Remove From My Forums

Azure Active DirectoryにオンプレミスのWindows Server 2016を参加させたい

質問
0

サインインして投票

オンプレWindows Server 2008R2 Active DirectoryのハードウェアEOSLに合わせて、
Azure Active Directoryに移行できないかと検討しております。
このオンプレActive Directoryにはオンプレファイルサーバが参加しております。
Azure Active Directoryにオンプレファイルサーバを参加させることは可能なのでしょうか？

オンプレActive Directory：Windows Server 2008R2（EOSL)
オンプレFile Server：Windows Server 2016（継続利用予定）

2018年6月12日 6:50

返信

|

引用

回答

4

サインインして投票
Azure Active Directory 参加（Azure AD Join）は、Windows 10だけの機能（Home は除く）であり、Windows Server 2016 のサーバーを直接 Azure AD に参加させることはサポートされませんし、そのような機能もありません。→ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-azureadjoin-deployment-aadjoindirect

補足：

おそらく、オンプレミスの Active Directory を撤去することを想定してのことだと思いますが、Azure AD はそもそもクラウドアプリの認証や承認、モバイルデバイス管理などのための ID 管理機能を提供するものです。名前こそ「Active Directory」ですが、Windows クライアントや Windows Server が参加するオンプレミスの Windows Server の Active Directory ドメインサービスの機能（ドメインユーザー/グループによるアクセス制御やグループポリシー、プリンターの公開など）を提供するものではありません。別ものと考えた方がいいと思います。

オンプレミスの Active Directory を Azure AD とディレクトリ統合するようにセットアップすることで、両者を統合できるようになります（オンプレミスの ID で Azure AD の機能である多要素認証や Windows Hello を利用する、クラウドアプリにアクセスするなど）。

（Azure AD の関連機能に Active Directory 相当の Azure AD Domain Service というものもありますが、ややこしくなるので説明は省きます）。
- 編集済み Yamauchi KazuoMVP 2018年6月12日 9:55 追記
- 回答としてマーク栗下望Microsoft employee, Moderator 2018年7月17日 6:00
2018年6月12日 9:39

返信

|

引用
2

サインインして投票
チャブーンです。

この件ですが、回答としてはYamauchi Kazuoさんの内容で、必要十分かと思います。

Azure Active Directoryでは、データはすべてHTTP/HTTPSプロトコルでの通信が前提となりますので、ファイルサーバーのSMBプロトコルを直接受け付けることはできません。

ちょっと話しが出ていたAzure AD Domain Serviceですが、これはAzure ADに登録されたユーザーアカウント/パスワード情報を基に、ドメインコントローラーを再構成するというもので、ファイルサーバーをこのドメインに参加させることはできますが、クライアントも同時に同じドメインに参加させないと、結局Kerberos認証やSMB通信ができませんので、意味がないと思います。

Azure ADを最大限使いこなしたい、なら、ファイルサーバーそのものをWeb化して、それをAzure ADで認証する、というやり方がふさわしいと思います。現時点ではOffice 365で使えるOneDrive for Businessなどが該当すると思います。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答としてマーク栗下望Microsoft employee, Moderator 2018年7月17日 6:00
2018年6月13日 16:26

返信

|

引用

すべての返信

4

サインインして投票
Azure Active Directory 参加（Azure AD Join）は、Windows 10だけの機能（Home は除く）であり、Windows Server 2016 のサーバーを直接 Azure AD に参加させることはサポートされませんし、そのような機能もありません。→ https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-azureadjoin-deployment-aadjoindirect

補足：

おそらく、オンプレミスの Active Directory を撤去することを想定してのことだと思いますが、Azure AD はそもそもクラウドアプリの認証や承認、モバイルデバイス管理などのための ID 管理機能を提供するものです。名前こそ「Active Directory」ですが、Windows クライアントや Windows Server が参加するオンプレミスの Windows Server の Active Directory ドメインサービスの機能（ドメインユーザー/グループによるアクセス制御やグループポリシー、プリンターの公開など）を提供するものではありません。別ものと考えた方がいいと思います。

オンプレミスの Active Directory を Azure AD とディレクトリ統合するようにセットアップすることで、両者を統合できるようになります（オンプレミスの ID で Azure AD の機能である多要素認証や Windows Hello を利用する、クラウドアプリにアクセスするなど）。

（Azure AD の関連機能に Active Directory 相当の Azure AD Domain Service というものもありますが、ややこしくなるので説明は省きます）。
- 編集済み Yamauchi KazuoMVP 2018年6月12日 9:55 追記
- 回答としてマーク栗下望Microsoft employee, Moderator 2018年7月17日 6:00
2018年6月12日 9:39

返信

|

引用
2

サインインして投票
チャブーンです。

この件ですが、回答としてはYamauchi Kazuoさんの内容で、必要十分かと思います。

Azure Active Directoryでは、データはすべてHTTP/HTTPSプロトコルでの通信が前提となりますので、ファイルサーバーのSMBプロトコルを直接受け付けることはできません。

ちょっと話しが出ていたAzure AD Domain Serviceですが、これはAzure ADに登録されたユーザーアカウント/パスワード情報を基に、ドメインコントローラーを再構成するというもので、ファイルサーバーをこのドメインに参加させることはできますが、クライアントも同時に同じドメインに参加させないと、結局Kerberos認証やSMB通信ができませんので、意味がないと思います。

Azure ADを最大限使いこなしたい、なら、ファイルサーバーそのものをWeb化して、それをAzure ADで認証する、というやり方がふさわしいと思います。現時点ではOffice 365で使えるOneDrive for Businessなどが該当すると思います。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答としてマーク栗下望Microsoft employee, Moderator 2018年7月17日 6:00
2018年6月13日 16:26

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

Azure Active DirectoryにオンプレミスのWindows Server 2016を参加させたい

質問

回答

すべての返信