Microsoft は、Azure クラウドでサービスとして実行される完全な Active Directory ドメイン サービスのパブリック プレビューを発表しました。
一見すると戸惑うかもしれません。MicrosoftはずっとAzure Active Directory(AD)を提供し、Office 365のID管理に活用してきたのではないでしょうか?
確かにその通りですが、これまでAzure ADはオンプレミスで稼働するActive Directoryの機能をフルに提供していませんでした。例えば、Azure仮想マシン(VM)をAzure ADドメインに参加させたり、Azure ADユーザーにファイル権限を設定したりすることはできませんでした。
Azure AD Domain Services にサインアップし、サポート対象リージョン(現在は米国またはアジア)にお住まいであれば、今すぐご利用いただけます。このサブスクリプションは、最大 5,000 オブジェクトまで 1 時間あたり 0.05 ドル(月額約 37.20 ドル)、最大 25,000 オブジェクトまで 1 時間あたり 0.20 ドル(月額約 148.80 ドル)、最大 100,000 オブジェクトまで 1 時間あたり 0.40 ドル(月額約 297.60 ドル)でご利用いただけます。
「オブジェクト」とは、ユーザー、グループ、またはドメインに参加しているコンピューターを指します。Microsoft は「サポートされるユーザーワークロードの概算」を最大オブジェクト数の約 25% と示しており、最下位層では最大約 1,250 ユーザーまでサポートされます。
この新サービスは重要な機能です。その理由の一つは、ADがSQL ServerやWindows Server自体といったMicrosoftのサーバー製品に深く組み込まれている点です。これまで、Azureで稼働するサーバーでADを利用するには、VPNを使用してAzure VMをオンプレミスのADにドメイン参加させるか、Azure VM上でADコントローラーを実行する必要がありました。
これらのソリューションはAzureの導入全体にとって非常に重要になるため、ADコンポーネントだけでなく、実行中の他のアプリケーションの復元力とバックアップについても検討する必要があります。ホスト型Azure ADを利用すると、よりシンプルで、一般的にコストも抑えられます。
Azure AD ドメインはオンプレミスのドメインとは別ですが、ユーザーが同じ資格情報を使用して両方にサインインできるように同期できます。
Azure AD Domain Services は Azure Virtual Network と連携しています。Domain Services をセットアップする際には、適用先の仮想ネットワークを指定する必要があります。セットアップ後、AD Domain Services 用の 2 つの IP アドレスが付与され、これらを仮想ネットワークの DNS サーバーとして使用できます。これにより、同じネットワーク上の他のサーバーをドメインに参加させることができます。
既存のユーザーは、Azure AD の認証に使用する資格情報ハッシュを作成するために、パスワードをリセットする必要があります。ユーザーがオンプレミスの AD と同期されている場合は、同じ理由で完全なパスワード同期が必要です。
プログラムマネジメントディレクターのアレックス・シモンズ氏は次のように述べています。「これは私たちのチームにとって非常に大きなマイルストーンです。長年の取り組みを経て、Azure AD は Windows Server AD のスーパーセットという段階に到達しました。」
グループ ポリシーがサポートされているため、Azure VM の構成を集中的に管理できます。
Azure AD ドメイン サービスの構成
Windows 10 では、ユーザーは Azure AD 資格情報を使用してログオンできるため、Office 365 との統合が簡素化されます。ただし、このようなマシンはドメインに参加しておらず、管理モデルは MDM (モバイル デバイス管理) に近いものとなっています。
もう1つの違いは、Windows 10 PCがAzure ADと同じネットワーク上にないことです。Microsoftは現在、外部PCで実行できる機能の強化よりも、Azure上のサーバーアプリケーションに重点を置いているようです。
Azure AD ドメイン サービスの存在により、アプリケーションを Microsoft のクラウドに移行する企業にとって問題が簡素化されますが、ヨーロッパではプレビューが利用できないのは不便です。®
