次の方法で共有

Azure で Active Directory Domain Service リソース フォレストを作成する

Microsoft Entra ID
Microsoft Entra
Azure ExpressRoute
Azure Virtual Network
Azure VPN Gateway

この参照アーキテクチャでは、オンプレミスの Active Directory フォレスト内のドメインによって信頼される別の Active Directory ドメインを Azure に作成する方法を示します。

Architecture

別の Active Directory ドメインを持つセキュリティで保護されたハイブリッド ネットワーク アーキテクチャを示す図。

このアーキテクチャの Visio ファイルをダウンロードします。

Components

  • オンプレミス ネットワークには、 独自の Active Directory フォレストとドメインが含まれています。

  • Active Directory サーバー は、クラウド内の仮想マシン (VM) として実行されるドメイン サービスを実装するドメイン コントローラーです。 これらのサーバーは、オンプレミスにあるドメインとは異なる 1 つ以上のドメインを持つフォレストをホストします。

  • 一方向の信頼関係 により、オンプレミスのユーザーは Azure のドメイン内のリソースにアクセスできます。 ただし、Azure ドメインに属しているユーザーは、オンプレミス ドメイン内のリソースにアクセスできません。 図の例は、Azure のドメインからオンプレミス ドメインへの一方向の信頼を示しています。

  • Active Directory サブネットは、Active Directory Domain Services (AD DS) サーバーをホストする個別のネットワーク セグメントです。 ネットワーク セキュリティ グループの規則は、これらのサーバーを保護し、予期しないソースからのトラフィックに対してファイアウォールを提供します。

  • Azure gateway provides a connection between the on-premises network and the Azure virtual network. This type of connection can be a VPN connection or Azure ExpressRoute. 詳細については、「 PowerShell を使用して ExpressRoute とサイト間の共存接続を構成する」を参照してください。

Scenario details

AD DS は、ID 情報を階層構造に格納します。 The top node in the hierarchical structure is known as a forest. フォレストにはドメインが含まれており、ドメインには他の種類のオブジェクトが含まれています。 この参照アーキテクチャでは、オンプレミス ドメインとの一方向の送信信頼関係を持つ AD DS フォレストが Azure に作成されます。 Azure のフォレストには、オンプレミスに存在しないドメインが含まれています。 信頼関係があるため、オンプレミス ドメインに対して行われたログオンは、別の Azure ドメイン内のリソースにアクセスするために信頼できます。

考えられるユース ケース

このアーキテクチャの一般的な用途には、クラウドに保持されているオブジェクトと ID のセキュリティ分離の維持が含まれます。 また、オンプレミスからクラウドへの個々のドメインの移行も含まれます。

詳細については、「 オンプレミスの Active Directory ドメインと Microsoft Entra ID の統合」を参照してください。

Recommendations

次の推奨事項は、ほとんどのシナリオに適用できます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。

Azure で Active Directory を実装する方法に関する具体的な推奨事項については、「Azure 仮想ネットワークに AD DS をデプロイする」を参照してください。

Trust

オンプレミス ドメインは、クラウド内のドメインとは異なるフォレスト内に含まれています。 クラウド内のオンプレミス ユーザーの認証を有効にするには、Azure のドメインがオンプレミス フォレスト内のログオン ドメインを信頼する必要があります。 同様に、クラウドが外部ユーザーにログオン ドメインを提供する場合、オンプレミス フォレストがクラウド ドメインを信頼することが必要になる場合があります。

フォレスト レベルで信頼を確立するには、フォレストの 信頼を作成 するか、外部信頼を作成してドメイン レベルで 確立します。 フォレスト レベルの信頼により、2 つのフォレスト内のすべてのドメイン間にリレーションシップが作成されます。 外部ドメイン レベルの信頼では、指定された 2 つのドメイン間にのみリレーションシップが作成されます。 外部ドメイン レベルの信頼は、異なるフォレスト内のドメイン間でのみ作成する必要があります。

Trusts with an on-premises Active Directory are only one way, or unidirectional. 一方向の信頼により、受信ドメインまたはフォレストと呼ばれる 1 つのドメインまたはフォレスト内のユーザーは、送信ドメインまたはフォレストと呼ばれる別のドメインまたはフォレスト内のリソースにアクセスできます。 送信ドメインのユーザーは、受信ドメイン内のリソースにアクセスできません。

次の表は、単純なシナリオの信頼構成をまとめたものです。

Scenario On-premises trust Cloud trust
オンプレミス ユーザーはクラウド内のリソースにアクセスする必要がありますが、クラウド ユーザーはオンプレミス環境のリソースにアクセスする必要はありません。 One-way, incoming One-way, outgoing
クラウドのユーザーはオンプレミスにあるリソースにアクセスする必要がありますが、オンプレミス環境のユーザーはクラウド内のリソースにアクセスする必要はありません。 One-way, outgoing One-way, incoming

Considerations

これらの考慮事項では、Azure Well-Architected Framework の柱を実装します。これは、ワークロードの品質を向上させるために使用できる一連の基本原則です。 For more information, see Well-Architected Framework.

Reliability

信頼性は、アプリケーションが顧客に対して行ったコミットメントを確実に満たすことができるのに役立ちます。 詳細については、「信頼性 設計レビューチェックリスト」を参照してください。

ドメインごとに少なくとも 2 つのドメイン コントローラーをプロビジョニングします。 この方法により、サーバー間の自動レプリケーションが可能になります。 各ドメインを処理する Active Directory サーバーとして機能する VM の可用性セットを作成します。 この可用性セットには、少なくとも 2 つのサーバーを配置します。

柔軟な単一マスター操作ロールとして機能するサーバーへの接続が失敗した場合は、各ドメイン内の 1 つ以上のサーバーを スタンバイ 操作マスターとして指定することを検討してください。

セキュリティ

セキュリティでは、重要なデータやシステムへの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティ 設計レビューチェックリスト」を参照してください。

フォレスト レベルの信頼は推移的です。 オンプレミスのフォレストとクラウド内のフォレストの間にフォレスト レベルの信頼を確立した場合、信頼は、いずれかのフォレストに作成された新しいドメインまで拡張されます。 セキュリティ上の目的でドメインを使用して分離を提供する場合は、ドメイン レベルでのみ信頼を作成することを検討してください。 ドメイン レベルの信頼は推移的ではない。

Active Directory 固有のセキュリティに関する考慮事項については、「 Azure 仮想ネットワークに AD DS をデプロイする」の「セキュリティに関する考慮事項」セクションを参照してください。

Cost Optimization

コストの最適化では、不要な経費を削減し、運用効率を向上させる方法に重点を置いています。 詳細については、「コストの最適化 設計レビューチェックリスト」を参照してください。

Azure 料金計算ツールを使用して、このアーキテクチャで使用されるサービスのコストを見積もります。

Microsoft Entra Domain Services

コストを削減するために複数のワークロードが消費する共有サービスとして Microsoft Entra Domain Services をデプロイすることを検討してください。 詳細については、「 自己管理 Active Directory Domain Services、Microsoft Entra ID、およびマネージド Microsoft Entra Domain Services を比較する」を参照してください。

Azure VPN Gateway

このアーキテクチャの主要なコンポーネントは、VPN ゲートウェイ サービスです。 ゲートウェイがプロビジョニングされ使用可能な時間に基づいて課金されます。

すべての受信トラフィックは無料で、すべての送信トラフィックに課金されます。 インターネット帯域幅のコストは、VPN 送信トラフィックに適用されます。

詳細については、「 VPN Gateway の価格」を参照してください。

Operational Excellence

オペレーショナル エクセレンスは、アプリケーションをデプロイし、運用環境で実行し続ける運用プロセスを対象としています。 詳細については、「オペレーショナル エクセレンス 設計レビュー チェックリスト」を参照してください。

DevOps

For DevOps considerations, see Operational Excellence.

Manageability

管理と監視に関する考慮事項の詳細については、「 Azure 仮想ネットワークに AD DS をデプロイする」を参照してください。

Active Directory の監視のガイダンスに従います。 管理サブネットの監視サーバーに Microsoft System Center などのツールをインストールして、これらのタスクを実行できます。

Performance Efficiency

パフォーマンス効率とは、ユーザーの要求を効率的に満たすためにスケーリングするワークロードの能力を指します。 詳細については、「パフォーマンス効率 設計レビュー チェックリスト」を参照してください。

Active Directory は、同じドメインの一部であるドメイン コントローラーに対して自動的にスケーラブルです。 要求は、ドメイン内のすべてのコントローラーに分散されます。 別のドメイン コントローラーを追加すると、ドメインと自動的に同期されます。 ドメイン内のコントローラーにトラフィックを転送するように個別のロード バランサーを構成しないでください。 すべてのドメイン コントローラーに、ドメイン データベースを処理するための十分なメモリとストレージ リソースがあることを確認します。 すべてのドメイン コントローラー VM のサイズを同じにします。