Azure上でのディレクトリサービス「Azure AD Domain Services」

Active Directory Domain Service, Azure, Azure Active Directory /
Azure上でのディレクトリサービスを提供する「Azure AD Domain Services(AAD DS)」ですが、少しわかりにくいサービスなので、オンプレのActive Directory Domain Services(AD DS)との違いを中心に簡単にご説明させていただきます。

Active Directory Domain Services (AD DS) と Azure AD Domain Services は、異なるサービスです。AD DSは、オンプレミスのWindows Serverに含まれるディレクトリサービスであり、Active Directory ドメインの構築や管理を行うことができます。一方、Azure AD Domain Servicesは、Azure上に構築されるディレクトリサービスであり、Azure ADと同じインフラストラクチャー上に構築されます。

Azure AD Domain Servicesは、オンプレミスのAD DSと同様の機能を提供することができます。具体的には、ユーザーアカウントやグループの管理、認証基盤としての利用、LDAPやKerberosなどのプロトコルのサポートなどが含まれます。また、Azure ADとの統合も可能であり、Azure ADとのハイブリッド環境を構築することができます。

ただし、AD DSとAzure AD Domain Servicesには、いくつかの違いがあります。たとえば、Azure AD Domain Servicesは、Azure上で動作するため、オンプレミスのAD DSと異なり、仮想マシンや仮想ネットワーク内での利用が可能です。また、Azure AD Domain Servicesは、管理負荷を軽減するため、自動的にスケーリングされます。

ですのでAD DSとAzure AD Domain Servicesは、似たような機能を提供していますが、異なるサービスであることにご注意ください。

AD DSとAAD DSの主な相違点をピックアップ!

「オンプレミスとクラウド」
AD DSは、オンプレミスのWindows Serverに搭載されたディレクトリサービスであり、ローカルネットワーク内で利用されます。一方、AAD DSは、Azure上に構築されたディレクトリサービスであり、クラウド上で利用されます。

ユーザーアカウントの管理
AD DSは、オンプレミスのActive Directory ドメインでユーザーアカウントを管理します。一方、AAD DSは、Azure ADでユーザーアカウントを管理します。そのため、AAD DSを利用する場合、Azure ADのユーザーアカウントとAAD DSのユーザーアカウントを同期する必要があります。

「認証方式」
AD DSは、Windows Serverに搭載されたKerberos認証を利用して認証を行います。一方、AAD DSは、クラウド上で認証を行うため、OAuthやOpenID Connectなどのプロトコルを利用して認証を行います。

DNS
AD DSでは、DNSサービスを利用して、Active Directory ドメイン名の解決を行います。一方、AAD DSでは、Azure DNSを利用して、AAD DSドメイン名の解決を行います。

サポートされる機能
AD DSは、複数のドメインコントローラーを構成することができ、グループポリシーの適用やDNSの管理など、様々な機能を提供します。一方、AAD DSは、単一のドメインコントローラーしか構成できず、限られた機能しか提供しません。たとえば、AAD DSでは、グループポリシーの適用やDNSの管理などはできません。

「コスト」
AD DSは、Windows Serverのライセンスや、サーバーのハードウェアなどが必要となるため、導入コストが高くなります。一方、AAD DSは、Azure上に構築されるため、クラウドサービスとして利用でき、コストが低くなります。

「ドメインのフルネーム」
AD DSでは、フルネームとして「contoso.local」といった内部用のドメイン名を使用することができます。一方、AAD DSでは、グローバルに一意なドメイン名が必要であり、内部用のドメイン名はサポートされていません。

「ユーザー属性」
AD DSでは、Active Directory ユーザーオブジェクトに、様々な属性情報を設定できます。一方、AAD DSでは、一部の属性情報しか設定できず、カスタマイズ性は限られています。

「ハイブリッド環境」
AD DSとAAD DSは、両者をハイブリッド環境として構成することが可能です。この場合、オンプレミスのAD DSとAzure ADのユーザーアカウントとAAD DSのユーザーアカウントを同期することで、一元的な管理が可能となります。

「セキュリティ機能」
AD DSは、Active Directory ドメインコントローラー上に設置されるセキュリティ機能を利用して、アカウントロックやパスワードポリシーの設定などを行うことができます。一方、AAD DSでは、Azure ADのセキュリティ機能を利用して、同様の設定を行うことができます。
このエントリーをはてなブックマークに追加