COLUMN

Azure Active Directory Domain Servicesを活用したクラウドサービスのドメインサービス環境の実現！

Azure ADDSは、Azure ADの情報を元にドメインコントローラーをPaaSとして提供しているサービスです。混同されがちなものとして、(主にオンプレミスで利用されている)Active Directory（以下、ADといいます。）とAzure Active Directory（以下、Azure ADといいます。）がありますが、この2つの違いについては「Azure Active Directoryを活用してクラウドサービスも含めたID統合環境を実現！」のコラムを参照下さい。
本コラムで解説する、Azure Active Directory Domain Services（以下、Azure ADDSといいます。）もまた従来のADで提供されていたドメインコントローラー機能との違いがあり、利用においては注意が必要です。

Azure Active Directory Domain Servicesとは？

Azure ADDSは、一言で表すのであれば、Azure ADの情報を元にドメインコントローラーをPaaSとして提供しているサービスです。

ADドメインコントローラーとAzure AD＋Azure ADDSの違いは？

オンプレミス環境では主に、サーバーハードウェアを設置し、Windows ServerをインストールしてADが利用されてきました。Active Directoryには、大きく２つの機能があり、一つはID・グループ管理機能であり、もう一つはドメイン管理機能です。

Azureのクラウド環境では、サーバーが仮想マシンとなり、ADの機能はPaaS(Platform as a Service)の２つのサービスとして提供されるようになりました。Azure AD=ID統合管理サービスとAzure ADDS=ドメインサービスです。

Azure ADDSの仕組みと制約事項

• 仮想マシンのドメイン参加
• ドメインユーザーの認証
• グループポリシーの利用（GPO）

Azure ADDSは、Azure ADのユーザー情報を利用して、Azure ADDSのドメインユーザーとして利用します。Azure ADで作成されたユーザーは、Azur ADDSに同期され、Azure ADDS上のドメインユーザーとして利用することができ、ドメインに参加した仮想マシンにドメインユーザーで接続できるのです。

しかし、Azure ADDSには次のような制約事項もあります。

Domain Admins / Enterprise Adminsがない

これらの権限が必要な場合には、Azure ADDSの利用はできません。同レベルのアカウントとして、Azure AD DC Administratorsを利用する必要があります。

DefaultのDomain Policyを変更できない

パスワードポリシーなどは変更ができません。よって、既存のADでパスワードポリシーを変更している場合には、Azure ADDSのパスワードポリシーに合わせる必要があります。

フォレストに対する管理、変更ができない

信頼関係、スキーマ拡張、機能レベルの変更ができません。これらの要件が必要な場合には、Azure ADDSが利用できないため、Azure IaaS上にWindows Serverを構築してADDSの役割を追加する構成をとる必要があります。

ユーザー情報の同期に関する制限事項

ADとAzure ADDSとのユーザー情報の連携においては、次のような制限があります。

• 仮想マシンのドメイン参加
• ドメインユーザーの認証
  ●ユーザー、グループ、パスワード、SID
• こちらの情報は同期の対象外認証
  ●グループポリシー、コンピューターオブジェクト、組織情報(OU)

Azure ADDSはクラウドサービスのために作られたものであり、オンプレミスのような環境での利用ではなく、クラウドサービスのようなオープンな環境で利用するためのものであることに、利用する側も意識を切り替えて活用していく必要があると思います。

Azure ADDSの料金体系とエディションに関して

Azure ADDSの料金体系としては、以下のように３つのエディションがあり、基本的には利用する規模によって、サブスクリプション（月額定額）が定められています。

• STANDARD
• ENTERPRISE
• PREMIUM

これらのサービスにおいて、特筆すべきは、PaaSとしてのフルマネージドサービスであることです。
たとえばオンプレミスのAD設計においては、可用性を高めるために、ADの複数拠点への分散配置が検討されます。
Azure ADDSのインスタンスは、２つのドメインコントローラーから構成され、さらに２つのアベイラビリティゾーン（リージョンで利用可能な場合）に分散配置されており、高可用性が実現されています。

Azure上の仮想マシンをドメインに参加させるシナリオ

Azure上で作成した仮想マシンをドメインに参加させたい場合、主には以下のようなパターンが考えられます。

オンプレミスのADにVPNや通信事業者の回線等のネットワーク経由で接続する

• Azureとオンプレミス間をネットワークサービスで接続して、Azure上の仮想マシンをオンプレミスのドメインに参加させる
• オンプレミス環境のADを利用するため、ハードウエアやOS等のメンテナンスは従来通り行う必要がある

ADをIaaSの仮想マシン上に構築する

• AzureのIaaS上にWindows Serverを構築して、Azure ADDSの役割を追加して、Azure上の仮想マシンをドメイン参加させる
• ハードウエア、ミドルウエアのメンテアンスは不要になる。仮想マシンやOSのメンテナンスは引き続き必要

Azure ADDSを利用する

• PaaSで提供されているAzure ADDSで作成したドメインにAzure上の仮想マシンを参加させる
• フルマネージドサービスのため、OSの管理も不要となる

Azure ADDS利用の留意事項

Azure ADDSはWindows ServerのActive Directoryのレプリカ（複製）ではなく、その機能は大きく異なることを理解しましょう。Azure ADDSに関する留意事項は次の通りです。

• １つのAzure ADDSで作成できるドメインは、１つだけ
• Azure ADDS設置用の専用サブネットが必要
• ディレクトリ（テナント）毎に、１つのAzure ADDSを作成可能
• Azure ADDSを作成するには、全体管理者権限が必要
• Office365認証用には利用できない（Office365はAzure ADを利用）
• IaaSで構築したADをAzure ADDSのセカンダリーとして追加できない
• ADのセカンダリーとしてAzure ADDSを追加することはできない
• スキーマ拡張に未対応
• Azure ADDS作成前に存在していたユーザーは、パスワードの変更が必要
• Azure ADDSからADに対しての信頼環境の設定は可能

上記のなかでも、ADのセカンダリーにできないというのは特に留意すべき点になります。採用されている接続プロコトルや認証機能が違うためです。

まとめ

Azure ADDSはフルマネージドサービスであり、管理者の管理負荷の観点から魅力的なサービスです。オンプレミスのADでは、職人のようにコツコツと設定を構築する必要がありましたが、AzureではPaaSで提供されているので、Azureメニューから本サービスを選択し、オンプレミスの時よりも少ないステップで構築が完了できます。また、PaaSのフルマネージドサービスでありOSのレイヤ以下の管理は不要です。

クラウドを活用した情報システムにおいて、ID管理やドメイン管理は重要です。自社システムの要件と照らし合わせて最適なものを選択しましょう。