプレミスで利用されている)Active Directory(以下、ADといいます。)とAzure Active Directory(以下、Azure ADといいます。)がありますが、この2つの違いについては「Azure Active Directoryを活用してクラウドサービスも含めたID統合環境を実現!」のコラムを参照下さい。
本コラムで解説する、Azure Active Directory Domain Services(以下、Azure ADDSといいます。)もまた従来のADで提供されていたドメインコントローラー機能との違いがあり、利用においては注意が必要です。
Azure ADDSは、一言で表すのであれば、Azure ADの情報を元にドメインコントローラーをPaaSとして提供しているサービスです。
オンプレミス環境では主に、サーバーハードウェアを設置し、Windows ServerをインストールしてADが利用されてきました。Active Directoryには、大きく2つの機能があり、一つはID・グループ管理機能であり、もう一つはドメイン管理機能です。
Azureのクラウド環境では、サーバーが仮想マシンとなり、ADの機能はPaaS(Platform as a Service)の2つのサービスとして提供されるようになりました。Azure AD=ID統合管理サービスとAzure ADDS=ドメインサービスです。
Azure ADDSは、Azure ADのユーザー情報を利用して、Azure ADDSのドメインユーザーとして利用します。Azure ADで作成されたユーザーは、Azur ADDSに同期され、Azure ADDS上のドメインユーザーとして利用することができ、ドメインに参加した仮想マシンにドメインユーザーで接続できるのです。
しかし、Azure ADDSには次のような制約事項もあります。
これらの権限が必要な場合には、Azure ADDSの利用はできません。同レベルのアカウントとして、Azure AD DC Administratorsを利用する必要があります。
パスワードポリシーなどは変更ができません。よって、既存のADでパスワードポリシーを変更している場合には、Azure ADDSのパスワードポリシーに合わせる必要があります。
信頼関係、スキーマ拡張、機能レベルの変更ができません。これらの要件が必要な場合には、Azure ADDSが利用できないため、Azure IaaS上にWindows Serverを構築してADDSの役割を追加する構成をとる必要があります。
ADとAzure ADDSとのユーザー情報の連携においては、次のような制限があります。
Azure ADDSはクラウドサービスのために作られたものであり、オンプレミスのような環境での利用ではなく、クラウドサービスのようなオープンな環境で利用するためのものであることに、利用する側も意識を切り替えて活用していく必要があると思います。
Azure ADDSの料金体系としては、以下のように3つのエディションがあり、基本的には利用する規模によって、サブスクリプション(月額定額)が定められています。
これらのサービスにおいて、特筆すべきは、PaaSとしてのフルマネージドサービスであることです。
たとえばオンプレミスのAD設計においては、可用性を高めるために、ADの複数拠点への分散配置が検討されます。
Azure ADDSのインスタンスは、2つのドメインコントローラーから構成され、さらに2つのアベイラビリティゾーン(リージョンで利用可能な場合)に分散配置されており、高可用性が実現されています。
Azure上で作成した仮想マシンをドメインに参加させたい場合、主には以下のようなパターンが考えられます。
Azure ADDSはWindows ServerのActive Directoryのレプリカ(複製)ではなく、その機能は大きく異なることを理解しましょう。Azure ADDSに関する留意事項は次の通りです。
上記のなかでも、ADのセカンダリーにできないというのは特に留意すべき点になります。採用されている接続プロコトルや認証機能が違うためです。
Azure ADDSはフルマネージドサービスであり、管理者の管理負荷の観点から魅力的なサービスです。オンプレミスのADでは、職人のようにコツコツと設定を構築する必要がありましたが、AzureではPaaSで提供されているので、Azureメニューから本サービスを選択し、オンプレミスの時よりも少ないステップで構築が完了できます。また、PaaSのフルマネージドサービスでありOSのレイヤ以下の管理は不要です。
クラウドを活用した情報システムにおいて、ID管理やドメイン管理は重要です。自社システムの要件と照らし合わせて最適なものを選択しましょう。
クラウド導入の社内説得前にチェックシートで
導入のポイントを確認する!