Microsoft Entra Domain Services とは

Microsoft Entra Domain Services には、ドメイン参加、グループ ポリシー、Lightweight Directory Access Protocol (LDAP)、Kerberos および NTLM 認証などのマネージド ドメイン サービスが用意されています。 クラウドでドメイン コントローラー (DC) のデプロイ、管理、修正プログラムの適用を行わなくても、これらのドメイン サービスを使用することができます。

Domain Services マネージド ドメインを使用すると、最新の認証方法を使用できないレガシ アプリケーションをクラウドで実行できます。また、ディレクトリ検索のたびにオンプレミスの AD DS 環境に戻る必要もなくなります。 クラウドで AD DS 環境を管理することなく、オンプレミス環境からマネージド ドメインに、これらのレガシ アプリケーションをリフト アンド シフトすることができます。

Domain Services は、既存の Microsoft Entra テナントと統合されます。 この統合により、ユーザーは既存の資格情報を使用して、マネージド ドメインに接続されているサービスおよびアプリケーションにサインインできます。 また、既存のグループとユーザー アカウントを使用して、リソースへのアクセスをセキュリティで保護することもできます。 これらの機能により、オンプレミスのリソースを Azure にスムーズなリフトアンドシフトすることができます。

作業を開始するには、Microsoft Entra 管理センターを使用して Domain Services マネージド ドメインを作成します

Domain Services の詳細については、こちらのショート ビデオをご覧ください。

Domain Services のしくみ

Domain Services マネージド ドメインを作成する場合、一意の名前空間を定義します。 この名前空間は、ドメイン名 (aaddscontoso.com など) です。 2 つの Windows Server ドメイン コントローラー (DC) が、選択した Azure リージョンにデプロイされます。 この DC のデプロイは、レプリカ セットと呼ばれます。

これらの DC の管理、構成、更新を自分で行う必要はありません。 Azure プラットフォームでは、バックアップや Azure Disk Encryption を使用した保存時の暗号化を含め、マネージド ドメインの一部としてDCを処理します。

マネージド ドメインは、Microsoft Entra ID からの一方向の同期を実行して、集中管理された一連のユーザー、グループ、および資格情報へのアクセスを提供するように構成されます。 リソースは、マネージド ドメイン内で直接作成できますが、Microsoft Entra ID に同期されません。 マネージド ドメインに接続される Azure 内のアプリケーション、サービス、および VM は、共通の AD DS 機能 (ドメイン参加、グループ ポリシー、LDAP、Kerberos または NTLM 認証など) を使用することができます。

オンプレミスの AD DS 環境とのハイブリッド環境では、Microsoft Entra Connect により、ID 情報が Microsoft Entra と同期された後、マネージド ドメインと同期されます。

Domain Services では、ID 情報が Microsoft Entra ID からレプリケートされるため、クラウド専用の Microsoft Entra テナント、またはオンプレミスの AD DS 環境と同期される Microsoft Entra テナントとも連携します。 両方の環境に同じ Domain Services 機能セットが存在します。

• オンプレミスの AD DS 環境を既に使用している場合は、ユーザー アカウント情報を同期させて、ユーザーに一貫性のある ID を提供できます。 詳細については、マネージド ドメイン内でのオブジェクトと資格情報の同期のしくみに関するページを参照してください。
• クラウド専用の環境では、従来のオンプレミスの AD DS 環境を必要とすることなく、Domain Services で提供される ID の集中管理サービスを利用できます。

マネージド ドメインを拡張して、Microsoft Entra テナントごとに複数のレプリカ セットを使用できます。 レプリカ セットは、Domain Services がサポートされている任意の Azure リージョンの、ピアリングされた任意の仮想ネットワークに追加できます。 異なる Azure リージョンにレプリカ セットを追加すると、1 つの Azure リージョンがオフラインになった場合に、レガシ アプリケーションの地理的なディザスター リカバリーを提供できます。 詳細については、マネージド ドメインのレプリカ セットの概念と機能に関するページを参照してください。

Domain Services がアプリケーションやワークロードとの統合を通じて、クラウドで ID サービスを提供する方法について説明した次のビデオをご覧ください。

実際の Domain Services のデプロイ シナリオを確認するには、次の例を参照してください。

• ハイブリッド組織向けの Domain Services
• クラウドのみの組織向けの Domain Services

Domain Services の機能と利点

クラウド内のアプリケーションおよび VM に ID サービスを提供するために、Domain Services は従来の AD DS 環境と完全に互換性があり、ドメイン参加、Secure LDAP (LDAPS)、グループ ポリシー、DNS 管理、LDAP バインドおよび読み取りのサポートなどの運用サービスが提供されます。 LDAP 書き込みのサポートは、マネージド ドメインで作成されたオブジェクトには利用できますが、Microsoft Entra ID から同期されたリソースには利用できません。

ID オプションの詳細については、Domain Services と、Microsoft Entra ID、Azure VM 上の AD DS、およびオンプレミスの AD DS との比較に関するページを参照してください。

Domain Services の次の機能により、デプロイと管理の操作が簡略化されます。

• 簡略化されたデプロイ エクスペリエンス: Microsoft Entra 管理センターの単一のウィザードだけを使用して、Domain Services を Microsoft Entra テナントに対して有効にすることができます。
• Microsoft Entra ID との統合: ユーザー アカウント、グループ メンバーシップ、資格情報は自動的に Microsoft Entra テナントから使用できるようになります。 Microsoft Entra テナントまたはオンプレミスの AD DS 環境で新規作成されたユーザーおよびグループ、または変更が加えられた属性は、Domain Services に自動的に同期されます。
  • Microsoft Entra ID にリンクされている外部ディレクトリ内のアカウントは、Domain Services では使用できません。 資格情報はこれらの外部ディレクトリでは使用できないため、マネージド ドメインには同期できません。
• 会社の資格情報またはパスワードの使用: Domain Services 内のユーザーのパスワードは、Microsoft Entra テナント内のものと同じです。 ユーザーは、会社の資格情報を使用してコンピューターをドメインに参加させたり、対話的にまたはリモート デスクトップ経由でサインインしたり、マネージド ドメインに対して認証したりできます。
• NTLM と Kerberos の認証: NTLM と Kerberos の認証がサポートされているので、Windows 統合認証を利用するアプリケーションをデプロイできます。
• 高可用性: Domain Services には、複数のドメイン コントローラーが含まれるため、マネージド ドメインの高可用性が実現されます。 この高可用性により、サービスの稼働時間と障害に対する復元性が保証されます。
  • Azure Availability Zones をサポートするリージョンでは、回復性を高めるため、これらのドメイン コントローラは複数のゾーンにも分散されます。
  • レプリカ セットを使用することで、1 つの Azure リージョンがオフラインになった場合に、レガシ アプリケーションの地理的なディザスター リカバリーが実現されます。

マネージド ドメインの重要な特徴の一部を以下に示します。

• このマネージド ドメインは、スタンドアロンのドメインです。 オンプレミスのドメインの拡張機能ではありません。
  • 必要に応じて、Domain Services からオンプレミスの AD DS 環境への一方向の送信フォレストの信頼を作成できます。 詳細については、Domain Services のフォレストの概念と機能に関する記事を参照してください。
• IT チームが、このマネージド ドメインのドメイン コントローラーに対して管理、修正プログラムの適用、監視を行う必要はありません。

オンプレミスで AD DS を実行するハイブリッド環境では、マネージド ドメインへの AD レプリケーションを管理する必要はありません。 オンプレミスのディレクトリからのユーザー アカウント、グループ メンバーシップ、および資格情報は、Microsoft Entra Connect を介して Microsoft Entra ID に同期されます。 これらのユーザー アカウント、グループ メンバーシップ、および資格情報は、このマネージド ドメイン内で自動的に利用できるようになります。

次のステップ

Domain Services と他の ID ソリューションとの比較、および同期のしくみの詳細については、次の記事を参照してください。

• Domain Services と、Microsoft Entra ID、Azure VM 上の Active Directory Domain Services、およびオンプレミスの Active Directory Domain Services との比較
• Microsoft Entra Domain Services と Microsoft Entra ディレクトリを同期する方法
• マネージド ドメインの管理方法については、Domain Services でのユーザー アカウント、パスワード、および管理の概念に関するページを参照してください。

作業を開始するには、Microsoft Entra 管理センターを使用してマネージド ドメインを作成します。