Azure AD Connect クラウド同期の説明で少し出てきたのですが、クラウド同期では Azure AD Domain Services のサポートが行われていません。その Azure AD DS とはどういったものなのか確認してみましょう。
Azure AD DS とは、マネージドサービスとなった AD DS 機能です。
Azure AD から同期をかけ、 Azure 上に 2 台のドメインコントローラーを構築してくれるサービスとなっています。もちろんマネージドなので、自身でサーバーの管理を行う必要はありません。
概要は以下 docs にあるのですが、覚えておきたいのは以下の図でしょうか。
Azure AD から Managed domain ( Azure AD DS )には一方通行の連携となっていることが分かります。
また、連携はされるのですが、新規にドメインコントローラーとして追加されるわけではなく、新規のフォレストが構築される形になることも重要な点ですね。
既存のドメインとは片方向の信頼関係を結べるので、既存ドメインのユーザーは Azure AD DS に参加したアプリへのアクセスができるというわけです。この辺りの仕組みは以下を見ておくとわかりやすいでしょうか。
これらを加味し、実際にどういった構成にするべきか、どういったときに利用するか、などは以下に記載されています。
個人的にはユーザーが同期されるものの片方向信頼となってしまうため若干使いづらい感じが残っているように思います。
それを考慮すると同期されたユーザーを正として環境を徐々にでも移行していき、最終的にハイブリッドをなくすように組み立てていくのがよさそうに感じますが、あまりそういったシナリオについては言及されていないのが気になるところですね。
実際に活用する際は FAQ の一読も忘れないようにしておきたいところです。
パスワードの有効期限の初期値が 90 日になっていることなど、組織運営上検討が必要な点が多く記載されています。
制約は多々あれどマネージド運用となるのは魅力的なため、 Azure AD に一本化が難しいケースなどでは利用の検討を行っておくとよいかもしれませんね。
音楽:Eyeball