検索
特集/連載

「Active Directory」から「Microsoft Entra ID」にトラブルなしで移行するには?ADからEntra IDへのスムーズな移行ガイド【後編】

オンプレミスシステム用の「Active Directory」から、クラウドサービス用の「Microsoft Entra ID」に移行するには、どのようなプロセスを踏めばよいのか。移行すべき対象や具体的な手順を解説する。

Share
Tweet
LINE
Hatena

 「Active Directory」(AD)は、Microsoftが提供するID・アクセス管理システムだ。ADが企業のオンプレミスシステムでID管理の中心的役割を果たし続けている一方、クラウドサービスの普及に伴い、ID・アクセス管理システムの移行が課題として浮上している。そこで移行先候補になるのがクラウド版の「Microsoft Entra ID」(旧「Azure Active Directory」)だ。どのように進めれば移行を成功させることができるのか。ADとMicrosoft Entra IDの違いを踏まえつつ、移行を無事にやり切るための具体的な方法と注意点を解説しよう。

「Microsoft Entra ID」にトラブルなしで移行するには?

 Entra IDは複数のクラウドサービスとの連携、拡張性、セキュリティ機能など、現代のビジネスニーズに適した特徴を備える。ADからMicrosoft Entra IDへの移行は、企業のシステムごとの要件や構成によって必要なプロセスが異なる。そのため、移行時には詳細な計画を立てることが重要だ。

 総じて重要な作業は、移行が必要なオブジェクト(登録済みのデバイスやエンドユーザーの情報)を特定することだ。ユーザーオブジェクト(ユーザーアカウント情報)のように、ほとんどの場合移行が必要なADオブジェクトもあれば、Microsoft Entra IDでは不要になる、あるいは管理できないオブジェクトも存在する。例えば物理的なネットワーク構成を表すサイトオブジェクトは、クラウドサービスであるMicrosoft Entra IDを利用する上では不要になる。

 オブジェクトを移行する順番も重要な考慮事項だ。特に大企業では、全てのオブジェクトを一度に移行することは容易ではない。IT部門は、エンドユーザーの混乱を招かないような移行計画を策定する必要がある。Microsoftが提供している、Microsoft Entra IDへの移行に関するガイダンスを活用するとよい。

 Microsoft Entra IDへ移行する際には、DNS(ドメインネームシステム)の管理方法も検討しなければならない。ADは社内LANで特定のマシンやサービスを見つけるためにDNSを利用している。同時に、ADはドメインコントローラー(認証サーバ)によって稼働しているとともに、ほとんどの場合ドメインコントローラーはDNSサーバとして機能している。ADを段階的に廃止する場合、ドメインコントローラーも同時に廃止することになる可能性がある点に注意が必要だ。ADを廃止してDNS機能のみを提供するスタンドアロンのDNSサーバを導入するか、クラウド版DNSサーバを利用することを視野に入れよう。オンプレミスDNSサーバを維持する場合、Microsoft Entra IDへの移行時に特定のDNSレコード(ドメイン名に関する情報)を変更、削除すべきかどうかを判断する必要がある。

 スムーズに移行を進めるには、ADを最新の状態に保っておくことも重要だ。具体的には、ドメインコントローラーの更新、ADの状態がMicrosoftの推奨に準拠しているかどうかの確認といった作業を実施する。移行計画を立てた後は、テスト環境を構築して試験移行を実施し、計画を検証することが不可欠だ。

Microsoft Entra Connectによる同期

 オンプレミスシステムではADを使い続け、クラウドサービスではMicrosoft Entra IDを使用するといった使い分けで、ADとMicrosoft Entra IDを併用することも可能だ。両者を同期させるには、Microsoftが提供する「Microsoft Entra Connect」(旧「Azure AD Connect」)が活用できる。

 同期の際は、どのオブジェクトを同期するのかなどのルールを適切に設定することが欠かせない。同期後も、意図した通りに同期できたかどうかを確認しよう。正しいオブジェクトが同期されていることや、ログにエラーがないことをチェックするとよい。

移行後に実施すべき作業

 移行が完了したら、ADとそれが稼働しているサーバのシャットダウンプロセスに進む。ただし完全に停止すると予期しない問題が発生する可能性があるため、まずはユーザー認証やアクセス権限、グループポリシー管理などの機能が正しく機能していることを確認する。古いドメインコントローラーが不要になったと確信できるまで、ドメインコントローラーを削除するのではなく、一時停止する方が望ましい。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る