Posted at

Azure Active Directory 入門まとめ

More than 1 year has passed since last update.

※この記事は2018年8月12日に書きました


Azureをこれから学ぶ人向け

Azureや普段ADを触る機会が少ないけど仕事等でちょっと理解を進めたいって人向けの

記述メモです


Azure Active Directoryについて


基本的な機能


  • Azure上でのディレクトリサービス機能


    • 組織のユーザ、デバイス、アプリケーションなどをAzure ADに登録して管理できる

    • Azure ADにサインインして他のリソースにシングルサインオンして操作負荷が軽減

    • 業務で利用するクラウドアプリ(office365/Facebook/Salesforce)へのアクセス制御も管理できる



  • Microsoft Active Directory Domain Services (ADDC)とは全く違う


    • グループポリシーなんかでユーザやコンピュータへポリシーを配布するなどできない

    • 組織単位(OU)を作って組織管理などはできない



  • あくまでInternetやWebを介するサービスに対する認証/認可のサービス=Azure ADである


    • 最近の働く環境やリソースがクラウドにあがっていくことでAzure ADは活躍の期待が大




On-premiseのActive Diretoryと何が違うの?


全く非なるもの

皆様がよく触っているMicrosoftの心臓部であるActive Directory Domain Service(AD DS)

とAzure Active Directoryは機能が違うものです(共通点もあります)

もしかすると今後は機能移行されるのかもしれませんが2018年時点では違うものとして取り扱われています



  • 共通な機能ってなに? (AD DCとAAD)


    • 組織のユーザアカウントを管理できる機能

    • Windows10以降のデバイスの参加先(認証)になれる機能

    • PowerShellでAD DCもAADもリモートで管理できる機能




  • 非共通な機能ってなに?


    • そもそもの利用するときの目的が違う


      • AD DCはオンプレのアカウントやリソースに対する認証基盤

      • AADはWebを介するクラウドサービスのアカウントやリソースの認証基盤



    • プロトコル



    • ドメイン構成が違う


      • AD DCはDC(ドメコン)をWindows Serverの上にデプロイする

      • 1つの組織(OU)において1つのフォレストをその組織をイメージする名前で構成

      • フォレストを作ると1つのドメインが作られます、必要に応じてマルチにしたり信頼関係を作ったり

      • AADはクラウドなのでDCをデプロイしなくてよい

      • AzureやO365を契約するだけで利用可能になる

      • マルチテナントになっていて1つの組織が1つのテナントを利用する



    • デバイス管理方法が違う


      • AD DCはGPOでアプリ起動禁止やパスワード強制など管理ルールをつくる

      • AADはIntuneというものと連携させてIntuneに登録したデバイスに会社ルールを適用させる





今日はここまで、この記事は2018年8月12日に書きました