今日からはじめるディレクトリ連携

Windows を利用している企業の多くは Active Directory （オンプレミスAD）によるアカウント管理とログオン認証を運用していると思います。一方で、Microsoft 365 におけるアカウント管理やサインイン認証は Azure Active Directory （Azure AD）が使われています。どちらも組織のアカウントを管理するディレクトリサービスであり、名前も似ていて紛らわしいですが、完全に別のものです。

mstep「Microsoft 365 Enterprise セキュリティ基礎と応用（AAD編）」より抜粋

そのため、オンプレミスの社内システムとクラウドサービスの Microsoft 365 で、IDとパスワードを別々に管理している企業が少なくありません。本記事では、オンプレミスAD のアカウント情報を Azure AD に同期させることで、IDとパスワードを一元管理できる「ディレクトリ同期」についてご紹介します。

オンプレミスAD と Azure AD の違い

本題に入る前に、オンプレミスAD とAzure AD の違いを確認しておきましょう。代表的な違いは以下の3つです。詳細比較はこちら

違い 1 ： 管理対象と認証のプロトコル

• オンプレミス AD
  社内ネットワークの ID を管理（社内ネットワークにおける認証）
  Kerberos、NTLM

• Azure AD
  インターネットのIDを管理（クラウドサービスにおける認証）
  OpenID Connect、OAuth 2.0、SAML 2.0、WS-Federation

違い 2 ： ドメインの概念と構成

• オンプレミス AD
  ドメインおよびフォレストの信頼関係を通じて、複数のドメインまたはフォレスト間でセキュリティが提供される　フォレストの信頼関係のしくみ

• Azure AD
  1組織 1テナントであり、テナント間の信頼関係はない

mstep「Microsoft 365 Enterprise セキュリティ基礎と応用（AAD編）」より抜粋

違い 3 ： デバイスの管理方法

• オンプレミス AD
  グループポリシー（GPO）によるオンプレミスのデバイス管理
  ex. 複雑なパスワードを強制、USBデバイスの使用制限など

• Azure AD
  Azure AD と Intune によるクラウドのデバイス管理
  Windows 以外のOSも管理可能（macOS、iOS、Andoroid）　

ハイブリッド ID を実現する Azure AD Connect 

マイクロソフト社の ID ソリューションでは、オンプレミスやクラウドなどの場所に関係なく、リソースに対する認証と承認のための共通ユーザー ID を作成できます。 これをハイブリッド ID と呼んでいます。ハイブリッドID とは

Azure AD Connect は、ハイブリッド ID を実現するために設計されたオンプレミスの Microsoft アプリケーションです。Azure AD‎ Connect を使用して、オンプレミス AD のアカウント情報をクラウド内の ‎Azure AD‎ と同期、1つの ID・パスワードでオンプレミスとクラウド両方にアクセスできます。
Azure AD  Connet とは

ディレクトリ同期

選べる認証方式

Azure AD‎ Connect の設定は、既存環境や運用要件に応じて以下の3つの認証方式から選択できます。

• パスワードハッシュ同期
  ユーザーのオンプレミス AD パスワードのハッシュを Azure AD と同期させるサインイン方法です。

• パススルー認証
  ユーザーがオンプレミスとクラウド内で同じパスワードを使用できるようにするサインイン方法です。

• フェデレーション (AD FS)
  オンプレミスの Active Directory フェデレーション サービス (AD FS) と Azure AD でフェデレーションを構成できます。

各方式の詳細と考慮事項はこちら

どの認証方式が良いのか？

導入コストや構築期間の観点から言うと、最も簡単なのは パスワードハッシュ同期 であり、当社の導入実績でもこの方式がいちばん多いです。パスワードハッシュ同期は、Azure AD にパスワード情報を同期して Microsoft 365 のサインインは Azure AD側で認証するため、万が一、オンプレミス AD と連携が取れない場合でも問題なくサインインを行うことができます。
パススルー認証にした場合、Microosft 365 でサインインすると認証用エージェントを介して オンプレミス AD 側で認証を行います。そのため、オンプレミス AD と連携が取れなくなると Azure AD 側の認証も行うことができません。※マイクロソフト社は高可用性の確保のために、テナントで少なくとも 3 つの認証エージェントの実行 を推奨しています。

実行結果の確認

Microsoft 365 管理センターで確認できます。ユーザー>アクティブなユーザーで [同期の状態] という列にアイコンが表示されていますが、サーバーアイコンになっている行はディレクトリ同期で作成されたユーザー情報です。

ディレクトリ同期の状態を表示する

Microsoft 365 管理センターのホーム画面で「ユーザーの管理」というカードを追加すると、Azure AD Connect の最新の同期結果を確認できます。

「ユーザーの管理」カードを追加した状態

おわりに

オンプレミス ADを利用している企業が Microsoft 365 を導入する場合、ユーザーのIDとパスワードは（手動で作成するのではなく） Azure AD Connect によるディレクトリ同期で作成することを強くお勧めします。もちろん当社テナントでもディレクトリ同期を設定しています！

必要性は理解しているが自力では難しい…という場合は、当社でもお手伝いができるのでお気軽にご相談ください！