コンテンツ
- Azure ADとサーバーADの異なる環境
- Azure ADとサーバーADの共通点
- どう違うのか
- バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
- Azure ADはIDaaSを介してすべてのユーザーの生活をより簡単にします
ソース:Rvlsoft / Dreamstime.com
取り除く:
この記事では、Microsoft AzureとServer ADの類似点と相違点、およびこの時代のクラウドとその複数のサービスオファリングでAzure ADがオンプレミスADの機能を強化する方法について説明します。
先日、Microsoft Azure Active Directoryに対するフラストレーションを伝えていた、かなり規模の大きい公立学校システムのテクノロジーディレクターと話をしていました。彼らは最近、Azure ADの実装をガイドするために、中小企業のチームをこのテーマに割り当てました。数回の電話会議の後、ディレクターは「専門家」とのパートナーシップを放棄しました。彼は、彼がすでに知っている以上のことを知らなかったことがわかったからです。 「TechNetの記事はできる限り簡単に読むことができます」と彼は言いました。
Azure ADとオンプレミスADのハイブリッドクラウド環境内での統合に関して多くの混乱があるため、これは驚くことではありません。通常、Azure ADは単にクラウドに常駐する従来のサーバーADの単なるレプリカバージョンであるという最初の仮定です。これが、物事を引き受けることに関して非常に多くの決まり文句がある理由です。 (クラウドサービスの比較については、4つの主要なクラウドプレーヤー:長所と短所を参照してください。)
Azure ADとサーバーADの異なる環境
実際、ADのこれら2つのバージョンには、類似性と同じくらい多くの違いがあります。それは、それぞれが異なる環境を中心に構築されているためです。
ITの専門家がADに言及するとき、彼らは私たちすべてが物理面に存在する長年にわたって慣れ親しんだ伝統的なADを指します。 Server ADは、組織、管理性、およびポリシーの原則に基づいて構築されています。ドメインを取得し、共通性を共有するユーザーとコンピューターが存在する、より小さく管理しやすい組織単位に分離します。おそらくあなたのADは、物理的な場所または職務によって分割されています。ユーザーとそれぞれのコンピューターは、LDAPを使用してドメインコントローラーにログオンし、Kerberosチケットを使用して物理リソースにアクセスするときに、承認プロセスに参加します。アプリケーションはISOファイルから生成され、グループポリシーはデスクトップとユーザーの設定をロックダウンします。
そして、Azureがあります。 Azureはクラウド向けに構築されたため、Webサービスをサポートするために特別に設計されています。クラウドは、弾力性、俊敏性、永続的な変更に関するものです。 Azureは、組織単位とグループポリシーオブジェクトのないフラットな構造であり、場所が無関係な構造です。実際、Azureはオブジェクトの巨大な海であり、すべてが1つの巨大なコンテナーに集まっています。ここは、アプリケーションがサービスであり、ユーザー自身を拡張する場所です。この環境のアプリケーションは、インストールされるのではなく、単に割り当てられます。従来のADはユーザーエクスペリエンスを可能な限り管理および制御することで知られていますが、Azure ADはユーザーエクスペリエンスを可能な限り流動的にすることを目的としています。
Azure ADとサーバーADの共通点
そのため、Azure ADはサーバーADのクラウドバージョンになることを意図していません。 Webベースのインターネットサービスの世界をサポートするために従来のADが構築されたことはなかったため、これを強化するために構築されました。それでは、2つの類似点から始めましょう。
前身と同様に、Azure ADはユーザーとグループをホストします。ハイブリッドクラウド環境では、AD管理者はローカルのオンプレミスAD内にユーザーを作成し、優れた追加機能を提供するAzure AD Connectと呼ばれる中間ツールによってAzureに同期させることができます。
- パスワード同期 –ユーザーとグループはAzure ADに同期されるため、ユーザーはオンプレミスとクラウドの両方にログオンできます。2つの間でパスワードが同期されるためです。オンプレミスが機関として指定されているため、Azure ADはローカルパスワードポリシーも利用します。
- パスワードの書き戻し –ユーザーは、Azure AD内でパスワードを変更し、オンプレミスに書き戻すことができます。これは、教師やスタッフのパスワードが夏に期限切れになる学校システムなどの組織にとって素晴らしい機能です。デスクでパスワードを変更するために職場に戻るまで、インターネットアクセスからロックアウトされるのではなく、Azure ADの自宅からいつでもパスワードを変更できます。
- フィルターの同期 –これにより、管理者は、クラウドに同期するオブジェクトと同期しないオブジェクトを正確に選択できます。
どう違うのか
ユーザーとグループはAzure ADとServer AD内で同時に共存できますが、コンピューターアカウントの場合はそうではありません。 Azureは、これまで慣れ親しんできた「ドメイン参加」機能を提供していません。これは、AzureはWebであり、LDAPやKerberosなどの従来の認証プロトコルのない環境ですが、代わりにSAML、WS、Graph API、OAuth 2.0などのWeb認証プロトコルに依存しているためです。コンピューターはAzureに接続されています。つまり、コンピューターアカウントはオンプレミスまたはクラウドのいずれかに存在できますが、両方に存在することはできません。 (Active Directoryの管理における最大の問題のいくつかについては、「Active Directory管理のトップ5の痛みポイント」を参照してください。)
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。
しかし、今日の多くの組織は実際にデスクトップとモバイルデバイスなどの2種類のコンピューター群を持っているため、これは見かけほど大したことではありません。このシナリオでは、モバイルデバイスをAzure内に配置し、デスクトップをオンプレミスに配置できます。生徒に1対1のラップトッププロビジョニングを提供するK-12教育機関は、Azureにも適しています。毎年何千ものラップトップが再イメージングされ、Azureの理想的な候補となっています。
前述のように、Azure ADにはグループポリシー機能はありませんが、AzureデバイスはMicrosoft Intuneで管理できます。MicrosoftIntuneは、デバイスが侵害された場合に更新管理やリモートワイプなどの機能を提供します。さらに、IntuneをMicrosoft SCCMと統合して、よりきめ細かいデバイス管理を実現できます。
Azure ADはIDaaSを介してすべてのユーザーの生活をより簡単にします
要するに、サーバーADは何よりもまずディレクトリサービスソリューションであり、ディレクトリサービス機能を備えたAzure ADはIDソリューションです。 ID管理は、Server ADが考案されたときには問題ではありませんでしたが、今日の組織にとって重要な要素です。
ほぼすべての組織内のユーザーは、Office 365、Saleforce.com、Dropboxなどの多数のクラウドアプリケーションを利用しています。クラウドアプリケーションが最初に実現したとき、ユーザーは各アプリケーションごとに認証する必要があり、非常に非効率でセキュリティが導入されましたクラウドアプリケーションベンダーが異なるパスワードポリシーを適用するため、ユーザーが複数のパスワードを管理しなければならない脆弱性。
次に、シングルサインオンまたはSSOを提供するフェデレーションサービスが登場しました。最初は、クラウドアプリケーションが認証プロセスをユーザーの社内ADに迂回させ、構成されたフェデレーションサーバーがローカルAD資格情報に従ってユーザーを認証することを意味していました。これにより、ユーザーにとっては簡単になりましたが、すべてのアプリケーションベンダーに対してフェデレーション関係を確立する必要があるため、ITチームにとって大量の手動構成が必要でした。
そして、Azure ADの目的であるIdentity as a Service(IDaaS)が登場しました。Azure ADは数百のアプリケーション自体のフェデレーションを処理するため、Azure ADユーザーはデスクトップ上のアプリケーションを横断するのと同じくらい簡単に、アプリケーションからアプリケーションにシームレスにジャンプできます。ある意味では、Azure ADはフェデレーションハブです。
さらに、Azure ADは組織にクラウド内の仮想ドメインコントローラーをホストする機能を提供し、ユーザーにモバイル認証を提供するとともに、オンプレミス全体のインスタンスの冗長性を提供します。はい、Azure ADとServer ADは互いのサービスを複製せず、代わりにそれらを補完し、今日のユーザーに両方の世界の最高を提供します。