Microsoft Entra Domain Services について確認する
AD DS に依存するワークロードを Azure にデプロイする必要があるけれども、Azure Virtual Machines でホストされる Active Directory ドメイン コントローラーのデプロイと管理に関連するオーバーヘッドを最小限に抑えたい場合は、代わりに Microsoft Entra Domain Services を実装することを検討する必要があります。 Microsoft Entra Domain Services は、Microsoft が管理する AD DS サービスであり、グループ ポリシー、ドメイン参加、Kerberos、NTLM、LDAP といったプロトコルのサポートなど、Active Directory の標準機能を提供します。
このサービスは、新しい単一ドメイン フォレストの 2 つの Active Directory ドメイン コントローラーで構成されます。 このサービスをプロビジョニングすると、Azure プラットフォームは、指定した Azure 仮想ネットワークにこれらの 2 つのドメイン コントローラーを自動的にデプロイします。 また、管理された AD DS は、そのユーザーとグループを、仮想ネットワークをホストしている Azure サブスクリプションに関連付けられた Microsoft Entra テナントから自動的に同期します。 実質的に、Microsoft Entra Domain Services ドメインには、Microsoft Entra のそれに対応するものと同じユーザーとグループが含まれます。 これにより、次の機能が提供されます。
- Azure Virtual Machines が同じ仮想ネットワークまたはそれに接続されている別の仮想ネットワーク上に存在する場合は、マネージド AD DS ドメインに参加させることができます。
- Microsoft Entra のユーザーは、既存の資格情報を使って、これらの Azure Virtual Machines にサインインできます。
同じ Microsoft Entra テナントと同期するオンプレミスの AD DS ドメインがある場合、オンプレミスの AD DS ユーザーは、自分の既存の資格情報を使って Microsoft Entra Domain Services ドメインにサインインできます。
ただし、このシナリオでのオンプレミスの Active Directory ドメインは、Microsoft Entra Domain Services が実装する Active Directory ドメインとは切り離されています。 2 つの Active Directory ドメインは、異なるドメイン名と、ユーザー、グループ、コンピューター オブジェクトの個別のセットを持っています。ただし、Microsoft Entra Connect 同期のスコープ内のユーザー オブジェクトとグループ オブジェクトには、一致する属性があります。
Microsoft Entra Domain Services では、オンプレミスの AD DS と同じプロトコルのセットがサポートされています。 Microsoft Entra Domain Services では、追加のドメイン コントローラーをデプロイして維持したり、オンプレミスのインフラストラクチャとの接続を確立したりすることなく、AD DS に依存するアプリケーションを Azure Virtual Machines に移行できます。
AD DS と Microsoft Entra Domain Services にはいくつかの重要な違いがあります。 たとえば、Microsoft Entra Domain Services では、ユーザーは信頼関係を作成したり、スキーマを拡張したりできません。 ユーザー オブジェクトとグループ オブジェクトは、それらの所属元に応じて、オンプレミスまたは対応する Microsoft Entra テナントで、管理される必要がある場合があります。 グループ ポリシーのサポートは、以前に作成された 2 つのグループ ポリシー オブジェクト (1 つはコンピューターの設定を含み、もう 1 つはユーザー設定を含む) のみを持つように制限されます。 また、Microsoft Entra Domain Services に対して LDAP バインドと LDAP 読み取りを実行することはできますが、LDAP 書き込みはサポートされていません。