Active Directoryから「Microsoft Entra ID」に移行する理由と“第三の選択肢”：Microsoft Entra IDを知る【後編】

オンプレミスシステムからクラウドサービスにシステムを移行する際は、Microsoft のディレクトリサービスについても検討の余地がある。「Active Directory」から「Microsoft Entra ID」に切り替える場合のデメリットは何か。

[Brien Posey，TechTarget]

　企業がクラウドサービスへのシステム移行を計画する際、検討事項の一つになるのがMicrosoftのディレクトリサービス「Active Directory」をクラウドサービス版のディレクトリサービス「Microsoft Entra ID」（旧「Azure Active Directory」）に切り替えるかどうかだ。Microsoft Entra IDに移行することには複数のメリットがあるが、注意すべき点もある。企業がMicrosoft Entra IDを導入する前に考慮しなければならないデメリットとは何か。

「Active Directory」移行時の無視できない障壁

併せて読みたいお薦め記事

連載：Microsoft Entra IDを知る

• 前編：「Active Directory」と「Microsoft Entra ID」の根本的な違いとは？

オンプレミス版とクラウド版のIAM

• 「Active Directory」（AD）と「Azure AD」の違い　クラウド版だけの機能とは
• 「Active Directory」（AD）とクラウドの「Azure AD」を同期させる方法とは

　Active DirectoryからMicrosoft Entra IDに移行するに当たってIT管理者が注意すべき点の一つは、管理ツールへの適応に時間がかかる場合があることだ。Microsoft Entra IDでは、「Active Directory ユーザーとコンピューター」のような、なじみのある管理ツールは使えない。その代わりに「Microsoft Configuration Manager」「Microsoft Intune」といった、Active Directoryでは使うことがなかった管理ツールを使用する必要がある。

　別の考慮すべき点は、Active Directoryでは管理できていた古いアプリケーションが、Microsoft Entra IDでは管理できない可能性があることだ。Microsoft Entra IDには存在しないグループポリシーを設定しなければならないような、古いアプリケーションが存在する場合がある。

　この問題は、Active DirectoryとMicrosoft Entra IDが、通信や認証などで異なるプロトコルを採用していることに起因する。Active Directoryは、ディレクトリサービスにアクセスするプロトコルとして「LDAP」（Lightweight Directory Access Protocol）を用いる。一方Microsoft Entra IDは、標準でLDAPを利用できない。そのためActive DirectoryからMicrosoft Entra IDに移行した際、Active Directoryで管理していたアプリケーションがフォルダを参照できなくなる可能性がある。Active DirectoryとMicrosoft Entra ID間の同期ツール「Microsoft Entra Connect」（旧「Azure AD Connect」）を使用するなどの対策は可能だが、LDAPを利用する全ての機能がMicrosoft Entra IDでも使えるわけではない。

　認証や認可の仕組みも異なる。Active Directoryは「Kerberos」や「NT LAN Manager」（NTLM）といったプロトコルを使い、Microsoft Entra IDは「OAuth」（Open Authorization）や「SAML」（Security Assertion Markup Language）などのプロトコルを使う。この問題に対しても、Microsoft Entra ConnectでKerberosを使用するという対策はある。

お薦めは“ハイブリッド”

　企業はActive DirectoryとMicrosoft Entra IDのどちらかを選択しなければいけないわけではなく、併用することも可能だ。それぞれのドメインコントローラー（認証サーバ）を、オンプレミスシステムとクラウドサービスに構築した仮想マシン（VM）で稼働させてもよい。Active DirectoryとMicrosoft Entra IDを併用することで、古いアプリケーションを管理しつつ、クラウドベースのモダンなディレクトリサービスを活用できる。Microsoft Entra Connectを使えば、Active Directoryの設定とMicrosoft Entra IDの設定が同期可能になる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。