オンプレミスの Active Directory ドメインを Microsoft Entra ID と統合する
Microsoft Entra ID は、クラウドベースのディレクトリと ID サービスです。 この参照アーキテクチャでは、オンプレミスの Active Directory ドメインと Microsoft Entra ID を統合してクラウド ベースの ID 認証を提供する場合のベスト プラクティスを示します。
Architecture
このアーキテクチャの Visio ファイルをダウンロードします。
Note
わかりやすくするために、この図は、認証と ID フェデレーションの一部として発生する可能性があるプロトコル関連のトラフィックではなく、Microsoft Entra ID に直接関連する接続のみを示しています。 たとえば、Web アプリケーションは、Microsoft Entra ID を介して要求を認証するために Web ブラウザーをリダイレクトする場合があります。 認証後、要求を適切な ID 情報と共に Web アプリケーションに渡すことができます。
Components
Microsoft Entra テナント: 組織によって作成された Microsoft Entra ID のインスタンス。 オンプレミスの Active Directory からコピーされたオブジェクトを格納することによってクラウド アプリケーションのディレクトリ サービスとして動作し、ID サービスを提供します。
Web 層サブネット: このサブネットは、Web アプリケーションを実行する仮想マシン (VM) をホストします。 Microsoft Entra ID は、このアプリケーションの ID ブローカーとして機能します。
オンプレミス Active Directory Domain Services (AD DS) サーバー: オンプレミスのディレクトリと ID サービス。 AD DS ディレクトリは、Microsoft Entra ID がオンプレミスのユーザーを認証できるように同期することができます。
Microsoft Entra Connect Sync サーバー:Microsoft Entra Connect 同期サービスを実行するオンプレミス コンピューター。 このサービスは、オンプレミスの Active Directory に格納されている情報を Microsoft Entra ID と同期します。 たとえば、オンプレミスでユーザーとグループをプロビジョニングまたはプロビジョニング解除すると、それらの変更が Microsoft Entra ID に自動的に同期されます。
Note
セキュリティ上の理由から、Microsoft Entra ID はユーザー パスワードをハッシュとして格納します。 ユーザーがパスワードのリセットを必要とする場合は、リセットをオンプレミスで実行し、更新されたハッシュを Microsoft Entra ID に送信する必要があります。 Microsoft Entra ID P1 または P2 エディションには、クラウドでパスワード変更を開始し、オンプレミスの AD DS に書き戻す機能が含まれています。
N 層アプリケーションの VM: ワークロードを Web、ビジネス ロジック、データなどの個々の層に分離することで、スケーラブルで回復性があり、セキュリティで保護されたアプリケーションをサポートする VM。 これらのリソースの詳細については、「 VM での N 層アーキテクチャ」を参照してください。
Scenario details
考えられるユース ケース
この参照アーキテクチャでは、次の一般的な用途を検討してください。
組織に属しているリモート ユーザーにアクセスを提供する、Azure にデプロイされた Web アプリケーション。
パスワードのリセットやグループ管理の委任など、顧客向けのセルフサービス機能の実装。 この機能には、Microsoft Entra ID P1 または P2 エディションが必要です。
オンプレミス ネットワークとアプリケーションの Azure 仮想ネットワークが VPN トンネルまたは Azure ExpressRoute 回線を使用して接続されていないアーキテクチャ。
Note
Microsoft Entra ID では、組織のディレクトリに存在するユーザーおよびアプリケーションの ID を認証できます。 SQL Server などの一部のアプリケーションやサービスでは、コンピューター認証が必要になる場合があります。この場合、このソリューションは適切ではありません。
Recommendations
次の推奨事項は、ほとんどのシナリオに適用できます。 これらの推奨事項には、オーバーライドする特定の要件がない限り、従ってください。
Microsoft Entra Connect Sync サービスを構成する
Microsoft Entra Connect Sync サービスは、クラウドに格納されている ID 情報とオンプレミスに保持されている ID 情報の整合性を保証します。 このサービスは、Microsoft Entra Connect ソフトウェアを使用してインストールします。
Microsoft Entra Connect Sync を実装する前に、組織の同期要件を決定します。 たとえば、同期する対象、含めるドメイン、同期を実行する頻度を検討します。
Microsoft Entra Connect Sync サービスは、オンプレミスでホストされている VM またはコンピューターで実行できます。 Active Directory ディレクトリ内の情報の変動の度合いによっては、Microsoft Entra Connect Sync サービスの負荷が、Microsoft Entra ID と初期同期された後はそれほど高くならない可能性があります。 VM でサービスを実行すると、必要に応じて簡単にサーバーを拡張できます。 Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.
フォレスト内に複数のオンプレミス ドメインがある場合は、フォレスト全体の情報を 1 つの Microsoft Entra テナントに格納して同期することをお勧めします。 複数のドメインで発生する ID の情報をフィルター処理して、各 ID が重複するのではなく Microsoft Entra ID に 1 回だけ表示されるようにします。 重複すると、データが同期されるときに不整合が発生する可能性があります。 詳細については、「 ネットワーク トポロジの検証 」セクションを参照してください。
必要なデータだけが Microsoft Entra ID に格納されるように、フィルター機能を使います。 たとえば、組織によっては、Microsoft Entra ID の非アクティブなアカウントに関する情報を格納したくない場合があります。 フィルター処理は、グループ、ドメイン、組織単位 (OU)、または属性に基づいて行うことができます。 フィルターを組み合わせて、複雑なルールを生成できます。 たとえば、選択した属性に特定の値を持つドメインに保持されているオブジェクトを同期できます。 詳細については、「 Microsoft Entra Connect Sync: フィルター処理の構成」を参照してください。
Active Directory Connect 同期サービスの高可用性を実装するには、セカンダリ ステージング サーバーを実行します。 For more information, see Staging mode.
Note
Microsoft Entra クラウド同期 は、ユーザー、グループ、および連絡先を Microsoft Entra ID に同期するためのハイブリッド ID 目標を満たし、達成するように設計された Microsoft のオファリングです。 Microsoft Entra クラウド同期では、Active Directory から Microsoft Entra ID へのプロビジョニングが Microsoft 365 で調整されます。
セキュリティの構成とポリシーを検証する
ユーザー パスワード管理。 Microsoft Entra ID P1 または P2 エディションでは、パスワード ライトバックがサポートされています。 この機能を使用すると、オンプレミスのユーザーは Azure portal 内からセルフサービスパスワードリセットを実行できます。 この機能は、組織のパスワード セキュリティ ポリシーを確認した後でのみ有効にする必要があります。 たとえば、パスワードを変更できるユーザーを制限したり、パスワード管理エクスペリエンスをカスタマイズしたりできます。 詳細については、「Microsoft Entra のセルフサービス パスワード リセットのユーザー エクスペリエンスをカスタマイズする」を参照してください。
外部からアクセスできるオンプレミスのアプリケーションを保護します。 Microsoft Entra アプリケーション プロキシを使って、オンプレミスの Web アプリケーションに対する、ネットワークの外部ユーザーからの Microsoft Entra ID を介したアクセスを制御します。 アプリケーションを使用するアクセス許可を持つのは、Azure ディレクトリに有効な資格情報を持つユーザーだけです。 詳細については、「 Microsoft Entra ID でアプリケーション プロキシを有効にする」を参照してください。
Microsoft Entra ID で不審なアクティビティの兆候を積極的に監視します。 Microsoft Entra ID Protection を含む Microsoft Entra ID P2 エディションの使用を検討してください。 ID Protection では、アダプティブ機械学習アルゴリズムとヒューリスティックを使用して、ID が侵害されたことを示す可能性のある異常とリスク イベントを検出します。 たとえば、不規則なサインイン アクティビティ、不明なソースからのサインイン、疑わしいアクティビティがある IP アドレスからのサインイン、感染している可能性のあるデバイスからのサインインなど、異常な可能性があるアクティビティを検出できます。 Identity Protection は、このデータを使ってレポートとアラートを生成し、ユーザーがこれらのリスク イベントを調査して、適切なアクションを実行できるようにします。 For more information, see ID Protection.
Azure portal で Microsoft Entra ID のレポート機能を使用して、システムで発生するセキュリティ関連のアクティビティを監視できます。 これらのレポートの使用方法の詳細については、 Microsoft Entra の監視と正常性に関する説明を参照してください。
ネットワーク トポロジを検証する
組織の要件に最も近いトポロジを実装するように Microsoft Entra Connect を構成します。 Microsoft Entra Connect では、次のトポロジがサポートされています。
単一フォレスト、単一の Microsoft Entra ディレクトリ: このトポロジでは、Microsoft Entra Connect は、1 つのオンプレミス フォレスト内の 1 つ以上のドメインのオブジェクトと ID 情報を 1 つの Microsoft Entra テナントに同期します。 このトポロジは、Microsoft Entra Connect の高速インストールによる既定の実装です。
Note
複数の Microsoft Entra Connect Sync サーバーを使用して、同じオンプレミス フォレスト内の異なるドメインを同じ Microsoft Entra テナントに接続しないでください。 この構成は、次のセクションで説明するように、いずれかのサーバーがステージング モードで実行されている場合にのみ適しています。
複数のフォレスト、単一の Microsoft Entra ディレクトリ: このトポロジでは、Microsoft Entra Connect は複数のフォレストのオブジェクトと ID 情報を 1 つの Microsoft Entra テナントに同期します。 組織にオンプレミスのフォレストが複数ある場合は、このトポロジを使います。 ユーザーが複数のフォレストに存在する場合でも、一意の各ユーザーが Microsoft Entra ディレクトリに 1 回表示されるように、ID 情報を統合できます。 すべてのフォレストは、同じ Microsoft Entra Connect Sync サーバーを使います。 Microsoft Entra Connect Sync サーバーは、ドメインの一部になっていなくてもかまいませんが、すべてのフォレストから到達可能である必要があります。
Note
このトポロジでは、単一の Microsoft Entra テナントに接続するために、オンプレミスのフォレストごとに異なる Microsoft Entra Connect Sync サーバーを使わないでください。 この構成により、ユーザーが複数のフォレストに存在する場合、Microsoft Entra ID の ID 情報が重複する可能性があります。
複数のフォレスト、個別のトポロジ: このトポロジは、個別のフォレストの ID 情報を 1 つの Microsoft Entra テナントにマージし、すべてのフォレストを個別のエンティティとして扱います。 このトポロジは、異なる組織のフォレストを結合し、各ユーザーの ID 情報が 1 つのフォレストにのみ保持されている場合に便利です。
Note
各フォレストのグローバル アドレス一覧が同期されている場合、あるフォレスト内のユーザーが別のフォレストに連絡先として存在する可能性があります。 この動作は、組織が Forefront Identity Manager 2010 または Microsoft Identity Manager 2016 で GALSync を実装している場合に発生する可能性があります。 In this scenario, you can specify that users should be identified by their Mail attribute. You can also match identities by using the ObjectSID and msExchMasterAccountSID attributes. この方法は、アカウントが無効になっているリソース フォレストが 1 つ以上ある場合に便利です。
Staging server: In this configuration, you run a second instance of the Microsoft Entra Connect Sync server in parallel with the first. この構造では、次のシナリオがサポートされています。
High availability
Microsoft Entra Connect Sync サーバーの新しい構成のテストと展開
新しいサーバーの概要と古い構成の使用停止
In these scenarios, the second instance runs in staging mode. サーバーは、インポートされたオブジェクトと同期データをデータベースに記録しますが、Microsoft Entra ID にはデータを渡しません。 ステージング モードを無効にすると、サーバーは Microsoft Entra ID へのデータの書き込みを開始します。 また、必要に応じて、オンプレミスのディレクトリへのパスワード ライトバックの実行も開始します。 詳しくは、「Azure AD Connect Sync: 操作タスクおよび考慮事項」をご覧ください。
複数の Microsoft Entra ディレクトリ: 通常は、組織用に 1 つの Microsoft Entra ディレクトリを作成します。 ただし、個別の Microsoft Entra ディレクトリ間で情報をパーティション分割する必要があるシナリオもあります。 この場合は、オンプレミス フォレストの各オブジェクトが 1 つの Microsoft Entra ディレクトリにのみ表示されるようにすることで、同期とパスワードライトバックの問題を回避します。 このシナリオを実装するには、Microsoft Entra ディレクトリごとに個別の Microsoft Entra Connect Sync サーバーを構成し、フィルターを使って、各 Microsoft Entra Connect Sync サーバーが、相互に排他的なオブジェクトのセットを処理するようにします。
これらのトポロジについての詳細は、Microsoft Entra Connect のトポロジに関する記事をご覧ください。
ユーザーの認証方法を構成する
既定では、Microsoft Entra Connect Sync サーバーによって、オンプレミス ドメインと Microsoft Entra ID の間のパスワード ハッシュ同期が構成されます。 Microsoft Entra サービスでは、ユーザーがオンプレミスで使用するものと同じパスワードを指定して認証することを前提としています。 多くの組織にはこの方法が適していますが、組織の既存のポリシーとインフラストラクチャを考慮する必要があります。 次の要因について検討します。
組織のセキュリティ ポリシーでは、クラウドへのパスワード ハッシュの同期が禁止されている場合があります。 In this case, your organization should consider pass-through authentication.
ユーザーが、企業ネットワーク上のドメイン参加マシンからクラウドのリソースに、シームレスなシングル サインオン (SSO) でアクセスできるようにすることが必要な場合があります。
組織には、Active Directory フェデレーション サービス (AD FS) または Microsoft 以外のフェデレーション プロバイダーが既にデプロイされている可能性があります。 クラウドに保持されているパスワード情報を使用する代わりに、このインフラストラクチャを使用して認証と SSO を実装するように Microsoft Entra ID を構成できます。
詳細については、「 Microsoft Entra Connect のユーザー サインイン オプション」を参照してください。
Microsoft Entra アプリケーション プロキシを構成する
Microsoft Entra ID を使用して、オンプレミス アプリケーションへのアクセスを提供します。
Microsoft Entra アプリケーション プロキシ コンポーネントが管理するアプリケーション プロキシ コネクタを使用して、オンプレミスの Web アプリケーションを公開します。 アプリケーション プロキシ コネクタによって、Microsoft Entra アプリケーション プロキシへの送信ネットワーク接続が開きます。 Web アプリへのこのプロキシ接続を通じて、リモート ユーザーの要求が Microsoft Entra ID から送り返されます。 この構成により、オンプレミスのファイアウォールで受信ポートを開く必要がなくなり、組織が攻撃にさらされている範囲が削減されます。
詳細については、「 Microsoft Entra アプリケーション プロキシを使用してアプリケーションを発行する」を参照してください。
Microsoft Entra オブジェクトの同期を構成する
Microsoft Entra Connect の既定の構成では、「Microsoft Entra Connect Sync: 既定の構成について」で指定された規則に基づいて、ローカル Active Directory ディレクトリからオブジェクトを同期します。 これらの規則を満たすオブジェクトは同期され、他のすべてのオブジェクトは無視されます。 次の規則の例を考えてみましょう。
User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
User objects must have a sAMAccountName attribute and can't start with the text Azure AD_ or MSOL_.
Microsoft Entra Connect は、User、Contact、Group、ForeignSecurityPrincipal、Computer オブジェクトにいくつかのルールを適用します。 既定の規則セットを変更する必要がある場合は、Microsoft Entra Connect と共にインストールされている同期規則エディターを使用します。
また、独自のフィルターを定義し、同期されるオブジェクトをドメインまたは OU の値で制限することができます。 Alternatively, you can implement more complex custom filtering.
監視エージェントの構成
オンプレミスにインストールされている次のエージェントは、正常性の監視を実行します。
Microsoft Entra Connect は、同期操作に関する情報をキャプチャするエージェントをインストールします。 正常性とパフォーマンスを監視するには、Azure Portal の [Microsoft Entra Connect Health] ブレードを使います。 詳細については、「同期に Microsoft Entra Connect Health を使用する」を参照してください。
AD DS ドメインとディレクトリの正常性を Azure から監視するには、オンプレミスのドメイン内のマシンに Microsoft Entra Connect Health for AD DS エージェントをインストールします。 正常性の監視には、Azure Portal の [Azure Active Directory Connect Health] ブレードを使います。 詳細については、「 AD DS で Microsoft Entra Connect Health を使用する」を参照してください。
Microsoft Entra Connect Health for AD FS エージェントをインストールしてオンプレミスで実行されるサービスの正常性を監視し、Azure portal の Microsoft Entra Connect Health ブレードを使用して AD FS を監視します。 詳細については、「 AD FS で Microsoft Entra Connect Health を使用する」を参照してください。
詳細については、「Microsoft Entra Connect Health エージェントのインストール」を参照してください。
Considerations
これらの考慮事項では、Azure Well-Architected Framework の柱を実装します。これは、ワークロードの品質を向上させるために使用できる一連の基本原則です。 For more information, see Well-Architected Framework.
Reliability
信頼性は、アプリケーションが顧客に対して行ったコミットメントを確実に満たすことができるのに役立ちます。 詳細については、「信頼性 設計レビューチェックリスト」を参照してください。
Microsoft Entra サービスは、地理的に分散されており、自動フェールオーバーを利用して、世界中に点在する複数のデータセンターで実行されます。 データセンターが利用できなくなった場合、Microsoft Entra ID により、少なくとも 2 つの地理的に分散されたデータセンターで、ディレクトリ データがインスタンス アクセスに使用できるようになります。
Note
Microsoft 365 Apps AD レベルと Premium サービスのサービス レベル アグリーメント (SLA) では、少なくとも 99.9% の可用性が保証されます。 Microsoft Entra ID の Free レベルには SLA はありません。 詳細については、Microsoft Entra ID の SLA を参照してください。
可用性を高めるために、ステージング モードで Microsoft Entra Connect Sync サーバーの 2 番目のインスタンスをプロビジョニングすることを検討してください。
Microsoft Entra Connect に付属する SQL Server Express LocalDB のインスタンスを使っていない場合は、SQL のクラスタリングを使って高可用性を実現することを検討します。 Microsoft Entra Connect では、ミラーリングや Always On などのソリューションはサポートされていません。
Microsoft Entra Connect Sync サーバーの高可用性の実現に関するその他の考慮事項と、障害発生後の回復方法については、「 Microsoft Entra Connect Sync: 運用タスクと考慮事項 - ディザスター リカバリー」を参照してください。
セキュリティ
セキュリティでは、重要なデータやシステムへの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティ 設計レビューチェックリスト」を参照してください。
Microsoft Entra 条件付きアクセス制御を使用して、予期しないソースからの認証要求を拒否します。
信頼されたネットワークではなく、インターネット経由など、信頼されていない場所からユーザーが接続しようとした場合に、 Microsoft Entra 多要素認証 (MFA) をトリガーします。
iOS、Android、Windows などのユーザーのデバイス プラットフォームの種類を使用して、アプリケーションと機能へのアクセス ポリシーを決定します。
ユーザーのデバイスの有効または無効の状態を記録します。 この情報をアクセス ポリシー チェックに組み込みます。 たとえば、ユーザーの電話が紛失または盗難にあった場合は、アクセスに使用されないように無効として記録する必要があります。
グループ メンバーシップに基づいて、リソースへのユーザーのアクセスを制御します。 グループの管理を簡素化するには、Microsoft Entra 動的メンバーシップ ルールを使用します。
通常とは異なるサインイン アクティビティやその他のイベントに基づいて高度な保護を提供するには、ID 保護で条件付きアクセス のリスクベースのポリシーを使用します。
詳細については、「 リスクベースのアクセス ポリシー」を参照してください。
Cost Optimization
コストの最適化では、不要な経費を削減し、運用効率を向上させる方法に重点を置いています。 詳細については、「コストの最適化 設計レビューチェックリスト」を参照してください。
コストの見積もりには、Azure 料金計算ツールをご利用ください。
次のコストに関する考慮事項を考慮してください。
Microsoft Entra Connect: Microsoft Entra Connect 同期機能は、Microsoft Entra ID のすべてのエディションで利用できます。
Microsoft Entra Connect を使用するための追加のライセンス要件はありません。 また、Azure サブスクリプションに含まれています。
Microsoft Entra ID のエディションの価格情報については、「Microsoft Entra の価格」をご覧ください。
N 層アプリケーションの VM: これらのリソースのコストについては、「 Azure Virtual Machines とスケール セットのアーキテクチャのベスト プラクティス」を参照してください。
Operational Excellence
オペレーショナル エクセレンスは、アプリケーションをデプロイし、運用環境で実行し続ける運用プロセスを対象としています。 詳細については、「オペレーショナル エクセレンス 設計レビュー チェックリスト」を参照してください。
Manageability
Microsoft Entra ID の管理には次の 2 つの側面があります。
- クラウドでの Microsoft Entra ID の管理
- Microsoft Entra Connect 同期サーバーの維持
Microsoft Entra ID では、クラウド内のドメインとディレクトリの管理に関して、次のオプションが用意されています。
Microsoft Graph PowerShell モジュール は、ユーザー管理、ドメイン管理、SSO の構成など、Microsoft Entra の一般的な管理タスクをスクリプト化するために使用されます。
Azure portal の Microsoft Entra 管理ブレード には、ディレクトリの対話型管理ビューが用意されています。 また、Microsoft Entra ID のほとんどの側面を制御および構成することもできます。
Microsoft Entra Connect では、オンプレミスのコンピューターから Microsoft Entra Connect Sync サービスを維持するための、次のツールがインストールされます。
Microsoft Entra Connect コンソール を使用すると、Microsoft Entra Connect Sync サーバーの構成の変更、同期の実行方法のカスタマイズ、ステージング モードの有効化または無効化、ユーザー サインイン モードの切り替えを行うことができます。 オンプレミス インフラストラクチャを使用して AD FS サインインを有効にすることができます。
Synchronization Service Manager では、このツールの [ 操作 ] タブを使用して同期プロセスを管理し、プロセスの一部が失敗したかどうかを検出します。 このツールを使用して、同期を手動でトリガーできます。 The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
同期規則エディター を使用すると、オブジェクトがオンプレミスのディレクトリと Microsoft Entra ID の間でコピーされるときにオブジェクトを変換する方法をカスタマイズできます。 このツールを使用すると、同期のために追加の属性とオブジェクトを指定できます。 次に、同期する必要があるオブジェクトと同期すべきではないオブジェクトを決定するフィルターを実装します。 詳細については、「 Microsoft Entra Connect Sync: 既定の構成について」 および 「Microsoft Entra Connect Sync: 既定の構成を変更するためのベスト プラクティス」を参照してください。
DevOps
DevOps に関する考慮事項については、「 Azure 仮想ネットワークに AD DS をデプロイする」のオペレーショナル エクセレンスに関するページを参照してください。
Performance Efficiency
パフォーマンス効率とは、ユーザーの要求を効率的に満たすためにスケーリングするワークロードの能力を指します。 詳細については、「パフォーマンス効率 設計レビュー チェックリスト」を参照してください。
Microsoft Entra サービスでは、レプリカに基づくスケーラビリティがサポートされています。 書き込み操作と複数の読み取り専用セカンダリ レプリカを処理する 1 つのプライマリ レプリカがあります。 Microsoft Entra ID は、セカンダリ レプリカに対して試行された書き込みを透過的にプライマリ レプリカにリダイレクトし、最終的な整合性を維持します。 プライマリ レプリカに加えられたすべての変更は、セカンダリ レプリカに伝達されます。 Microsoft Entra ID に対して実行されるほとんどの操作は書き込みではなく読み取りであるため、このアーキテクチャは効果的にスケーリングされます。 詳細については、「 Microsoft Entra アーキテクチャ」を参照してください。
Microsoft Entra Connect Sync サーバーの場合、ローカル ディレクトリから同期すると予想されるオブジェクトの数を決定します。 オブジェクト数が 100,000 未満の場合は、Microsoft Entra Connect で提供される既定の SQL Server Express LocalDB ソフトウェアを使用できます。 オブジェクトの数が多い場合は、実稼働バージョンの SQL Server をインストールします。 次に、Microsoft Entra Connect のカスタム インストールを実行し、既存の SQL Server インスタンスを使用することを指定します。
Contributors
Microsoft では、この記事を保持しています。 次の共同作成者がこの記事を書きました。
Principal author:
- Eric Woodruff | Product Technical Specialist
公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。
Next steps
- Microsoft Entra Connect のトポロジを確認して、Microsoft Entra Connect のハイブリッド トポロジがサポートされている構成で展開されていることを確認します。
- 条件付きアクセスのデプロイを使用して、アプリケーションへのアクセスを保護する方法について説明します。
- Azure でインフラストラクチャとして AD DS を提供する方法の詳細については、 オンプレミス AD と Microsoft Entra ID の統合 に関するページを参照してください。
- オンプレミスまたはクラウド インフラストラクチャとサービス アプリケーションとして Microsoft Entra の統合を提供する予定がある場合は、 Microsoft Entra アプリケーション プロキシ を確認します。
- ID はセキュリティのための新しいコントロール プレーンであるため、ID 管理のベスト プラクティス を確認します。
- このソリューションをデプロイするには高い特権アカウントが必要であるため、 セキュリティで保護 された特権アクセスを確認します。