Microsoft Entra Domain Services には、ドメイン参加、グループ ポリシー、Lightweight Directory Access Protocol (LDAP)、Kerberos および NTLM 認証などのマネージド ドメイン サービスが用意されています。 クラウドでドメイン コントローラー (DC) のデプロイ、管理、修正プログラムの適用を行わなくても、これらのドメイン サービスを使用することができます。
Domain Services マネージド ドメインを使用すると、最新の認証方法を使用できない、またはディレクトリ参照を常にオンプレミスの AD DS 環境に戻したくないレガシ アプリケーションをクラウドで実行できます。 クラウドで AD DS 環境を管理することなく、オンプレミス環境からマネージド ドメインに、これらのレガシ アプリケーションをリフト アンド シフトすることができます。
Domain Services は、既存の Microsoft Entra テナントと統合されます。 この統合により、ユーザーは既存の資格情報を使用して、マネージド ドメインに接続されているサービスとアプリケーションにサインインできます。 また、既存のグループとユーザー アカウントを使用して、リソースへのアクセスをセキュリティで保護することもできます。 これらの機能により、オンプレミスのリソースを Azure にスムーズなリフトアンドシフトすることができます。
Domain Services の詳細については、短いビデオをご覧ください。
Domain Services のしくみ
Domain Services マネージド ドメインを作成するときは、一意の名前空間を定義します。 この名前空間は、 aaddscontoso.com などのドメイン名です。 その後、選択した Azure リージョンに 2 つの Windows Server ドメイン コントローラー (DC) がデプロイされます。 この DC のデプロイは、レプリカ セットと呼ばれます。
これらの DC の管理、構成、更新を自分で行う必要はありません。 Azure プラットフォームでは、バックアップや Azure Disk Encryption を使用した保存時の暗号化を含め、マネージド ドメインの一部としてDCを処理します。
マネージド ドメインは、Microsoft Entra ID からの一方向の同期を実行して、一元的なユーザー、グループ、および資格情報のセットへのアクセスを提供するように構成されます。 リソースは、マネージド ドメイン内で直接作成できますが、Microsoft Entra ID に同期されません。 マネージド ドメインに接続する Azure のアプリケーション、サービス、VM では、ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証などの一般的な AD DS 機能を使用できます。
オンプレミスの AD DS 環境を使用するハイブリッド環境では、 Microsoft Entra Connect によって ID 情報が Microsoft Entra ID と同期され、マネージド ドメインに同期されます。
Domain Services は Microsoft Entra ID から ID 情報をレプリケートするため、クラウド専用またはオンプレミスの AD DS 環境と同期される Microsoft Entra テナントと連携します。 両方の環境に同じ Domain Services 機能のセットが存在します。
- 既存のオンプレミス AD DS 環境がある場合は、ユーザー アカウント情報を同期して、ユーザーに一貫性のある ID を提供できます。 詳細については、「 マネージド ドメインでのオブジェクトと資格情報の同期方法」を参照してください。
- クラウドのみの環境では、Domain Services の一元化された ID サービスを使用するために従来のオンプレミス AD DS 環境は必要ありません。
マネージド ドメインを拡張して、Microsoft Entra テナントごとに複数のレプリカ セットを設定できます。 レプリカ セットは、Domain Services がサポートされている任意の Azure リージョンの、ピアリングされた任意の仮想ネットワークに追加できます。 異なる Azure リージョンにレプリカ セットを追加することで、Azure リージョンがオフラインになった場合に、レガシ アプリケーションに地理的なディザスター リカバリーを提供できます。 詳細については、 マネージド ドメインのレプリカ セットの概念と機能に関する説明を参照してください。
Domain Services をアプリケーションやワークロードと統合してクラウドで ID サービスを提供する方法については、次のビデオをご覧ください。
Domain Services の展開シナリオの動作を確認するには、次の例を参照してください。
Domain Services の機能と利点
クラウド内のアプリケーションと VM に ID サービスを提供するために、Domain Services は、ドメイン参加、Secure LDAP (LDAPS)、グループ ポリシー、DNS 管理、LDAP バインドと読み取りサポートなどの操作に対して、従来の AD DS 環境と完全に互換性があります。 LDAP 書き込みサポートは、マネージド ドメインで作成されたオブジェクトに対しては使用できますが、Microsoft Entra ID から同期されるリソースは使用できません。
ID オプションの詳細については、 Domain Services と Microsoft Entra ID、Azure VM 上の AD DS、オンプレミスの AD DS を比較します。
Domain Services の次の機能により、展開と管理の操作が簡略化されます。
- デプロイ エクスペリエンスの簡略化: Domain Services は、Microsoft Entra 管理センターの 1 つのウィザードを使用して、Microsoft Entra テナントに対して有効になります。
-
Microsoft Entra ID と統合: ユーザー アカウント、グループ メンバーシップ、および資格情報は、Microsoft Entra テナントから自動的に使用できます。 Microsoft Entra テナントまたはオンプレミスの AD DS 環境からの属性に対する新しいユーザー、グループ、または変更は、Domain Services に自動的に同期されます。
- Microsoft Entra ID にリンクされている外部ディレクトリのアカウントは、Domain Services では使用できません。 これらの外部ディレクトリでは資格情報を使用できないため、マネージド ドメインに同期することはできません。
- 会社の資格情報/パスワードを使用します。 Domain Services のユーザーのパスワードは、Microsoft Entra テナントのパスワードと同じです。 ユーザーは、会社の資格情報を使用して、コンピューターのドメイン参加、対話形式またはリモート デスクトップ経由でのサインイン、マネージド ドメインに対する認証を行うことができます。
- NTLM および Kerberos 認証: NTLM および Kerberos 認証のサポートにより、Windows 統合認証に依存するアプリケーションを展開できます。
-
高可用性: Domain Services には、マネージド ドメインの高可用性を提供する複数のドメイン コントローラーが含まれています。 この高可用性により、サービスのアップタイムと障害に対する回復性が保証されます。
- Azure Availability Zones をサポートするリージョンでは、これらのドメイン コントローラーもゾーン間で分散され、回復性が向上します。
- レプリカ セット を使用して、Azure リージョンがオフラインになった場合に、レガシ アプリケーションの地理的なディザスター リカバリーを提供することもできます。
マネージド ドメインの主な側面には、次のようなものがあります。
- マネージド ドメインはスタンドアロン ドメインです。 オンプレミス ドメインの拡張機能ではありません。
- 必要に応じて、Domain Services からオンプレミスの AD DS 環境に向けた一方向のフォレスト トラストを設定できます。 詳細については、「 Domain Services のフォレストの概念と機能」を参照してください。
- IT チームは、このマネージド ドメインのドメイン コントローラーの管理、修正プログラムの適用、監視を行う必要はありません。
オンプレミスで AD DS を実行するハイブリッド環境では、マネージド ドメインへの AD レプリケーションを管理する必要はありません。 オンプレミス ディレクトリのユーザー アカウント、グループ メンバーシップ、および資格情報は、 Microsoft Entra Connect 経由で Microsoft Entra ID に同期されます。 これらのユーザー アカウント、グループ メンバーシップ、および資格情報は、マネージド ドメイン内で自動的に使用できます。
次のステップ
Domain Services と他の ID ソリューションの比較と同期のしくみの詳細については、次の記事を参照してください。