Microsoftのサービス利用時、その名称でとても混同してしまう用語が多くあります。
その一つとして、「ディレクトリ」という用語もオンプレAD、クラウドAADでは同一の用語で使われるものの大きく意味が異なり、多くのユーザー様の混乱を招いている用語です。
今回は、AD、AADでのディレクトリの違いを中心にご説明させていただき、理解の整理をしたいと思います。
Active Directoryでのディレクトリ
ネットワーク上のリソース(ユーザーアカウント、コンピューター、グループ、ファイルなど)を管理するための中央データベースのことです。ADディレクトリには、これらのリソースの属性や関係性が保存されています。例えば、ユーザーアカウントには名前、電子メールアドレス、パスワード、所属グループなどが保存されており、コンピューターにはIPアドレス、オペレーティングシステム、ハードウェア情報などが保存されています。ディレクトリは、ネットワーク上の認証やアクセス制御を担当する重要な機能を持ちます。
Azure ADでのディレクトリ
Microsoftのクラウド上で提供されるID管理サービスにおいて、ユーザーアカウント、アプリケーション、デバイスなどの情報を管理するための中央データベースのことです。AADのディレクトリには、各リソースの属性や関係性が保存されています。例えば、ユーザーアカウントには名前、電子メールアドレス、パスワード、所属グループなどが保存されており、アプリケーションにはアプリケーションID、許可された権限、認証方法などが保存されています。AADディレクトリは、クラウド上の認証やアクセス制御を担当する重要な機能を持っています。また、オンプレミスのADとの連携が可能で、ハイブリッド環境の構築にも利用されます。
ADのディレクトリとAADのディレクトリの違いは?
「オンプレミスとクラウド」
ADはオンプレミスで動作するディレクトリサービスであり、AADはクラウドベースのディレクトリサービスです。ADはオンプレミスのWindowsサーバー上で実行されるため、ローカルネットワーク上のデバイスやアプリケーションに対して認証とアクセス管理を提供します。一方、AADはクラウド上で実行されるため、クラウドネイティブのアプリケーションやデバイスに対して認証とアクセス管理を提供します。
「認証の仕組み」
ADは、通常、Kerberos認証プロトコルを使用してユーザーの認証を行います。一方、AADは、OAuthやOpenID Connectなどのプロトコルを使用してユーザーの認証を行います。AADは、ユーザーがどこからでもアプリケーションにアクセスできるようにするために、クラウドにあるアプリケーションに対して認証トークンを発行します。
「ユーザーの管理」
ADは、オンプレミスのWindowsサーバー上でユーザーアカウントを管理することができます。一方、AADは、クラウド上でユーザーアカウントを管理することができます。AADは、ユーザーとグループの管理に優れており、Azureポータルから簡単にユーザーアカウントを作成、削除、変更することができます。
「アプリケーションのサポート」
ADは、Windowsベースのアプリケーションをサポートするための機能が豊富です。一方、AADは、クラウドネイティブのアプリケーションをサポートするために設計されています。AADは、SaaSアプリケーションに対して簡単にシングルサインオンを提供することができます。
このようにADとAADのディレクトリにはいくつかの違いがあります。
ADはオンプレミスのWindowsサーバー上で実行され、ネットワーク内のデバイスやアプリケーションに対して認証とアクセス管理を提供します。
一方、AADはクラウド上で実行され、クラウドネイティブのアプリケーションやデバイスに対して認証とアクセス管理を提供します。
ただし、両者はAzure AD Connectで統合することができ、ハイブリッド環境を構築することができます。
【参考】
オンプレミスとクラウドでシームレスな認証・アクセス管理を実現する「Azure AD Connect」
