※この記事は2018年8月12日に書きました
Azureをこれから学ぶ人向け
Azureや普段ADを触る機会が少ないけど仕事等でちょっと理解を進めたいって人向けの
記述メモです
Azure Active Directoryについて
基本的な機能
- Azure上でのディレクトリサービス機能
- 組織のユーザ、デバイス、アプリケーションなどをAzure ADに登録して管理できる
- Azure ADにサインインして他のリソースにシングルサインオンして操作負荷が軽減
- 業務で利用するクラウドアプリ(office365/Facebook/Salesforce)へのアクセス制御も管理できる
- Microsoft Active Directory Domain Services (ADDC)とは全く違う
- グループポリシーなんかでユーザやコンピュータへポリシーを配布するなどできない
- 組織単位(OU)を作って組織管理などはできない
- あくまでInternetやWebを介するサービスに対する認証/認可のサービス=Azure ADである
- 最近の働く環境やリソースがクラウドにあがっていくことでAzure ADは活躍の期待が大
On-premiseのActive Diretoryと何が違うの?
全く非なるもの
皆様がよく触っているMicrosoftの心臓部であるActive Directory Domain Service(AD DS)
とAzure Active Directoryは機能が違うものです(共通点もあります)
もしかすると今後は機能移行されるのかもしれませんが2018年時点では違うものとして取り扱われています
-
共通な機能ってなに? (AD DCとAAD)
- 組織のユーザアカウントを管理できる機能
- Windows10以降のデバイスの参加先(認証)になれる機能
- PowerShellでAD DCもAADもリモートで管理できる機能
-
非共通な機能ってなに?
- そもそもの利用するときの目的が違う
- AD DCはオンプレのアカウントやリソースに対する認証基盤
- AADはWebを介するクラウドサービスのアカウントやリソースの認証基盤
- プロトコル
- AD DCはKerberosプロトコルで認証と認可を行いLDAPでディレクトリアクセス
- 参考 https://wa3.i-3-i.info/word15909.html
- AADはインターネットで利用するのでSAMLやWS-Federation、OpenID Connect等で認証と認可し、Rest-baseのAzure AD Graph APIを使用する
- 参考 https://docs.microsoft.com/ja-jp/azure/active-directory/develop/active-directory-authentication-protocols
- ドメイン構成が違う
- AD DCはDC(ドメコン)をWindows Serverの上にデプロイする
- 1つの組織(OU)において1つのフォレストをその組織をイメージする名前で構成
- フォレストを作ると1つのドメインが作られます、必要に応じてマルチにしたり信頼関係を作ったり
- AADはクラウドなのでDCをデプロイしなくてよい
- AzureやO365を契約するだけで利用可能になる
- マルチテナントになっていて1つの組織が1つのテナントを利用する
- デバイス管理方法が違う
- AD DCはGPOでアプリ起動禁止やパスワード強制など管理ルールをつくる
- AADはIntuneというものと連携させてIntuneに登録したデバイスに会社ルールを適用させる
- そもそもの利用するときの目的が違う
今日はここまで、この記事は2018年8月12日に書きました