この記事は corp-engr 情シス Slack（コーポレートエンジニア x 情シス） #1 Advent Calendar 2020 16日目の記事です。

仕事でWindows PCやMicrosoft 365を管理することになった人や、オンプレADとの違いを知りたい人、興味はあるけどさっぱりわからんという人向けに、公式ドキュメントよりも噛み砕いた表現で解説してゆきたいと思います。（この記事では2020年12月時点の情報をベースとしています）

Azure Active Directory とは

以降、Azure ADと記載します。
Azure ADはMicrosoftが開発しているID管理のクラウドサービスです。製品の分類で言えばIdP（IDaaS）に属し、SSO（シングルサインオン）やMFA（多要素認証）などを始めとして、企業活動に関わるIDやデバイスの管理を強力に支援する機能を多く有しています。

Azure AD の料金体系

無料でも割と使える Azure AD

料金 - Azure Active Directory | Microsoft Azure

4つのプランがありますが、単純に多要素認証やシングルサインオンを利用したいというだけの要件であれば、無料版やOffice 365にくっついてくるプランでも十分実用可能だったりします。（ちなみに無償版/O365付属版のシングルサインオン機能は従来は10アプリまでしか設定できませんでしたが、今年5月に無制限に拡張されました）

Microsoft 365やIntune、Azure系のサービスを契約すると自動的にAzure ADの無料版の環境が合わせて作成されます。知らないうちに実はAzure ADの環境を持っているという組織は多いです。

なお上記料金ページで無料版の1行目にある「500,000 オブジェクト制限」というのが気になる方もいるかもしれませんが、よほど大規模な環境でなければそうそう超えません。
既にAzure AD 無料版を利用中で現在のオブジェクト数を把握したい場合はGraph Explorerを使った手順で簡単に確認できます。

有償版を検討するケース

Premium P1 以上のプランが必要になってくるケースとしては、組織の規模や運用負荷的にグループを動的に管理できないとつらくなってきた場合や、セキュリティ上の要件として条件付きアクセス（様々な条件に応じて組織のリソースにアクセスさせるかどうかを判断する機能）が必要になるケース等があるかと思います。

ただPremium P1やP2は単体で買う方法もありますが、どちらかというとそれらに加えてモバイルデバイス管理のIntuneを包括しているEnterprise Mobility + Security（通称EMS）という製品を導入するケースが多く見られます。P1やP2の機能を求める場合は合わせてEMSも検討したほうが組織の情報システム全体での要件やコストパフォーマンス的にも適合する組織が多いのではと思います。

オンプレミスの Active Directory との違い

製品名であったり達成しようとしていることは似ていますが、実際の仕組みやアプローチ的には別物です。下記にまとめてみました。

機能	Active Directory	Azure Active Directory
構成単位	ドメインおよびフォレスト	テナント
何に対しての認証基盤か	オンプレのアカウントやリソース向け	Web上で利用するサービスのアカウントやリソース向け
ユーザープロビジョニング	手動、Windowsコマンド、PowerShell	手動、PowerShell、オンプレミスADとの同期、REST API、SCIM
外部企業とのコラボレーション	非対応	ゲストユーザーとして招待する機能あり（Azure AD B2B）
資格情報の保護	パスワード、証明書認証、スマートカード認証	パスワード、多要素認証、FIDO2、インテリジェントなパスワード保護
管理者の管理	セキュリティグループとドメインで管理	ロールベースでの制御、特権管理機能（時間制限やワークフロー承認での特権付与など）
セルフパスワードリセット	非対応（3rdパーティのアドオンはある）	標準搭載
SaaSアプリの認証	別途AD FSの構築が必要	SAML、OIDC、WS-Federation
Windows PC管理	ドメイン参加とグループポリシーでの制御	Azure AD参加、Intuneでの管理
Macの管理	できなくはないけど大変	Azure AD登録、Intuneでの管理
iOS,Androidの管理	非対応	Azure AD登録、Intuneでの管理
オンプレミスやレガシーアプリの認証	LDAP、Windows統合認証（NTLMとKerberos）	Azure AD アプリケーションプロキシ、オンプレミスADとの統合

オンプレミス Active Directory との統合

オンプレADとAzure ADとの違いは分かったということで、じゃあそれらは相容れないものなのかと言うとそうではなく、両者を統合して利用するためのオプションが用意されています。
オンプレADとAzure ADを統合してハイブリッドID基盤を構築することで、レガシーな既存資産（オンプレの業務アプリやファイルサーバー等）とクラウドサービスの両方へのアクセスを管理することが可能になります。

Azure AD Connect

Azure AD ConnectとはオンプレミスADのユーザーやグループ、デバイスの情報をAzure ADに同期するためのツールです。主な特徴は下記の通り。

• 無料でダウンロードできる
• Windows Serverにインストールしてセットアップするもの
• Azure AD Connectを入れるサーバーはオンプレADと通信可能なネットワーク上に建てる
• オンプレADのサーバーに相乗りさせるのはサポートされていない

なお、Azure ADとの認証方法が3種類あるので、要件に合わせて選びます。

1. パスワードハッシュ同期
2. パススルー認証
3. フェデレーション

それぞれの方式について詳しくは記述しませんが、把握されたい方は下記のDocsを参照してください。
Azure Active Directory でのハイブリッド ID とは | Microsoft Docs

要件にもよりますが、Azure AD Connectを使ったハイブリッド環境の構築自体は割と簡単にできます。がしかし、オンプレADのドメインが「.local」などの非ルーティングドメインを使用している場合はユーザーのUPNを同期するためにサフィックスを追加するか代替IDとしてメール属性を使うなどひと手間加わるので注意が必要です。
※ 日本語情報だとDocsよりもAzure Identity Support Blogのほうが分かりやすくかかれている記事があります → マネージド ドメイン用(AD FS なし) Hybrid Azure AD Join を一から構成する | Japan Azure Identity Support Blog

Azure AD Connect クラウドプロビジョニング

前述のAzure AD Connectでできないこととして お互いにネットワーク通信できない複数のオンプレミスADフォレストを単一のAzure ADに同期できない という制限がありますが、これを解決してくれるのがAzure AD Connectクラウドプロビジョニングです。
シナリオとしてはM&Aで買収した企業もオンプレミスのADを持っていたが、既存のAzure AD Connectのサーバーとは通信できる環境にない…などのケースで効果を発揮します。

出典: Microsoft
AAD Connectよりも構築が簡単で、オンプレミスADのサーバーに軽量なエージェントをインストールするだけです。
ただしパススルー認証や、パスワード・デバイスの書き戻しに対応していないなど、Azure AD Connectよりも機能が少ない部分もあるので、自社の要件に合わせて検討する必要があります。
Azure AD Connect とクラウド プロビジョニングの比較 | Microsoft Docs

Azure Active Diretory Domain Services とは

またややこしいのが出てきました。これも名前は似ていますがオンプレミスのAD DSともAzure ADとも別物で、一言で言えば Active DirectoryのPaaS版 です。
私自身もこれはまだ実際に触ったことが無いのですが、ドメイン参加やLDAP、グループポリシー、DNSの管理などを使いたいけれどもWindowsサーバーは立てたくないという要件には合いそうです。

一応従来のAD DSと完全な互換性はあるようですが、ディレクトリの同期がAzure AD→Azure AD DSという一方向しか無いなどのクセがあるようなので、詳細を把握されたい方は下記のDocsを読まれると良いかと思います。
Azure Active Directory Domain Services の概要 | Microsoft Docs

最後に

ここまでお読みいただきありがとうございました。詳細まで書き始めるとキリがないのでこの辺りで終わりにしようと思います。
記事中に誤りなど指摘事項があれば @thdy5 まで連絡をもらえると嬉しいです。

これまで業務でMicrosoft製品を扱うことが多かったので今回はテーマにしてみましたが、今の現場ではOktaを導入しようとしているので、これもいつか記事にできればと思っています。

さて、情シスSlackアドベントカレンダー#1 明日17日目は、我らが情シスSlack発起人で運営メンバーのお一人であるよこやまさんです。楽しみですね！