クラウド優先のアプローチを実装する

これは主に、Active Directory Domain Services (AD DS) に新しい依存関係を追加し、IT ソリューションの新しい需要に対してクラウド優先のアプローチを実装して、可能な限り停止または制限するプロセスとポリシー主導のフェーズです。

この時点で、AD DS に新しい依存関係を追加する内部プロセスを特定することが重要です。 たとえば、ほとんどの組織には、新しいシナリオ/機能/ソリューションの実装前に従う必要がある変更管理プロセスがあります。 これらの変更承認プロセスが、以下を行うように更新されることを強くお勧めします。

• 提案された変更によって AD DS に新しい依存関係が追加されるかどうかを評価する手順を含めます。
• 可能な場合は、Microsoft Entra の代替手段を評価します。

属性

Microsoft Entra ID のユーザー属性を充実させて、より多くのユーザー属性を含めることができます。 リッチ ユーザー属性を必要とする一般的なシナリオの例を次に示します。

• アプリのプロビジョニング: アプリ プロビジョニングのデータ ソースは Microsoft Entra ID であり、必要なユーザー属性がそこに存在する必要があります。

• アプリケーションの認可: Microsoft Entra ID で発行されたトークンには、ユーザー属性から生成された要求を含めることができるため、アプリケーションはトークン内の要求に基づいて認可の決定を行うことができます。 また、 カスタム クレーム プロバイダーを介して外部データ ソースから取得される属性を含めることもできます。

• グループ メンバーシップの設定とメンテナンス: 動的メンバーシップ グループを使用すると、部署情報などのユーザー属性に基づいたグループの動的な設定が可能になります。

次の 2 つのリンクは、スキーマの変更に関するガイダンスを提供します。

• Microsoft Entra スキーマとカスタム式について

• Microsoft Entra Connect によって同期される属性

これらのリンクは、このトピックに関する詳細情報を提供しますが、スキーマの変更に固有のものではありません:

• 要求での Microsoft Entra スキーマ拡張属性の使用 - Microsoft ID プラットフォーム

• Microsoft Entra ID のカスタム セキュリティ属性とは (プレビュー)

• アプリケーション プロビジョニングで Microsoft Entra 属性マッピングをカスタマイズする

• Microsoft Entra アプリにオプションの要求を提供する - Microsoft ID プラットフォーム

• スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング または Microsoft Entra エンタイトルメント管理 とは (アプリケーション アクセス用)

グループ

グループに対するクラウドファーストのアプローチでは、クラウドに新しいグループを作成する必要があります。 オンプレミスで必要な場合は、 Microsoft Entra Cloud Sync を使用して Active Directory Domain Services (AD DS) にグループをプロビジョニングします。既存のオンプレミス グループのグループソース (SOA) を変換して、Microsoft Entra から管理します。

グループの詳細については、次のリンクを参照してください。

• Microsoft Entra ID で動的グループを作成または編集し、状態を取得する

• ユーザーが開始するグループ管理にセルフサービス グループを使用する

• スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニングまたは Microsoft Entra エンタイトルメント管理とは (アプリケーション アクセスの場合)

• グループの比較

• Microsoft Entra ID でゲスト アクセス許可を制限する

ユーザー

Active Directory へのアプリケーションの依存関係がないユーザーが組織内に存在する場合は、それらのユーザーを Microsoft Entra ID に直接プロビジョニングすることで、クラウド優先のアプローチを取ることができます。 Active Directory へのアクセスを必要としないが、Active Directory アカウントがプロビジョニングされているユーザーがいる場合は、その権限のソースを変更して、Active Directory アカウントをクリーンアップできます。

デバイス

クライアント ワークステーションは、従来、Active Directory に参加し、グループ ポリシー オブジェクト (GPO) または Microsoft Configuration Manager などのデバイス管理ソリューション経由で管理されます。 チームは、新しく展開されたワークステーションが今後ドメインに参加しないようにするための新しいポリシーとプロセスを確立します。 重要なポイントは次のとおりです。

• 新しい Windows クライアント ワークステーションに対して Microsoft Entra 参加を強制して、"ドメインへの参加をこれ以上しない" ようにします。

• Intune などの統合エンドポイント管理 (UEM) ソリューションを使用して、クラウドからワークステーションを管理します。

Windows オートパイロットによって、合理化されたオンボードとデバイス プロビジョニングを確立することを支援することができ。これにより、これらのディレクティブを適用できます。

Windows ローカル管理者パスワード ソリューション (LAPS) を使用すると、クラウド優先のソリューションでローカル管理者アカウントのパスワードを管理できます。

詳細については、「クラウドネイティブ エンドポイントの詳細」を参照してください。

アプリケーション

従来、アプリケーション サーバーでは、Windows 統合認証 (Kerberos または NTLM)、LDAP を介したディレクトリ クエリ、GPO または Microsoft Configuration Manager を通じたサーバー管理を利用できるように、オンプレミスの Active Directory ドメインに参加していることがよくあります。

新しいサービス、アプリ、インフラストラクチャを検討するとき、組織には Microsoft Entra の代替手段を評価するプロセスがあります。 アプリケーションに対するクラウド優先アプローチのディレクティブは、次のようになります。 (最新の代替手段が存在しない場合、新しいオンプレミス アプリケーションまたはレガシ アプリケーションは、まれな例外である必要があります)。

• 調達ポリシーとアプリケーション開発ポリシーを変更して、最新のプロトコル (OIDC/OAuth2 および SAML) を要求し、Microsoft Entra ID を使って認証するための推奨事項を提供します。 新しいアプリは、Microsoft Entra アプリ プロビジョニングもサポートし、LDAP クエリに依存しない必要があります。 例外には、明示的な確認と承認が必要です。

  重要

  従来のプロトコルを必要とするアプリケーションの予想される需要に応じて、より新しい代替手段が機能しない場合に Microsoft Entra Domain Services をデプロイすることを選択できます。

• クラウド ネイティブの代替手段の使用に優先順位を付けるポリシーを作成するための推奨事項を提供します。 ポリシーでは、ドメインへの新しいアプリケーション サーバーのデプロイを制限する必要があります。 ドメイン メンバー サーバーを置き換えるクラウドネイティブの一般的なシナリオは次のとおりです。

  • ファイル サーバー :

    • SharePoint または OneDrive は、Microsoft 365 ソリューション全体のコラボレーション サポートと、組み込みのガバナンス、リスク、セキュリティ、コンプライアンスを提供します。

    • Azure Files はクラウドで、業界標準の SMB プロトコルか NFS プロトコルを介してアクセスできる、フル マネージドのファイル共有を提供します。 お客様は、ドメイン コントローラーへの通信経路なしで Azure Files へのネイティブの Microsoft Entra 認証をインターネット経由で使用できます。

    • Microsoft Entra ID は、Microsoft アプリケーション ギャラリー内のサード パーティ製アプリケーションで動作します

  • プリント サーバー:

    • ユニバーサル印刷互換プリンターの調達が組織で義務付けられている場合は、パートナー統合に関するページを参照してください。

    • 互換性のないプリンタ用のユニバーサル印刷コネクタ付きブリッジ。

次の手順

• はじめに
• クラウドへの変換体制
• Microsoft Entra フットプリントを確立する
• クラウドへの移行