Microsoft Entra Domain Services とは

Microsoft Entra Domain Services は、ドメイン参加、グループポリシー、ライトウェイトディレクトリアクセスプロトコル (LDAP)、Kerberos/NTLM 認証などのマネージドドメインサービスを提供します。クラウドでドメインコントローラー (DC) のデプロイ、管理、修正プログラムの適用を行わなくても、これらのドメインサービスを使用することができます。

Domain Services を使用して、Active Directory Domain Services (AD DS) プロトコルに依存し、先進認証を使用するように簡単に変更できないレガシアプリケーションをサポートします。 Azureのマネージドドメインに対してこれらのアプリケーションを実行することで、Azureでオンプレミスの AD DS インフラストラクチャを拡張または運用することなく、AD 依存ワークロードをクラウドにリフトアンドシフトできます。

Domain Services は、ユーザー、グループ、および資格情報の権限のソースとして機能するMicrosoft Entra IDと統合されます。この統合により、ユーザーは既存の ID を使用してマネージドドメインに接続されているアプリケーションとサービスにサインインでき、Microsoft Entra IDで ID 管理を一元化できます。

開始するには、Microsoft Entra管理センターを使用して Domain Services マネージドドメインを作成します

Microsoft Entra Domain Services の詳細については、短いビデオをご覧ください。

Microsoft Entra Domain Services を使用する場合

Domain Services は、AD DS プロトコルに依存するアプリケーションまたはワークロードを実行する組織が、Microsoft Entra IDを使用して ID とアクセスの管理を最新化するのに役立ちます。

次のシナリオでは、Domain Services の使用を検討する必要があります。

リフトアンドシフトレガシアプリケーション: LDAP、Kerberos、NTLM、グループポリシー、またはドメイン参加に依存するアプリケーションがオンプレミスで実行されている。これらのワークロードをクラウドに移行するが、OIDC や OAuth などの先進認証をサポートするように書き換えないようにする必要がある。
オンプレミスのフットプリントを削減する: 組織は、ワークロードをクラウドに移行し、オンプレミスのハードウェアを廃止したいと考えています。オンプレミスの AD DS への認証トラフィックのみにサイト間 VPN 接続を維持する代わりに、Azureでマネージドドメインを使用できます。
AD 最小化戦略を実装する: Microsoft Entra IDがプライマリ ID プロバイダーであるクラウドファースト戦略を採用しています。 Domain Services では、残りのレガシ AD DS 依存ワークロードがサポートされており、古い AD DS アーティファクトをAzureに拡張する必要がなくなります。
レガシワークロードの分散: 新しいアプリケーションでMicrosoft Entra IDを直接使用しながら、AD DS に依存するワークロードをAzureに維持する必要があります。
クラウドのみのレガシサポート: オンプレミスの AD DS がないクラウドネイティブの組織ですが、LDAP または従来のドメイン参加を必要とする特定のサードパーティアプリケーションがあります。 Domain Services は、完全な AD DS インフラストラクチャの構築を強制することなく、このギャップを埋めます。

Domain Services は、on-premises Active Directoryの一般的な代替機能やクラウドネイティブ ID サービスの代わりとしてではなく、レガシ認証を必要とするAzureホスト型ワークロードの移行機能として使用できます。

これらのシナリオの詳細については、Microsoft Entra Domain Services のユースケースとシナリオを参照してください。

クラウド体験でのドメインサービスのMicrosoft Entra

Entra Domain Services は、"AD 最小化" という目標を達成するのに役立ちます。従来の ID インフラストラクチャへの依存を減らし、Entra ID などの最新のクラウドベースの ID を優先します。

Entra Domain Services は、この体験のブリッジとして機能します。

最新のアプリ: 新しいクラウドネイティブアプリでは、Entra ID を使用する必要があります。
Legacy apps: Entra Domain Services を使用してAzureで簡単に最新化できない古いアプリを実行します。

この方法により、Azure Virtual Machines (IaaS) に AD DC を手動でデプロイおよび管理する際の複雑さとセキュリティの負担が回避されます。 Domain Services を使用すると、Id 管理を Entra ID で一元化したまま、レガシアプリに必要な互換性を確保できます。

Microsoft の推奨されるアプローチの詳細については、クラウド変換の体制に関するページを参照してください。

Microsoft Entra Domain Services のしくみ

Domain Services マネージドドメインを作成するときは、dscontoso.com などの一意の名前空間を定義します。 2 つのWindows Server ドメインコントローラーが、レプリカセットの一部として選択したAzure リージョンにデプロイされます。

これらのドメインコントローラーは、Microsoft によって完全に管理されています。構成、修正プログラムの適用、監視を行う必要はありません。プラットフォームは、可用性、バックアップ、保存時の暗号化を処理します。

マネージドドメインは、Microsoft Entra IDから一方向の同期を実行するように構成されます。 Microsoft Entra IDのユーザー、グループ、資格情報はマネージドドメインで使用できるようになり、Azureのアプリケーション、サービス、仮想マシンは、ドメイン参加、グループポリシー、LDAP、Kerberos/NTLM 認証などの使い慣れた AD DS 機能を使用できます。

ハイブリッド環境では、オンプレミスの AD DS からの ID 情報がMicrosoft Entra IDに同期され、マネージドドメインで使用できるようになります。

Domain Services は、クラウド専用のMicrosoft Entra テナントと、オンプレミスの AD DS 環境と同期されたテナントの両方で機能します。どちらのシナリオでも、同じマネージドドメイン機能のセットを使用できます。

また、複数のレプリカセットを Azure リージョンにデプロイして可用性を向上させ、レガシアプリケーションのディザスターリカバリーシナリオをサポートすることもできます。詳細については、マネージドドメインのレプリカセットの概念と機能に関する説明を参照してください。

Microsoft Entra Domain Services の機能と利点

クラウド内のアプリケーションと VM に ID サービスを提供するために、Domain Services は、ドメイン参加、Secure LDAP (LDAPS)、グループポリシー、DNS 管理、LDAP バインドと読み取りサポートなどの操作に対して、従来の AD DS 環境と完全に互換性があります。 LDAP 書き込みサポートは、マネージドドメインで作成されたオブジェクトに対して使用できますが、Microsoft Entra IDから同期されたリソースには使用できません。

Domain Services の次の機能により、展開と管理の操作が簡略化されます。

単純な展開エクスペリエンス: ドメインサービスは、Microsoft Entra管理センターの 1 つのウィザードを使用して、Microsoft Entra テナントに対して有効になります。
Microsoft Entra ID: ユーザーアカウント、グループメンバーシップ、および資格情報を使用した統合は、Microsoft Entra IDから自動的に使用できます。 Microsoft Entra テナントまたはオンプレミスの AD DS 環境からの属性に対する新しいユーザー、グループ、または変更は、Domain Services に自動的に同期されます。
- Microsoft Entra IDにリンクされている外部ディレクトリのアカウントは、Domain Services では使用できません。これらの外部ディレクトリでは資格情報を使用できないため、マネージドドメインに同期することはできません。
会社の資格情報/パスワードを使用する: Domain Services のユーザーのパスワードは、Microsoft Entra テナントのパスワードと同じです。ユーザーは、会社の資格情報を使用して、コンピューターのドメイン参加、対話形式またはリモートデスクトップ経由でのサインイン、マネージドドメインに対する認証を行うことができます。
NTLM および Kerberos 認証のサポート: NTLM および Kerberos 認証のサポートにより、Windows統合認証に依存するアプリケーションを展開できます。
組み込みの高可用性: Domain Services には、マネージドドメインの高可用性を提供する複数のドメインコントローラーが含まれています。この高可用性により、サービスのアップタイムと障害に対する回復性が保証されます。
- Azure Availability Zones をサポートするリージョンでは、これらのドメインコントローラーもゾーン間で分散され、回復性が向上します。
ディザスターリカバリー:レプリカセットを使用して、地理的なディザスターリカバリーを提供します。

マネージドドメインはスタンドアロンドメインであり、オンプレミスドメインの拡張機能ではありません。必要に応じて、ハイブリッドアクセスシナリオをサポートするように、オンプレミスの AD DS 環境でフォレストの信頼を構成できます。

ID オプションの詳細について学ぶには、Domain Services と Microsoft Entra ID、Azure VM 上の AD DS、オンプレミスの AD DS を比較してください。

次のステップ

Domain Services と他の ID ソリューションの比較と同期のしくみの詳細については、次の記事を参照してください。

Microsoft Entra ID、Azure VM でのActive Directory Domain Services、オンプレミスでのActive Directory Domain Servicesを使用したドメインサービスの構成
Microsoft Entra Domain Services を Microsoft Entra ディレクトリと同期する方法を学習します
マネージドドメインを管理する方法については、 Domain Services のユーザーアカウント、パスワード、管理の管理の概念を参照してください。

まず、Microsoft Entra管理センターを使用してマネージドドメインを作成します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-03-06