Azure Administrator (AZ-104)に合格しましたので、覚えた内容を忘れないように、これから少しずつアウトプットしていきたいと思います。
私が勉強に使った教材は、こちらでブログで紹介しています。
にほんブログ村
Active Directory(AD) とは
- AD とは一般的に、Active Directory Domain Service (AD DS) サーバーを指す
- AD DS とは、認証と認可を行うサーバー
- ディレクトリーサービスを提供
認証:
- 「本人確認」のプロセス。
- コンピューターの世界では、ユーザー名とパスワードを使って本人確認を行う。認証を通じて、「なりすまし」を防止する。
認可:
- 「その IDが、サービスやアプリケーションにアクセス可能であるか」を確認するプロセス。
- 認証された IDで、利用できるサービスやアプリケーションの範囲が決定する。
以下、分かりやすく表記するために、オンプレ Active Directoryを AD DS、Azure Active Directory を Azure AD とします。
AD DS と Azure AD の違い
1. 使用範囲の違い
- AD DS(オンプレ Active Directory)は、オンプレミス向けの認証と認可を提供
- Azure AD は、クラウド向けの認証と認可を提供
まず、AD DS とAzure Active Directory は、使用の範囲が異なります。
AD DS は、企業の中で、その企業のリソースを管理したり、認証と認可のために使われます。一方で、Azure AD は、クラウド向けの認証と認可とリソース管理のために使われます。
- 自社データーセンターに AD DS を設置(オンプレミス)
- 大規模拠点にも AD DS を設置するケースもあり
- 自社のサーバー(アプリ)へのアクセス制御
- Azure の自社のテナント上で AD DS を使用(クラウド)
- Azure の自社のテナント上のサーバー(アプリ)へのアクセス制御
- Microsoft 365 などの SaaS アプリへのアクセス制御
2. 使用されるプロトコルの違い
- AD DS は、社内ネットワークで使用され、Kerberos や NTLM を使用
- Azure AD は、インターネット環境で使用され、SAML、WS–Federation、OpenID Connect、OAuth などのプロトコルを使用
AD DS とAzure AD では、認証と認可でしようされるプロトコルが異なります。
AD DS は、組織内で使われることを前提としており、古くはNTLM、今の主流ですと、Kerberos を使って、認証と認可を行います。
一方で、Aure AD はクラウドを前提としており、SAML、WS-Federation、OpenID Connect、OAuth などといったプロトコルを使って、認証と認可を行います。
- オンプレ AD DSでディレクトリーサービスを提供
- Kerberos (古いと LDAP)を使って認証
- ブラウザーでのアクセスを対象
- SaaS アプリにアクセスし、Azure AD で認証
- Azure AD の許可で、SaaS アプリへのアクセス許可を得る
3. 組織構成の違い
- AD DS は、組織を1つのフォレストとし、その中でドメインを構成し、必要に応じてドメイン同士で信頼関係を結ぶ
- Azure AD は、Microsoft が提供するAD DS 上で、組織にテナントが割り当てられる
AD DS ではフォーレストという空間を組織毎にドメインで小分けして管理します。それぞれのドメインは、アクセスが必要であれば信頼関係を結びます。
一方で、Azure AD にはドメインという考え方はなく、代わりにテナントいう考え方になります。1つの組織は1つのテナントとして認識されます。信頼関係という考え方もありません。
- 1つの組織で1つのフォレストを構成
- フォレストの中にドメインを作成
- 必要に応じて子ドメインも作成
- 信頼関係を結ぶことでアクセスの許可
- Azure AD はマルチテナントで動作
- 組織は、Azure AD 上で「テナント」として管理
- 必要に応じて複数のテナントを作成することも可能
- 信頼関係という考え方はない(それぞれが独立したテナント)
Azure AD は、クラウドベースの ID を一元管理し、アプリケーションへのアクセス要求に対して認証と認可を行います。
また、クラウドサービスとして提供されるものなので、当然ながらドメインコントローラーのようなサーバーの展開はありませんし、ドメインコントローラーのメンテナンスも必要なくなります。
- クラウドサービス:AWSとAzureの違い
- MS Azure を学ぶ (0) 用語比較
- MS Azure を学ぶ (1) リソースグループの作成と管理
- MS Azure を学ぶ(2)Azure Active Directory とオンプレ Active Directory の違い
- MS Azure を学ぶ (3) リソースグループの作成と管理 2
合格対策Microsoft認定試験AZ-104:Microsoft Azure Administratorテキスト&演習問題
(模擬試験付き)徹底攻略 Microsoft Azure Administrator 教科書 [AZ-104] 対応
関連するブログ:
- 初心者向けパブリッククラウド: AWSとAzure
- AWSを学ぶ(1)VPCを理解しよう
- AWSを学ぶ(2)VPCを作ってみよう
- AWSを学ぶ(3)ゲートウェイとセキュリティーについて
- AWSを学ぶ(4)EC2を理解しよう
- AWSを学ぶ(5)EC2の性能とコストの考え方
- AWSを学ぶ(6)EC2 を使ってみよう
- AWSを学ぶ(7)Route 53 について
- AWSを学ぶ(8)CloudFront って何だろう
- AWSを学ぶ(9)ELB を使ってみよう
最近の人気ブログ TOP 10:
- 夢の国で起きた悲劇 ~ディズニーリゾートで心中した一家~
- 新潟六日町のトンネル事件:恋愛に狂った暴力団員の極限の嫉妬
- 知られざる女子高生コンクリ詰め殺人発覚当時の報道(後編)
- 仙台アルバイト女性集団暴行殺人
- 犬鳴峠リンチ焼殺事件 ~超凶悪少年犯罪~
- 浜田省吾ファン必見の聖地巡礼訪問地リスト
- 広島の魅力: 浜田省吾ファン必見のスポット
- 未成年に踏みにじられた25歳の純情 ―実録・おやじ狩り被害―
- R40、テルの今:城東工業高校の伝説のその後
- 高崎山の王・ベンツ ~ミスターニホンザルの生涯~
最近の記事:
- 複数の宛先に ping を打つことができる「fping」
- ネイティブの英語 7 “A cup of joe”
- 死刑確定囚・野比のび太 – 第二十三話・昇華するのび太の鬱屈
- 死刑確定囚・野比のび太 – 第二十二話・静の怒りと武の苛立ち
- 死刑確定囚・野比のび太 – 第二十一話・夫婦間の亀裂とのび太の影響
- 死刑確定囚・野比のび太 – 第二十話・のび太の初出勤: 恐れと葛藤
- 死刑確定囚・野比のび太 – 第十九話・ジャイアンとのび太の絆
- 死刑確定囚・野比のび太 – 第十八話・引きこもりの息子と家族のジレンマ
- 死刑確定囚・野比のび太 – 第十七話・ドラえもんと30歳ののび太の葛藤
- 死刑確定囚・野比のび太 – 第十六話・剛田商店の成長と静香の貢献
