Active Directoryから「Microsoft Entra ID」に移行する理由と“第三の選択肢”：Microsoft Entra IDを知る【後編】

オンプレミスシステムからクラウドサービスにシステムを移行する際は、Microsoft のディレクトリサービスについても検討の余地がある。「Active Directory」から「Microsoft Entra ID」に切り替える場合のデメリットは何か。

≫ 2024年03月05日 05時00分公開

[Brien Posey，TechTarget]

「Active Directory」移行時の無視できない障壁

併せて読みたいお薦め記事

連載：Microsoft Entra IDを知る

前編：「Active Directory」と「Microsoft Entra ID」の根本的な違いとは？

オンプレミス版とクラウド版のIAM

　Active DirectoryからMicrosoft Entra IDに移行するに当たってIT管理者が注意すべき点の一つは、管理ツールへの適応に時間がかかる場合があることだ。Microsoft Entra IDでは、「Active Directory ユーザーとコンピューター」のような、なじみのある管理ツールは使えない。その代わりに「Microsoft Configuration Manager」「Microsoft Intune」といった、Active Directoryでは使うことがなかった管理ツールを使用する必要がある。

　別の考慮すべき点は、Active Directoryでは管理できていた古いアプリケーションが、Microsoft Entra IDでは管理できない可能性があることだ。Microsoft Entra IDには存在しないグループポリシーを設定しなければならないような、古いアプリケーションが存在する場合がある。

　この問題は、Active DirectoryとMicrosoft Entra IDが、通信や認証などで異なるプロトコルを採用していることに起因する。Active Directoryは、ディレクトリサービスにアクセスするプロトコルとして「LDAP」（Lightweight Directory Access Protocol）を用いる。一方Microsoft Entra IDは、標準でLDAPを利用できない。そのためActive DirectoryからMicrosoft Entra IDに移行した際、Active Directoryで管理していたアプリケーションがフォルダを参照できなくなる可能性がある。Active DirectoryとMicrosoft Entra ID間の同期ツール「Microsoft Entra Connect」（旧「Azure AD Connect」）を使用するなどの対策は可能だが、LDAPを利用する全ての機能がMicrosoft Entra IDでも使えるわけではない。

　認証や認可の仕組みも異なる。Active Directoryは「Kerberos」や「NT LAN Manager」（NTLM）といったプロトコルを使い、Microsoft Entra IDは「OAuth」（Open Authorization）や「SAML」（Security Assertion Markup Language）などのプロトコルを使う。この問題に対しても、Microsoft Entra ConnectでKerberosを使用するという対策はある。

お薦めは“ハイブリッド”

　企業はActive DirectoryとMicrosoft Entra IDのどちらかを選択しなければいけないわけではなく、併用することも可能だ。それぞれのドメインコントローラー（認証サーバ）を、オンプレミスシステムとクラウドサービスに構築した仮想マシン（VM）で稼働させてもよい。Active DirectoryとMicrosoft Entra IDを併用することで、古いアプリケーションを管理しつつ、クラウドベースのモダンなディレクトリサービスを活用できる。Microsoft Entra Connectを使えば、Active Directoryの設定とMicrosoft Entra IDの設定が同期可能になる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップシステム運用管理