クラウド優先のアプローチを実装する

これは主に、Active Directory に新しい依存関係を追加し、ITソリューションの新しい需要に対するクラウド ファーストのアプローチを実装することを停止または可能な限り制限するためのプロセスとポリシー主導のフェーズです。

この時点で、Active Directory に新しい依存関係を追加することにつながる内部プロセスを特定することが重要です。 たとえば、ほとんどの組織には、新しいシナリオ/機能/ソリューションの実装前に従う必要がある変更管理プロセスがあります。 これらの変更承認プロセスが、以下を行うように更新されることを強くお勧めします。

• 提案された変更によって Active Directory に新しい依存関係が追加されるかどうかを評価する手順を含める。
• 可能であれば、Microsoft Entra の代替手段の評価を要求する。

ユーザーおよびグループ

Microsoft Entra ID のユーザー属性を充実させて、より多くのユーザー属性を含めることができます。 リッチ ユーザー属性を必要とする一般的なシナリオの例を次に示します。

• アプリのプロビジョニング: アプリ プロビジョニングのデータ ソースは Microsoft Entra ID であり、必要なユーザー属性がそこに存在する必要があります。

• アプリケーションの認可: Microsoft Entra ID で発行されたトークンには、ユーザー属性から生成された要求を含めることができるため、アプリケーションはトークン内の要求に基づいて認可の決定を行うことができます。 また、 カスタム クレーム プロバイダーを介して外部データ ソースから取得される属性を含めることもできます。

• グループ メンバーシップの取得とメンテナンス: 動的グループを使用すると、部門情報などのユーザー属性に基づいてグループ メンバーシップを動的に作成できます。

次の 2 つのリンクは、スキーマの変更に関するガイダンスを提供します。

• Microsoft Entra スキーマとカスタム式について

• Microsoft Entra Connect によって同期される属性

これらのリンクは、このトピックに関する詳細情報を提供しますが、スキーマの変更に固有のものではありません:

• 要求での Microsoft Entra スキーマ拡張属性の使用 - Microsoft ID プラットフォーム

• Microsoft Entra ID のカスタム セキュリティ属性とは (プレビュー)

• アプリケーション プロビジョニングで Microsoft Entra 属性マッピングをカスタマイズする

• Microsoft Entra アプリにオプションの要求を提供する - Microsoft ID プラットフォーム

グループの詳細については、次のリンクを参照してください。

• Microsoft Entra ID で動的グループを作成または編集し、状態を取得する

• ユーザーが開始するグループ管理にセルフサービス グループを使用する

• スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニングまたは Microsoft Entra エンタイトルメント管理とは (アプリケーション アクセスの場合)

• グループの比較

• Microsoft Entra ID でゲスト アクセス許可を制限する

自分とチームは、この段階でクラウド専用アカウントを使用するように現在の従業員のプロビジョニングを変更せざるを得ないと思うかもしれません。 作業は簡単ではありませんが、十分なビジネス価値が提供されるわけではありません。 この移行は、変換の別のフェーズで計画することをお勧めします。

デバイス

クライアント ワークステーションは、従来、Active Directory に参加し、グループ ポリシー オブジェクト (GPO) または Microsoft Configuration Manager などのデバイス管理ソリューション経由で管理されます。 チームは、新しく展開されたワークステーションが今後ドメインに参加しないようにするための新しいポリシーとプロセスを確立します。 重要なポイントは次のとおりです。

• 新しい Windows クライアント ワークステーションに対して Microsoft Entra 参加を強制して、"ドメインへの参加をこれ以上しない" ようにします。

• Intune などの統合エンドポイント管理 (UEM) ソリューションを使用して、クラウドからワークステーションを管理します。

Windows オートパイロットによって、合理化されたオンボードとデバイス プロビジョニングを確立することを支援することができ。これにより、これらのディレクティブを適用できます。

Windows ローカル管理者パスワード ソリューション (LAPS) を使用すると、クラウド優先のソリューションでローカル管理者アカウントのパスワードを管理できます。

詳細については、「クラウドネイティブ エンドポイントの詳細」を参照してください。

アプリケーション

従来、アプリケーション サーバーでは、Windows 統合認証 (Kerberos または NTLM)、LDAP を介したディレクトリ クエリ、GPO または Microsoft Configuration Manager を通じたサーバー管理を利用できるように、オンプレミスの Active Directory ドメインに参加していることがよくあります。

新しいサービス、アプリ、インフラストラクチャを検討するとき、組織には Microsoft Entra の代替手段を評価するプロセスがあります。 アプリケーションに対するクラウド優先アプローチのディレクティブは、次のようになります。 (最新の代替手段が存在しない場合、新しいオンプレミス アプリケーションまたはレガシ アプリケーションは、まれな例外である必要があります)。

• 調達ポリシーとアプリケーション開発ポリシーを変更して、最新のプロトコル (OIDC/OAuth2 および SAML) を要求し、Microsoft Entra ID を使って認証するための推奨事項を提供します。 新しいアプリは、Microsoft Entra アプリ プロビジョニングもサポートし、LDAP クエリに依存しない必要があります。 例外には、明示的な確認と承認が必要です。

  重要

  従来のプロトコルを必要とするアプリケーションの予想される需要に応じて、より新しい代替手段が機能しない場合に Microsoft Entra Domain Services をデプロイすることを選択できます。

• クラウド ネイティブの代替手段の使用に優先順位を付けるポリシーを作成するための推奨事項を提供します。 ポリシーでは、ドメインへの新しいアプリケーション サーバーのデプロイを制限する必要があります。 Active Directory に参加しているサーバーを置き換える一般的なクラウド ネイティブ シナリオは次のとおりです。

  • ファイル サーバー :

    • SharePoint または OneDrive は、Microsoft 365 ソリューション全体のコラボレーション サポートと、組み込みのガバナンス、リスク、セキュリティ、コンプライアンスを提供します。

    • Azure Files はクラウドで、業界標準の SMB プロトコルか NFS プロトコルを介してアクセスできる、フル マネージドのファイル共有を提供します。 お客様は、ドメイン コントローラーへの通信経路なしで Azure Files へのネイティブの Microsoft Entra 認証をインターネット経由で使用できます。

    • Microsoft Entra ID は、Microsoft アプリケーション ギャラリー内のサード パーティ製アプリケーションで動作します

  • プリント サーバー:

    • ユニバーサル印刷互換プリンターの調達が組織で義務付けられている場合は、パートナー統合に関するページを参照してください。

    • 互換性のないプリンタ用のユニバーサル印刷コネクタ付きブリッジ。

次の手順

• はじめに
• クラウドへの変換体制
• Microsoft Entra フットプリントを確立する
• クラウドへの移行