Microsoft Entra ID と Active Directory Domain Services を比較する

  • 2 分

Microsoft Entra ID は、単に AD DS のクラウドベース版と思うかもしれません。しかし、Microsoft Entra ID と AD DS には共通する特性がいくつかありますが、それらの間にはいくつかの大きな違いがあります。

AD DS の特性

AD DS は、物理サーバーまたは仮想サーバーへの Windows Server ベースの Active Directory の従来のデプロイです。 AD DS は通常、主要なディレクトリ サービスと見なされますが、それは、Windows Active Directory スイートのテクノロジの 1 つのコンポーネントにすぎません。それには、Active Directory 証明書サービス (AD CS)、Active Directory ライトウェイト ディレクトリ サービス (AD LDS)、Active Directory フェデレーション サービス (AD FS) (AD FS)、Active Directory Rights Management サービス (AD RMS) も含まれます。

AD DS と Microsoft Entra ID を比較するときは、AD DS の次の特徴に注意することが重要です。

  • AD DS は、X.500 ベースの階層構造を持つ真のディレクトリ サービスです。
  • AD DS では、ドメイン コントローラーなどのリソースを検索するためにドメイン ネーム システム (DNS) が使われます。
  • ライトウェイト ディレクトリ アクセス プロトコル (LDAP) の呼び出しを使って、AD DS のクエリと管理を行うことができます。
  • AD DS では、認証に Kerberos プロトコルが主に使われます。
  • AD DS では、管理に OU と GPO が使われます。
  • AD DS には、Active Directory ドメインに参加しているコンピューターを表すコンピューター オブジェクトが含まれます。
  • AD DS では、委任された管理のためにドメイン間の信頼が使われます。

Azure 仮想マシンに AD DS をデプロイして、オンプレミスの AD DS のスケーラビリティと可用性を実現できます。 ただし、AD DS を Azure 仮想マシンにデプロイしても、Microsoft Entra ID は使われません。

Note

AD DS を Azure 仮想マシンにデプロイする場合は、AD DS のストレージにドライブ C を使ってはならないので、Azure データ ディスクを 1 つ以上追加する必要があります。 これらのディスクは、AD DS データベース、ログ、sysvol フォルダーを格納するために必要です。 これらのディスクについては、[ホスト キャッシュ設定] を [なし] に設定する必要があります。

Microsoft Entra ID の特性

Microsoft Entra ID は多くの点で AD DS に似ていますが、違いも数多くあります。 Microsoft Entra を使うことは、Azure 仮想マシンに Active Directory ドメイン コントローラーをデプロイし、それをオンプレミス ドメインに追加するのと同じではありません。これを理解することが重要です。

Microsoft Entra ID を AD DS と比較するときに、Microsoft Entra ID の次の特性に注意することが重要です。

  • Microsoft Entra ID は基本的に ID ソリューションであり、HTTP (ポート 80) および HTTPS (ポート 443) 通信を使用してインターネットベースのアプリケーション向けに設計されています。
  • Microsoft Entra ID はマルチテナント ディレクトリ サービスです。
  • Microsoft Entra のユーザーとグループはフラットな構造で作成され、OU や GPO は存在しません。
  • LDAP を使用して Microsoft Entra ID のクエリを実行することはできません。代わりに、Microsoft Entra ID では、HTTP および HTTPS 経由で REST API を使用します。
  • Microsoft Entra ID では、Kerberos 認証は使われません。代わりに、SAML、WS-Federation、OpenID Connect などの HTTP および HTTPS プロトコルを認証に使い、OAuth を認可に使います。
  • Microsoft Entra ID にはフェデレーション サービスが含まれており、Facebook などの多くのサードパーティのサービスが Microsoft Entra ID とフェデレーションされ、Microsoft Entra ID を信頼します。