連載
» 2015年11月06日 05時00分 UPDATE

Microsoft Azure最新機能フォローアップ(8):クラウドでもWindowsドメイン認証とグループポリシー管理が可能になる――Azure ADドメインサービス (1/3)

マイクロソフトのクラウドサービス「Microsoft Azure」では、日々、新たな機能やサービスが提供されています。今回は、2015年10月にプレビュー提供が開始されたAzure Active Directory(Azure AD)の新機能「ドメインサービス」を紹介します。

[山市良,テクニカルライター]
「Microsoft Azure最新機能フォローアップ」のインデックス

連載目次

Azure IaaS上でActive Directoryドメインを利用するには(これまで)

 Active Directoryといえば、登場から今年で15周年を迎えたWindows標準のディレクトリおよびID管理サービスです。Microsoft Azureには、「Azure Active Directory(Azure AD)」というサービスがあります。Azure ADは、マルチテナントで提供される、クラウドのためのディレクトリおよびID管理サービスです。

 マイクロソフトのSaaS(Software as a Service)である「Office 365」や「Microsoft Intune」は、ディレクトリとID認証のためにAzure ADを利用しています。Azure ADはオンプレミスのWindows ServerのActive Directoryとディレクトリを同期することが可能であり、オンプレミスのIDを用いたOffice 365とのシングルサインオン(SSO)や、社外から社内(オンプレミス)のリソースへのアクセスを提供する際の認証に利用することができます(画面1)。さらに、さまざまなSaaSアプリケーションへのSSOアクセスを実現します。

画面1 画面1 オンプレミスのActive Directoryとディレクトリ統合されたAzure ADのディレクトリ

 Azure ADはディレクトリ統合や広範囲のSaaSアプリケーションに対応するために、SAML 2.0、WS-Federation 1.2、OAuth 2.0/OpenID Connect 1.0といった認証および承認プロトコルの標準をサポートしています。しかし、WindowsネットワークのActive Directoryドメインで使用されるKerberosやNTLM、LDAP認証にはこれまで対応していませんでした。

 Azure IaaS(Infrastructure as a Service)を利用すると、Azure仮想マシンとしてWindows Server仮想マシンを展開してAzure仮想ネットワークに接続し、クラウド上にプライベートなWindowsネットワークを構築することができます。しかし、KerberosやNTLM、LDAP認証をサポートしていないAzure ADは、このクラウド上のWindowsネットワークでActive Directoryドメイン環境を構築する目的では使用できませんでした。

 クラウド上のWindowsネットワークでActive Directoryドメイン環境を構築するには、Azure仮想マシンとして同じAzure仮想ネットワーク上に展開したWindows Server仮想マシンに「Active Directoryドメインサービス(AD DS)」の役割をインストールし、Active Directoryのドメインコントローラーとして構成する必要がありました。

 また、Azure ADとのディレクトリ統合が必要な場合は、オンプレミスの場合と全く同じように、「Azure AD Connect」でAzure ADとAzure IaaS上のActive Directoryをディレクトリ同期するように構成する必要があります。その場合、さらにWindows Serverの「Active Directoryフェデレーションサービス(AD FS)」や「Webアプリケーションプロキシ(WAP)」の役割を構成する必要もあります(図1)。

図1 図1 Azure IaaS上にActive Directoryドメイン環境を構築するイメージ。Azure ADとのディレクトリ統合の方法は、オンプレミスの場合と全く同じ

 あるいは、Azure仮想ネットワークを、オンプレミスの社内ネットワーク、VPN(仮想プライベートネットワーク)、Azureへの専用接続を提供する「Azure ExpressRoute」で相互接続し、オンプレミスの既存のActive Directoryドメインに参加させるということもできます。その場合でも、ネットワークを最適化するためにクラウド側に追加のドメインコントローラーを展開して、オンプレミスとレプリケーションすることが推奨されます。

       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。