ドメイン コントローラーの機能の多くはクラウドに移行できますが、Active Directory を使用するほとんどの組織では、Azure Active Directory 経由でユーザーがクラウド リソース (OneDrive や Microsoft 365 など) にアクセスでき、さらにオンプレミスのファイル共有、プリンター、およびローカル資格情報を必要とするアプリケーションにもアクセスできるハイブリッド インフラストラクチャが必要です。
長年にわたり、Microsoft はハイブリッド ID を管理し、クラウドとオンプレミスのユーザーとグループを同期するための複数のツールを提供してきました。
参照: TechRepublic のハイブリッド クラウド チート シートをご覧ください。
Forefront Identity Managerの後継であるMicrosoft Identity Managerは2029年1月9日までサポートされますが、Azure ADコネクタは非推奨となります。Azure AD Multi-Factor Authentication Serverも非推奨となり、2024年9月30日以降はMFAリクエストの処理を停止します。これらのツールをまだご利用の場合は、新しいオプションに移行する必要があります。
ジャンプ先:
- Azure AD Connect とその制限
- クラウド同期はクラウド向けのAzure AD Connectの代替となることを目指している
- Azure AD Connect とクラウド同期の選択
Azure AD Connect とその制限
Azure AD Connect は、ユーザー、グループ、その他のディレクトリオブジェクトを Azure AD に同期するための従来の DirSync および Azure AD Sync オプションに代わるものです。以下の機能をサポートします。
- パスワード ハッシュの同期:各ユーザーの AD パスワードのハッシュを Azure AD に同期します。
- パススルー認証:ユーザーを Azure AD に送信してサインインさせ、AD に対して検証することで、フェデレーションを設定しなくてもクラウドとローカル リソースで同じパスワードを使用できるようになります。
- Active Directory フェデレーション サービスの使用。
ただし、Azure AD Connect では、ネットワーク上にサーバーをセットアップして維持する必要があり、それを実行するための要件の一部はすべての組織に適合するわけではありません。特に、複数の AD「フォレスト」がある場合、Azure AD の操作が複雑になります。
「これを使うには、接続されたフォレスト内にいる必要があり、データベースをインストールしておく必要があります」と、マイクロソフトのアイデンティティチームのディレクター、ジョセフ・ダジー氏は述べた。「管理と展開にはコストがかかります。」
「AD Connect Sync の導入と維持にかかるコスト、そして分断されたフォレストやM&Aを計画している組織における機能のギャップについて、多くのお客様からフィードバックをいただくようになりました。そこで、簡素化する方法を模索し始めました。」
クラウド同期はクラウド向けのAzure AD Connectの代替となることを目指している
その結果、Azure AD Connect クラウド同期が誕生しました。これは、切断された複数の AD フォレストの ID を単一の Azure AD テナントに取り込むツールとして始まりました。
依然としてその機能はありますが、AD Connect の軽量な代替手段となっています。AD Connect ほど多くの機能は備えていませんが、セットアップがはるかに速く、必要なリソースも少なくなっています。これは、クラウド同期によって構成の大部分がクラウドに移行されるため、プロビジョニングエージェントのみが必要となるためです。
「AD Connectを見ると、ほぼすべての設定がオンプレミス環境で行われ、ローカルサーバーに保存されていることがわかります」とDadzie氏は言います。「クラウド同期に関しては、設定をクラウドベースに切り替え、顧客の環境に非常に軽量なエージェントを配置することで、簡単に導入できるようにするという考え方です。」
「約 10 メガバイトを占有するため、複数のものを連携させて高可用性ソリューションを実現できます。これは、完全な Connect 同期機能を備えている場合は実現が難しくなります。」
この高可用性は、Microsoft が推奨するパスワード ハッシュ同期を使用している場合に特に役立ちます。
クラウド同期の未来
クラウド同期は最大 50,000 人のメンバーを持つグループを処理できますが、AD Connect 同期で実行できるすべての機能をまだカバーしているわけではないと Dadzie 氏は語りました。
「ADの属性を大幅にカスタマイズした上で、オンプレミスのExchangeをまだ使い続けている場合、機能に多少の差異が残ります」とDadzie氏は述べた。「長期的には、完全な代替を目指していますが、まだそこまでには至っていません。」
現在、LDAPディレクトリに接続できず、デバイスオブジェクトもサポートされていません。サポート対象はユーザー、グループ、連絡先のみです。高度なカスタマイズやフィルタリングオプションは利用できません。また、クラウド同期はExchangeハイブリッドライトバックに対応していないため、Exchangeハイブリッド移行には使用できません。
フェデレーションはサポートされていますが、少なくとも切断されたフォレストではAzure AD Domain Servicesやパススルー認証はサポートされていません。Dadzie氏によると、これはAD Connectチームが取り組んでいる機能であり、セキュリティグループのライトバックも開発中です。
「過去 1 年間で、セルフサービスのパスワード ライトバック シナリオを追加しました」と Dadzie 氏は語ります。
デバイス ライトバックも開発中です。「ほぼすべての導入は、オンプレミスのユーザーの一部をクラウドに移行することから始まります」とダジー氏は指摘します。Azure AS と Windows Hello For Business の両方に「Cloud Kerberos trust」というサービスがあり、それぞれ異なる機能を果たすため、少し混乱しますが、Microsoft によると、今後は名称とドキュメントがより明確になる予定です。
クラウド同期チームは、書き戻しの代替手段も検討しています。
「オンプレミスのアプリがあり、そのアプリにアクセスする必要があるクラウドユーザーがいる場合、オンプレミスのADにアカウントがなくても、そのユーザーにアクセスを許可するにはどうすればよいでしょうか」とダジー氏は述べた。「私たちはその点について検討しています。ユーザー認証情報の一部を取得できるようにシークレットを一部公開し、ユーザーオブジェクトをオンプレミスに持たなくてもユーザーがオンプレミスにアクセスできるようにする方法はないでしょうか?」
まだ初期段階ですが、クラウド同期機能は定期的に更新されます。
「四半期から半年ごとにアップデートを行い、新機能を追加しています」とダジー氏は述べた。「私たちの使命は、AD Connect Sync の完全版を使い続けたいと思う理由を少しずつ解消していくことです。クラウド同期への機能追加を継続し、最終的には AD Connect Sync を置き換えることを目指していますが、まだそこまでには至っていません。」
Azure AD Connect とクラウド同期の選択
AD Connect 同期機能が必要な場合は、クラウド同期に移行する必要性はありませんが、クラウド同期が既に優れた選択肢であり、要求も少ないシナリオもいくつかあります。
「それほど複雑ではない組織やオブジェクトの数が少ない組織に適しています。ディレクトリ内のオブジェクト数が 15 万個未満であれば、クラウド同期を使い始める方が簡単です」と Dadzie 氏は言います。
Microsoft 365 管理センターには、適切な ID 同期オプションの選択手順を案内するウィザードと、Azure AD Connect 同期からクラウド同期に移行する場合のステップバイステップの移行ガイドがあります。
移行の複雑さは、AD環境の複雑さによって異なります。「環境が複雑であればあるほど、段階的なアプローチが有効です」とDazie氏は述べています。しかし、ニーズがそれほど複雑ではなく、ハイブリッドIDから始める場合は、シンプルさを重視してクラウド同期から始めることを提案しています(図A)。
図A
実際、クラウド同期の大きな魅力は、使い始めるのがはるかに簡単になるように設計されていることです。
「Connect Syncでは、スキーママッピングをすべて自分で行う必要がありますが、Cloud Syncでは自動検出を試みるため、あちこち探し回る必要がなく、簡単に設定できます」とDadzie氏は述べた。「Cloud Syncで目指しているのは、非常に簡単に設定できるようにすることで、お客様がこれらの点について深く考える必要がないようにすることです。」
