【情シス深掘り】Entra Connect と Cloud Sync、MSが「2つ」用意している本当の理由と設計思想の考察
「Cloud Syncの方が軽量で新しいから、これからはこっちだよね、次のサーバー更新はCloud Syncに移行だ!!」と私も最近まで考えてました。
しかし、現場を見渡すと、ほぼ全従業員が出社環境でActive Directory(AD)をゴリゴリに運用し、基幹系のオンプレサーバーへやNASのアクセスにGPO(グループポリシー)を利用しています。あれ、本当に移行できるのか?そもそもなんで移行しようと思ったんだっけ・・・と立ち止まりました。
なぜMicrosoftは、一見似たような「同期ツール」を2つも並存させているのか?
そこには、スペック表には現れない 「誰が端末を支配するか(主権)」 という決定的な設計思想の違いがあります。(筆者思想強め)
今回は、自社のインフラを守る情シス視点で、この2つのツールの本質を徹底的に深掘りします。
1. そもそも、なぜMSは「2つ」用意しているのか?
結論から言うと、これは単なる機能の差ではなく、「オンプレ主権の継続」 か、「クラウドへの主権移譲」 か、という異なる世界観をサポートするためです。
① Entra Connect Sync(旧称:Azure AD Connect (AADC))の思想
「オンプレADが絶対的な主役である」
これは、数年前までの「当たり前」を支える思想です。
サーバー上に重厚な同期エンジンをインストールし、SQL Serverを使って複雑なロジックを回す。この手間こそが、「オンプレ側のルールでクラウドをコントロールする」という主権の証明でした。GPO、ファイルサーバー、オンプレアプリが中心にある環境において、クラウド(Entra ID)はあくまで「SaaSを使うための認証の出張所」なのです。
② Cloud Sync の思想
「主権をクラウド(Entra ID)へ完全移譲する」
「オンプレサーバーに重い同期エンジンを置くのは、もうレガシーだよね、だっさ」といわんとばかりの、クラウドネイティブな発想です。(弊社涙目)
同期のロジックをクラウド側に集約させ、オンプレ側は「データを吸い上げるための軽いエージェント」に徹する。これは、オンプレ管理の作法を捨て、クラウド主導の世界へ舵を切るための設計です。
2. 決定的な技術の壁:デバイスは「オンプレ側に書けない」
Cloud Syncを検討する上で、スペック表の端に小さく書かれているだけの事実が、実は現場にとって最大の「詰み」ポイントになります。それは、Cloud Syncには現時点で「デバイスの書き戻し(Device Writeback)」機能がないという点です。
3. 現場のリアル:Intune + GPO 環境での「主権」争い
ここで、現在弊社が運用している環境を例に考えてみます。
- デバイス管理: Intune + Autopilot
- 認証・同期: Entra Connect Sync(ハッシュ同期 + パスワードライトバック)
- オンプレ資産: NAS(ファイルサーバー)、複雑なGPO
この状況において、管理の主役は依然としてオンプレミス設備にあります。クラウドはあくまで、SaaSを利用するための橋渡し役に徹してもらっています。
もしここで「新しいから」「軽いから」という理由でCloud Syncを選んでしまうと、どうなるか。
デバイス情報がオンプレに戻ってこないため、オンプレAD側は「誰がアクセスしてきたか」をデバイスベースで正確に把握できなくなります。
4. そもそも論:なぜ「スペック比較」だけでは不十分なのか
「Cloud Syncはパスワードライトバックができるようになった」「複数フォレストに対応している」といった話は、あくまで機能のチェックリストに過ぎません。
情シスが本当に見るべきは、機能の有無ではなく 「自社のデバイス管理ポリシーを、どこに握らせ続ける覚悟があるか?」 という 思想 の選択です。
参照(一次情報)
設計思想の裏付けとして、MS公式の機能比較も改めて精読することをお勧めします。特に「デバイスの書き戻し」の項目に注目してください。
Discussion