Azure上でのディレクトリサービスを提供する「Azure AD Domain Services(AAD DS)」ですが、少しわかりにくいサービスなので、オンプレのActive Directory Domain Services(AD DS)との違いを中心に簡単にご説明させていただきます。
Active Directory Domain Services (AD DS) と Azure AD Domain Services は、異なるサービスです。AD DSは、オンプレミスのWindows Serverに含まれるディレクトリサービスであり、Active Directory ドメインの構築や管理を行うことができます。一方、Azure AD Domain Servicesは、Azure上に構築されるディレクトリサービスであり、Azure ADと同じインフラストラクチャー上に構築されます。
Azure AD Domain Servicesは、オンプレミスのAD DSと同様の機能を提供することができます。具体的には、ユーザーアカウントやグループの管理、認証基盤としての利用、LDAPやKerberosなどのプロトコルのサポートなどが含まれます。また、Azure ADとの統合も可能であり、Azure ADとのハイブリッド環境を構築することができます。
ただし、AD DSとAzure AD Domain Servicesには、いくつかの違いがあります。たとえば、Azure AD Domain Servicesは、Azure上で動作するため、オンプレミスのAD DSと異なり、仮想マシンや仮想ネットワーク内での利用が可能です。また、Azure AD Domain Servicesは、管理負荷を軽減するため、自動的にスケーリングされます。
ですのでAD DSとAzure AD Domain Servicesは、似たような機能を提供していますが、異なるサービスであることにご注意ください。
AD DSとAAD DSの主な相違点をピックアップ!
「オンプレミスとクラウド」
AD DSは、オンプレミスのWindows Serverに搭載されたディレクトリサービスであり、ローカルネットワーク内で利用されます。一方、AAD DSは、Azure上に構築されたディレクトリサービスであり、クラウド上で利用されます。
「ユーザーアカウントの管理」
AD DSは、オンプレミスのActive Directory ドメインでユーザーアカウントを管理します。一方、AAD DSは、Azure ADでユーザーアカウントを管理します。そのため、AAD DSを利用する場合、Azure ADのユーザーアカウントとAAD DSのユーザーアカウントを同期する必要があります。
「認証方式」
AD DSは、Windows Serverに搭載されたKerberos認証を利用して認証を行います。一方、AAD DSは、クラウド上で認証を行うため、OAuthやOpenID Connectなどのプロトコルを利用して認証を行います。
「DNS」
AD DSでは、DNSサービスを利用して、Active Directory ドメイン名の解決を行います。一方、AAD DSでは、Azure DNSを利用して、AAD DSドメイン名の解決を行います。
「サポートされる機能」
AD DSは、複数のドメインコントローラーを構成することができ、グループポリシーの適用やDNSの管理など、様々な機能を提供します。一方、AAD DSは、単一のドメインコントローラーしか構成できず、限られた機能しか提供しません。たとえば、AAD DSでは、グループポリシーの適用やDNSの管理などはできません。
「コスト」
AD DSは、Windows Serverのライセンスや、サーバーのハードウェアなどが必要となるため、導入コストが高くなります。一方、AAD DSは、Azure上に構築されるため、クラウドサービスとして利用でき、コストが低くなります。
「ドメインのフルネーム」
AD DSでは、フルネームとして「contoso.local」といった内部用のドメイン名を使用することができます。一方、AAD DSでは、グローバルに一意なドメイン名が必要であり、内部用のドメイン名はサポートされていません。
「ユーザー属性」
AD DSでは、Active Directory ユーザーオブジェクトに、様々な属性情報を設定できます。一方、AAD DSでは、一部の属性情報しか設定できず、カスタマイズ性は限られています。
「ハイブリッド環境」
AD DSとAAD DSは、両者をハイブリッド環境として構成することが可能です。この場合、オンプレミスのAD DSとAzure ADのユーザーアカウントとAAD DSのユーザーアカウントを同期することで、一元的な管理が可能となります。
「セキュリティ機能」
AD DSは、Active Directory ドメインコントローラー上に設置されるセキュリティ機能を利用して、アカウントロックやパスワードポリシーの設定などを行うことができます。一方、AAD DSでは、Azure ADのセキュリティ機能を利用して、同様の設定を行うことができます。