Azure Active Directory Domain Servicesを活用したクラウドサービスのドメインサービス環境の実現!
Azure Active Directory Domain Servicesの役割と位置づけを正しく認識することによって、既存オンプレミスのADとAzure Active Directory Domain Servicesとの違いと制限事項を理解して、オンプレミスとAzureに於けるドメイン管理の方法を検討する
COLUMN
Azure Active Directoryを活用してクラウドサービスも含めたID統合環境を実現!
企業でのクラウドサービスの利用が急激に拡大しています。
Microsoft社が提供するAzureというクラウドサービスに於いて、Azure Active Directoryというサービスがあります。
みなさんは、「Active Directory」と聞けば、「知っているよ。」、「うちのWindows Server環境で使っているよ。」とお答えされるでしょう。
それでは、Azureが先頭についた「Azure Active Directory」ではどうでしょうか?
「名前も大体同じだし、そのクラウド版じゃないの」とお考えではないでしょうか。
確かに単語2つは全く同じなので、そのように考えてしまいがちですが、実は、全く違うものなのです。
Active DirectoryとAzure Active Directoryの違いは?
Azure Active Directory(以下、Azure ADと略)とは、クラウドベースのID(ディレクトリ)管理サービスになります。 Microsoft社の提供するAzureというクラウドサービスで利用することの出来る1つのサービスです。
Active Directory(以下、ADと略)と名前は非常に近いですが、こちらはオンプレミスにおけるWindows Serverを利用するためのID(ディレクトリ)管理機能となります。
似て非なるもので、これら2つのサービスと機能は、使用の目的も大きく異なっていますし、実装しているプロコトル等も全く違っています。
Active Directoryとは?
ADは、2000年に発表されたオンプレミスで稼働させるWindows 2000 Serverの目玉機能として登場してきました。今ではみなさんが利用して普通の機能になった、「ユーザー認証機能」が実装されていました。また、その機能が搭載されている事によって、「シングル・サインオン」(以下、SSOと略)が実現され、ユーザー視点では、システムス毎のログオンを都度実施することなくアプリケーションを利用できるようになりました。
これらの機能は、オンプレミスにあるWindows Serverの1つの機能として提供されていました。
では、ADをそのままクラウドサービスに利用できないのか?と考えますが、残念ながらそのままでは利用することができません。そこで、クラウドサービス用にMicrosoft社が新たに開発したのがAzure ADとなります。
Azure ADの機能
現在の情報システムは、煩雑さを極めている時代なのかもしれません。
クラウドサービスという新たな環境へ、既存の資源を全てクラウドサービス側に一気に移行できるわけでは無く、オンプレミスの環境も維持しながらクラウドサービスを取り込み、更にSaaSによるサービスにも対応しながら、情報セキュリティの高度化も実現しなければならない。情報システム管理者にとっては本当に体が幾つあっても足りないかもしれません。
クラウドサービスを適用範囲としているAzure ADの機能は、次の通りです。
- ユーザー・グループ管理:Azure ADにて認証・許可を制御するためのベースの機能
- アプリケーション管理:Azure ADで認証されたユーザーに対して特定のアプリケーションへの制御を実施します。Azure AD経由でSSOが可能なSaaSアプリケーションは、2000種類以上です。
- デバイス管理:ユーザーが実施に利用するデバイス(スマートフォンやタブレット等も含む)を登録して認可されたデバイスからアクセスだけを許可します。
- 多要素認証:ユーザーIDとパスワードだけでなく、電話やSMS、ワンタイムパスワードなど複数の認証で情報セキュリティを強化できる機能です。
- アクセスログ:認証やサービスへのアクセスをログとして記録し、不正アクセスに関するレポートも同時に確認することができます。
クラウドサービスを利用するために必要な機能が追加・拡張されたのがAzure ADになります。
ADとAzure ADの連携方法
ここでは、もう少し具体的にオンプレミスのADとクラウドサービスのAzure ADとの連携方法に関してご説明させて頂きます。
前提として以下のような状況を想定します。
- Windows7からWindows10へのパソコンの入れ替えがようやっと終わった
- MS Office製品もOffice365へと移行した。
- Azure AD OFFICE365アプリ エディションが利用できたので、とりあえずオンプレミスのAD情報を入れてみた(ADとAzure ADでのID情報は同じ)
ADとAzure ADを連携してシングル・サインオン環境を拡張
企業におけるユーザーが、社内システムだけでなくクラウドサービスを利用するようになる。その一番身近なアプリケーションは、Office365の利用ではないでしょうか。社内システムは、ADによってSSOが実現されていますが、同じ情報をAzure ADに連携できれば、クラウドサービスまでも社内システムと同じようにSSO環境を構築することが出来ます。
オンプレミスにある、ADからAzure ADへのディレクトリの同期とフェデレーションができれば、運用負担無しで、認証領域をオンプレミスからクラウドサービスまで拡張することが出来ます。
ディレクトリ同期:Azure AD Connect
Azure Active Directory Connect サーバーを設置することで、ADとAzure ADに対してユーザーやグループ情報を同期させることができます。
これだけではまた、ドメインに参加する際に、ADにログオン。クラウドサービス利用する際には、Azure ADにログオンをする必要があるので、情報は同じですが、2度のログオンが発生してしまいます。
フェデレーション:Active Directory Federation services
さらに、Active Directory Federation Servicesサーバーを設置することで、ADでの認証結果をAzure ADと連携することが出来ます。
ドメインに参加する際に、ADにログオン。クラウドサービスを利用する際には、Azure ADに対して発行済トークンを使って認証をスキップできるため、これでSSO環境が実現出来ます。
Azure ADの料金体系とエディションに関して
Azure ADの料金体系は、基本的にはユーザー単位となります。利用するユーザー数によって課金されます。
また、Azure ADには利用する内容によって次の4つのエディションがあります。
- FREE
- OFFICE365アプリ
- PREMIUM P1
- PREMIUM P2
FREEは名前の通り課金は必要なく、お試し版となっています。Azureを申し込む事によって利用する事が出来ます。
またOFFICE365アプリは、Office365に料金が含まれたエディションです。Microsoft社の推奨としては、企業での利用に関しては、PREMIUMのP1かP2を選択ください。となっておりますが、まずは一番ベーシックな所から利用できれば良い場合には、OFFICR365アプリのエディションから利用をはじめられても良いと思います。
オンプレミスADをできるだけそのままAzure上に構築(移行)する!
オンプレミスADとAzure ADは、名前こそ似ていますが実装されている機能は違う、と説明させて頂きました。
そのためまずはADの運用方法をできるだけ変更しないことを目的として、ADそのものをまずはクラウド上に“Lift”する(構築する)というステップを最初に行うことも可能です。
この構成を取る場合には次のような点に注意する必要があります。
ADサーバーの配置:ネットワーク障害による影響を最小限になるように設置する
Azureに接続するネットワークに障害が発生した場合にはAzure上のADには接続できないため、たとえばローカル側にもADを残して連携させるなどの考慮が必要です。
ストレージ構成に注意:書き込みキャッシュをオフにする(通常はオンになっている)
Azure上で作成する仮想マシンではOSディスクのキャッシュがオンになっています。このディスクにADのデータベースやSYSVOLなどを配置すると仮想マシンに障害が発生した際にデータ不整合などが起こる可能性があります。
IPアドレスを固定にする
仮想ネットワークのDNS設定に注意する
Azure上で作成する仮想マシンは既定ではAzureのDNSサーバーを参照します。既定で設定されている名前解決先を、ADの名前解決ができるDNSのIPアドレスへ変更する必要があります。
定期的なサーバー停止を行う運用では注意
仮想マシンのADサーバーはVM-GenerationIDを見ていますので、たとえば課金を削減するために夜間にサーバーを停止するような運用では、課金されないようにサーバーを停止するとVM-GenerationIDは変更されることに注意しましょう。これらのステップを経て、ADの主環境がクラウドサービス側に移行出来できた暁には、Windows10搭載デバイスであれば、Azure ADに直接参加(サインイン)することが出来ます。
しかしながら、現在でもWindows10搭載デバイスであれば、Azure ADに直接参加(サインイン)することができるなど、今後Azureを利用する場合にはクラウド側のAzure ADをメインとしたSSO環境が中心となってくると思われます。将来的にクラウドを主として利用することを検討されていて、かつ特別な事情が無い限りは、次のステップとしてAzure ADへの移行も検討しましょう。
まとめ
ADは、ユーザー認証機能を司っているために、サーバー環境の中にあっては非常に重要な役割を担っており、障害等によって停止しないように、インフラサイドでの二重化等を考慮して実装する必要がありました。
クラウドサービスに於ける、Azure ADは、PaaSサービスとなるため、インフラの設計をほとんど気にする事なくサービスを利用することが出来ますので、煩雑さを極めた時代だからこそ、任せられる所はクラウドサービスに任せて限りある人的資源の有効活用が出来るようになればと思います。
クラウド導入の社内説得前にチェックシートで
導入のポイントを確認する!
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
クラウドのわからない・
面倒でお困りのあなたへクラウドのご相談できます!
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。