🙌

【第10.5回】Azureで社内システム再現（クラウド編）｜オンプレ構成をどうクラウドに移行するか

2025/04/15に公開

Azure

 概要これまでの「オンプレ編」では、Azureの仮想マシン（IaaS）上に社内システムを構築してきました。

社員番号を入力して名前を検索するだけのシンプルなシステムですが、Active Directory や ADFS、SQL Server などを組み合わせて、実際のオンプレ構成に近い形を再現しています。
※詳しい全体構成については、【第0回】Azureで社内システム再現（オンプレ編）｜構成図と動作の流れで紹介しています。
今回からは、これまでの構成をベースに、よりクラウドネイティブな構成（PaaS中心）へと移行していくプロセスをまとめていきます。

Azure Automation や Azure App Service、Azure SQL Database などのマネージドサービスを活用しながら、運用の自動化やセキュリティの強化も視野に入れた構成を検討していきます。

 オンプレでの要件整理以下は構築が完了したオンプレ環境の構成図です。

これまでのオンプレ環境では、以下のような要件を満たす構成をIaaSベースで構築していました。


要件
実現方法


ユーザー管理
Active Directory（ADDS）

社員検索アプリ
IIS + PHP

社員データ管理
SQL Server

SSO認証
ADFS + Shibboleth（SAML）

データ同期
PowerShellスクリプト + タスクスケジューラ

通信保護
ADCSで証明書を発行し、IISに適用してHTTPS化


 クラウド移行後のシステム構成以下は、Azureへ移行後の構成図です。

オンプレでの構成をベースに、Azureのマネージドサービス（PaaS）を中心に再構成しています。

 データフローの流れ（構成図に対応）構成図にある①〜④の番号に沿って、実際のデータ処理の流れを追っていきます。
Azure Automation → Microsoft Entra ID

　Graph APIを使ってAzure ADのユーザー情報を取得します。
Azure Automation → Blob Storage

　取得したユーザー情報をCSVファイルとして書き込みます。
Azure Data Factory → Blob Storage

　保存されたCSVファイルをトリガーとして認識し、処理を開始します。
Azure Data Factory → Azure SQL Database

　CSVデータをSQL Databaseへインポートします。
加えて以下の連携も実装します。
App Service → SQL Database：社員番号による検索
App Service → Key Vault：接続パスワードの取得
GitHub → App Service：WebアプリのCI/CDデプロイ

 クラウド構成：要件ごとの対応サービスと役割以下は、各要件をクラウドでどのように実現しているかをまとめた対応表です。

オンプレ構成で満たしていた機能を、Azure の各サービスでどのように置き換えたかを整理しています。


対応する要件
サービス名
役割・動作内容


ユーザー管理・SSO認証
Microsoft Entra ID
ユーザー情報の一元管理を行い、App ServiceへのSSO認証を実現

社員検索アプリ
Azure App Service
PHPベースのWebアプリをホストし、社員番号の検索画面を提供

社員データ管理
Azure SQL Database
社員番号と氏名のデータを格納し、Webアプリからの検索に対応

データ同期（取得）
Azure Automation
Entra IDから社員情報を取得し、CSV形式でBlob Storageに保存

データ同期（中継）
Azure Blob Storage
Automationで出力したCSVファイルを一時保管（ADFのトリガーに）

データ同期（インポート）
Azure Data Factory
Blob Storage上のCSVファイルをトリガーにSQL DBへデータを取り込み

接続情報の保護
Azure Key Vault
App ServiceがSQL接続時に使用するパスワードを安全に管理

アプリのデプロイ管理
GitHub
Webアプリのソースコードを管理し、CI/CDでApp Serviceへ自動デプロイ


 移行に使用するツール本システムのクラウド移行にあたって、以下の2つのツールを利用しています。

 Microsoft Entra Connect（旧Azure AD Connect）オンプレミスの Active Directory（AD）と、Microsoft Entra ID を連携させるための公式ツールです。

ユーザー情報や属性情報を Entra ID に同期することで、クラウド上での統合ユーザー管理が可能になります。
公式ドキュメント：https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/whatis

 Data Migration Assistant（DMA）オンプレミスの SQL Server から Azure SQL Database への移行をサポートする Microsoft 製の無料ツールです。

互換性チェック、スキーマのコピー、データ移行までGUIベースで実施できます。
公式ドキュメント：https://learn.microsoft.com/ja-jp/sql/dma/dma-overview

要件	実現方法
ユーザー管理	Active Directory（ADDS）
社員検索アプリ	IIS + PHP
社員データ管理	SQL Server
SSO認証	ADFS + Shibboleth（SAML）
データ同期	PowerShellスクリプト + タスクスケジューラ
通信保護	ADCSで証明書を発行し、IISに適用してHTTPS化

対応する要件	サービス名	役割・動作内容
ユーザー管理・SSO認証	Microsoft Entra ID	ユーザー情報の一元管理を行い、App ServiceへのSSO認証を実現
社員検索アプリ	Azure App Service	PHPベースのWebアプリをホストし、社員番号の検索画面を提供
社員データ管理	Azure SQL Database	社員番号と氏名のデータを格納し、Webアプリからの検索に対応
データ同期（取得）	Azure Automation	Entra IDから社員情報を取得し、CSV形式でBlob Storageに保存
データ同期（中継）	Azure Blob Storage	Automationで出力したCSVファイルを一時保管（ADFのトリガーに）
データ同期（インポート）	Azure Data Factory	Blob Storage上のCSVファイルをトリガーにSQL DBへデータを取り込み
接続情報の保護	Azure Key Vault	App ServiceがSQL接続時に使用するパスワードを安全に管理
アプリのデプロイ管理	GitHub	Webアプリのソースコードを管理し、CI/CDでApp Serviceへ自動デプロイ

概要

オンプレでの要件整理

クラウド移行後のシステム構成

データフローの流れ（構成図に対応）

クラウド構成：要件ごとの対応サービスと役割

移行に使用するツール

Microsoft Entra Connect（旧Azure AD Connect）

Data Migration Assistant（DMA）

Discussion