次の方法で共有

セルフマネージド Active Directory Domain Services、Microsoft Entra ID、およびマネージド Microsoft Entra Domain Services を比較する

アプリケーション、サービス、またはデバイスに中央 ID へのアクセスを提供するには、Azure で Active Directory ベースのサービスを使用する 3 つの一般的な方法があります。 ID ソリューションでのこの選択により、組織のニーズに最適なディレクトリを柔軟に使用できます。 たとえば、モバイル デバイスを実行するクラウドのみのユーザーを主に管理している場合、独自の Active Directory Domain Services (AD DS) ID ソリューションを構築して実行しても意味がない場合があります。 代わりに、Microsoft Entra ID のみを使用できます。

3 つの Active Directory ベースの ID ソリューションは共通の名前とテクノロジを共有しますが、さまざまな顧客の要求を満たすサービスを提供するように設計されています。 大まかに言えば、これらの ID ソリューションと機能セットは次のとおりです。

  • Active Directory Domain Services (AD DS) - ID と認証、コンピューター オブジェクト管理、グループ ポリシー、信頼などの主要な機能を提供するエンタープライズ対応のライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバー。
  • Microsoft Entra ID - クラウドベースの ID とモバイル デバイス管理。Microsoft 365、Microsoft Entra 管理センター、SaaS アプリケーションなどのリソースのユーザー アカウントと認証サービスを提供します。
    • Microsoft Entra ID をオンプレミスの AD DS 環境と同期して、クラウドでネイティブに動作するユーザーに 1 つの ID を提供できます。
    • Microsoft Entra ID の詳細については、「Microsoft Entra ID とは」を参照してください。
  • Microsoft Entra Domain Services - ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など、完全に互換性のある従来の AD DS 機能のサブセットを持つマネージド ドメイン サービスを提供します。
    • Domain Services は Microsoft Entra ID と統合され、それ自体がオンプレミスの AD DS 環境と同期できます。 この機能により、リフトアンドシフト戦略の一環として Azure で実行される従来の Web アプリケーションに、中央 ID ユース ケースが拡張されます。
    • Microsoft Entra ID とオンプレミスとの同期の詳細については、「 マネージド ドメインでのオブジェクトと資格情報の同期方法」を参照してください。

この概要記事では、組織のニーズに応じて、これらの ID ソリューションを連携させたり、個別に使用したりする方法を比較して比較します。

開始するには、Microsoft Entra 管理センターを使用して Domain Services マネージド ドメインを作成します

Domain Services とセルフマネージド AD DS

Kerberos や NTLM などの従来の認証メカニズムにアクセスする必要があるアプリケーションとサービスがある場合、クラウドで Active Directory Domain Services を提供するには、次の 2 つの方法があります。

  • Microsoft Entra Domain Services を使用して作成する マネージド ドメイン。 Microsoft は、必要なリソースを作成および管理します。
  • 仮想マシン (VM)、Windows Server ゲスト OS、Active Directory Domain Services (AD DS) などの従来のリソースを使用して作成および構成する セルフマネージド ドメイン。 その後、これらのリソースを引き続き管理します。

Domain Services では、コア サービス コンポーネントが マネージド ドメイン エクスペリエンスとして Microsoft によってデプロイおよび保守されます。 VM、Windows Server OS、ドメイン コントローラー (DC) などのコンポーネントの AD DS インフラストラクチャの展開、管理、修正プログラムの適用、セキュリティ保護は行いません。

Domain Services では、従来のセルフマネージド AD DS 環境に対して機能のサブセットが小さくなり、設計と管理の複雑さの一部が軽減されます。 たとえば、設計と保守のための AD フォレスト、ドメイン、サイト、レプリケーション リンクはありません。 それでも Domain Services とオンプレミス環境の間にフォレストの信頼を作成することができます。

クラウドで実行され、Kerberos や NTLM などの従来の認証メカニズムにアクセスする必要があるアプリケーションとサービスの場合、Domain Services は管理オーバーヘッドを最小限に抑えてマネージド ドメイン エクスペリエンスを提供します。 詳細については、「 Domain Services のユーザー アカウント、パスワード、管理の管理の概念」を参照してください。

自己管理 AD DS 環境をデプロイして実行する場合は、関連するすべてのインフラストラクチャとディレクトリ コンポーネントを維持する必要があります。 セルフマネージド AD DS 環境では追加のメンテナンス オーバーヘッドが発生しますが、スキーマの拡張やフォレストの信頼の作成などの追加のタスクを実行できます。

クラウド内のアプリケーションとサービスに ID を提供する自己管理 AD DS 環境の一般的なデプロイ モデルには、次のようなものがあります。

  • スタンドアロンクラウド専用 AD DS - Azure VM はドメイン コントローラーとして構成され、別のクラウド専用 AD DS 環境が作成されます。 この AD DS 環境は、オンプレミスの AD DS 環境と統合されません。 クラウドでの VM のサインインと管理には、別の資格情報セットが使用されます。
  • オンプレミス ドメインを Azure に拡張する - Azure 仮想ネットワークは、VPN/ExpressRoute 接続を使用してオンプレミス ネットワークに接続します。 Azure VM はこの Azure 仮想ネットワークに接続します。これにより、オンプレミスの AD DS 環境にドメイン参加できます。
    • 別の方法として、Azure VM を作成し、オンプレミスの AD DS ドメインからレプリカ ドメイン コントローラーとして昇格させる方法があります。 これらのドメイン コントローラーは、VPN/ExpressRoute 接続を介してオンプレミスの AD DS 環境にレプリケートします。 オンプレミスの AD DS ドメインは、実質的に Azure に拡張されます。

次の表は、組織に必要な機能の一部と、マネージド ドメインと自己管理 AD DS ドメインの違いを示しています。

特徴 マネージド ドメイン セルフマネージド AD DS
マネージド サービス
セキュリティで保護されたデプロイ 管理者がデプロイをセキュリティで保護する
DNS サーバー (マネージド サービス)
ドメインまたはエンタープライズ管理者特権
ドメイン参加
NTLM と Kerberos を使用したドメイン認証
Kerberos の制約付き委任 リソースベース リソースベースとアカウントベース
カスタム OU 構造
グループ ポリシー
スキーマ拡張機能
AD ドメイン / フォレスト トラスト (エンタープライズ SKU が必要)
Secure LDAP (LDAPS)
LDAP 読み取り
LDAP 書き込み (マネージド ドメイン内)
地理的に分散されたデプロイ

Domain Services と Microsoft Entra ID

Microsoft Entra ID を使用すると、組織で使用されるデバイスの ID を管理し、それらのデバイスから企業リソースへのアクセスを制御できます。 ユーザーは、個人のデバイス (BRING Your Own (BYO) モデル) を Microsoft Entra ID に登録することもできます。この ID は、デバイスに ID を提供します。 ユーザーが Microsoft Entra ID にサインインし、デバイスを使用してセキュリティで保護されたリソースにアクセスすると、Microsoft Entra ID によってデバイスが認証されます。 デバイスは、Microsoft Intune などのモバイル デバイス管理 (MDM) ソフトウェアを使用して管理できます。 この管理機能を使用すると、機密性の高いリソースへのアクセスを管理対象デバイスとポリシー準拠デバイスに制限できます。

従来のコンピューターとノート PC も Microsoft Entra ID に参加できます。 このメカニズムには、ユーザーが会社の資格情報を使用してデバイスにサインインできるようにするなど、個人のデバイスを Microsoft Entra ID に登録するのと同じ利点があります。

Microsoft Entra 参加済みデバイスには、次の利点があります。

  • Microsoft Entra ID によってセキュリティ保護されたアプリケーションへのシングル サインオン (SSO)。
  • デバイス間でのユーザー設定のエンタープライズ ポリシー準拠ローミング。
  • 企業の資格情報を使用したビジネス向け Windows ストアへのアクセス。
  • Windows Hello for Business。
  • 会社のポリシーに準拠しているデバイスからのアプリとリソースへのアクセスを制限しました。

デバイスは、オンプレミスの AD DS 環境を含むハイブリッド展開の有無に関係なく、Microsoft Entra ID に参加できます。 次の表は、一般的なデバイス所有権モデルと、通常ドメインに参加する方法の概要を示しています。

デバイスの種類 デバイス プラットフォーム メカニズム
個人用デバイス Windows 10、iOS、Android、macOS Microsoft Entra 登録済み
オンプレミスの AD DS に参加していない組織所有のデバイス Windows 10 Microsoft Entra 参加済み
オンプレミスの AD DS に参加している組織所有のデバイス Windows 10 Microsoft Entra ハイブリッド参加済み

Microsoft Entra 参加済みまたは登録済みデバイスでは、最新の OAuth/OpenID Connect ベースのプロトコルを使用してユーザー認証が行われます。 これらのプロトコルはインターネット経由で動作するように設計されているため、ユーザーがどこからでも企業リソースにアクセスするモバイル シナリオに最適です。

Domain Services に参加しているデバイスでは、アプリケーションで認証に Kerberos プロトコルと NTLM プロトコルを使用できるため、リフトアンドシフト戦略の一環として Azure VM 上で実行するように移行されたレガシ アプリケーションをサポートできます。 次の表は、デバイスがどのように表され、ディレクトリに対して自身を認証できるかの違いを示しています。

特徴 Microsoft Entra 参加 ドメインサービスに参加済み
デバイスの制御 マイクロソフト エントラ ID ドメイン サービスの管理対象ドメイン
ディレクトリ内の表現 Microsoft Entra ディレクトリ内のデバイス オブジェクト Domain Services マネージド ドメイン内のコンピューター オブジェクト
認証 OAuth/OpenID Connect ベースのプロトコル Kerberos プロトコルと NTLM プロトコル
管理 Intune などのモバイル デバイス管理 (MDM) ソフトウェア グループ ポリシー
ネットワーキング インターネット経由で動作する マネージド ドメインがデプロイされている仮想ネットワークに接続されているか、ピアリングされている必要があります
最適な対象 エンドユーザーのモバイル デバイスまたはデスクトップ デバイス Azure にデプロイされたサーバー VM

オンプレミスの AD DS と Microsoft Entra ID が AD FS を使用したフェデレーション認証用に構成されている場合、Azure DS で使用できる (現在または有効な) パスワード ハッシュはありません。 Fed 認証が実装される前に作成された Microsoft Entra ユーザー アカウントには古いパスワード ハッシュが含まれる可能性がありますが、これはオンプレミスのパスワードのハッシュと一致しない可能性があります。 その結果、Domain Services はユーザーの資格情報を検証できません

次のステップ

Domain Services の使用を開始するには、 Microsoft Entra 管理センターを使用して Domain Services マネージド ドメインを作成します

Domain Services でのユーザー アカウント、パスワード、管理の管理の概念と、マネージド ドメインでのオブジェクトと資格情報の同期方法の詳細についても説明します。