クラウドでもWindowsドメイン認証とグループポリシー管理が可能になる――Azure ADドメインサービス:Microsoft Azure最新機能フォローアップ(8)(1/3 ページ)
マイクロソフトのクラウドサービス「Microsoft Azure」では、日々、新たな機能やサービスが提供されています。今回は、2015年10月にプレビュー提供が開始されたAzure Active Directory(Azure AD)の新機能「ドメインサービス」を紹介します。
Azure IaaS上でActive Directoryドメインを利用するには(これまで)
Active Directoryといえば、登場から今年で15周年を迎えたWindows標準のディレクトリおよびID管理サービスです。Microsoft Azureには、「Azure Active Directory(Azure AD)」というサービスがあります。Azure ADは、マルチテナントで提供される、クラウドのためのディレクトリおよびID管理サービスです。
マイクロソフトのSaaS(Software as a Service)である「Office 365」や「Microsoft Intune」は、ディレクトリとID認証のためにAzure ADを利用しています。Azure ADはオンプレミスのWindows ServerのActive Directoryとディレクトリを同期することが可能であり、オンプレミスのIDを用いたOffice 365とのシングルサインオン(SSO)や、社外から社内(オンプレミス)のリソースへのアクセスを提供する際の認証に利用することができます(画面1)。さらに、さまざまなSaaSアプリケーションへのSSOアクセスを実現します。
Azure ADはディレクトリ統合や広範囲のSaaSアプリケーションに対応するために、SAML 2.0、WS-Federation 1.2、OAuth 2.0/OpenID Connect 1.0といった認証および承認プロトコルの標準をサポートしています。しかし、WindowsネットワークのActive Directoryドメインで使用されるKerberosやNTLM、LDAP認証にはこれまで対応していませんでした。
Azure IaaS(Infrastructure as a Service)を利用すると、Azure仮想マシンとしてWindows Server仮想マシンを展開してAzure仮想ネットワークに接続し、クラウド上にプライベートなWindowsネットワークを構築することができます。しかし、KerberosやNTLM、LDAP認証をサポートしていないAzure ADは、このクラウド上のWindowsネットワークでActive Directoryドメイン環境を構築する目的では使用できませんでした。
クラウド上のWindowsネットワークでActive Directoryドメイン環境を構築するには、Azure仮想マシンとして同じAzure仮想ネットワーク上に展開したWindows Server仮想マシンに「Active Directoryドメインサービス(AD DS)」の役割をインストールし、Active Directoryのドメインコントローラーとして構成する必要がありました。
また、Azure ADとのディレクトリ統合が必要な場合は、オンプレミスの場合と全く同じように、「Azure AD Connect」でAzure ADとAzure IaaS上のActive Directoryをディレクトリ同期するように構成する必要があります。その場合、さらにWindows Serverの「Active Directoryフェデレーションサービス(AD FS)」や「Webアプリケーションプロキシ(WAP)」の役割を構成する必要もあります(図1)。
あるいは、Azure仮想ネットワークを、オンプレミスの社内ネットワーク、VPN(仮想プライベートネットワーク)、Azureへの専用接続を提供する「Azure ExpressRoute」で相互接続し、オンプレミスの既存のActive Directoryドメインに参加させるということもできます。その場合でも、ネットワークを最適化するためにクラウド側に追加のドメインコントローラーを展開して、オンプレミスとレプリケーションすることが推奨されます。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。