Slide 1

Slide 1 text

Windows Server 30周年! 「ドメイン」のこれまでとこれから Murachi Akira aka Hebikuzure 1

Slide 2

Slide 2 text

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

Slide 3

Slide 3 text

3 内容 • Windows Server の系譜 OS/2 から 2022 まで • ドメインとは何か • Active Directory • Microsoft Entra ID • Entra ID と Active Directory

Slide 4

Slide 4 text

Windows Server の系譜 OS/2 から 2022 まで

Slide 5

Slide 5 text

5 • ---- OS/2 • 1993 Windows NT 3.1 Advanced Server • 1994 Windows NT 3.5 Advanced Server • 1995 Windows NT 3.5.1 Advanced Server • 1996 Windows NT 4.0 Server • 2000 Windows 2000 Server • 2003 Windows Server 2003 • 2005 Windows Server 2003 R2 • 2008 Windows Server 2008 • 2009 Windows Server 2008 R2 • 2012 Windows Server 2012 • 2013 Windows Server 2012 R2 • 2016 Windows Server 2016 • 2018 Windows Server 2019 • 2021 Windows Server 2022 Server 版と Workstation 版 Desktop Client とは別バージョン 2001 Windows XP(NTカーネルのクライアント) 2015 Windows 10 2021 Windows 11

Slide 6

Slide 6 text

ドメインとは何か

Slide 7

Slide 7 text

ドメイン • Windows ネットワークの認証基盤 • LAN Manager • NT ドメイン • Active Directory ドメイン • 認証基盤(上の意味での「ドメイン」)による認証でアクセス 可能なネットワーク リソースの範囲 • イントラネット • ドメイン ネットワーク 7

Slide 8

Slide 8 text

認証プロトコルの進化 • LAN Manager ⇒LM 認証 • NT ドメイン ⇒NTLM 認証(NT3.1) ⇒NTLMv2認証(NT4.0SP4、2000) • Active Directory ドメイン(2000以降) ⇒Kerberos認証 8

Slide 9

Slide 9 text

Active Directory

Slide 10

Slide 10 text

ディレクトリ サービス • コンピューターネットワーク内のリソースを識別し、リソース の属性を管理し、検索できるようにした電子システム • ITU X.500 モデル • ディレクトリ サービスの国際標準 • LDAP • Lightweight Directory Access Protocol、RFC1777 • ディレクトリ アクセスの標準的なプロトコル • X.500 で標準化されたアクセスプロトコルは重厚長大だった(のであ まり実用的でなかった)ことに対して、この名前となった 10

Slide 11

Slide 11 text

Active Directory • NTドメインを置き換える新しいドメイン システム • Windows 2000 で登場 • LDAP、DNS、Kerberos などの標準技術を組み合わせ • マルチマスタ システム • NTドメインではPDC/BDCの区分がある • ドメインコントローラーはサーバーの「役割」 • NTドメインではWindows自体をDCとしてインストール • 親子関係、フォレストなどのグループ化が可能 11

Slide 12

Slide 12 text

Active Directory Domain Services • “Active Directory“ がブランドネーム化されたため、従来のド メイン システムに付けられた名前 • AD DS • Windows の世界で通常「ドメイン」と言うのはコレのこと • 他の Active Directory ブランド • Active Directory Federation Services(AD FS) • Active Directory Rights Management Services (AD RMS) • Active Directory Certificate Services(AD CS) 12

Slide 13

Slide 13 text

よくある誤解 • AD DS は Microsoft の特殊な実装ではありません • LDAP、DNS、Kerberos などの標準技術を組み合わせています • 仕様は Open specifications として公開されています • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- adts/d2435927-0999-4c62-8c6d-13ba31a52e1a • SAMBA によるオープンソース実装も利用できます • cf. https://wiki.archlinux.jp/index.php/Samba/Active_Directory_ドメ インコントローラ 13

Slide 14

Slide 14 text

Microsoft Entra ID

Slide 15

Slide 15 text

Entra ID(旧称 Azure Active Directory) • クラウドベースの ID およびアクセス管理サービス • Azure Active Directory から(今年)改称 • 組織アカウント、ビジネスアカウントなどとも呼ばれる • Microsoft 365、Office 365、Azure、Dynamics CRM Online、 Power Platform のテナント=Entra ID テナント • テナント = 単一に管理されるユーザーとアプリケーションの範囲 15

Slide 16

Slide 16 text

16 https://news.microsoft.com/ja-jp/2023/07/12/230712-azure-ad-is-becoming-microsoft-entra-id/ から引用

Slide 17

Slide 17 text

17 https://news.microsoft.com/ja-jp/2023/07/12/230712-azure-ad-is-becoming-microsoft-entra-id/ から引用

Slide 18

Slide 18 text

Entra IDとActive Directory

Slide 19

Slide 19 text

AD DS vs Entra ID AD DS オンプレミス Kerberos デバイスの登録 Windows へのサインイン グループ ポリシー アクセス制御(オンプレミス) Entra ID クラウド 標準準拠の各種プロトコル SAML、WS-Federation、OpenID Connect、OAuth デバイスの登録 Windows へのサインイン ポリシー・MDM(Intune を経由して) アクセス制御(クラウド) 条件付きアクセス 19

Slide 20

Slide 20 text

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Azure AD 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS 20

Slide 21

Slide 21 text

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Azure AD 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS 21 Active Directory ピンチ!

Slide 22

Slide 22 text

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 • 認証局の作成・運用 22

Slide 23

Slide 23 text

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 • 認証局の作成・運用 23 オンプレミスの AD 必要

Slide 24

Slide 24 text

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク(イントラネット)内の証明書管理 • 認証局の作成・運用 24 オンプレミスの AD 必要 Active Directory は死なず!

Slide 25

Slide 25 text

AD DS と Entra ID の連携 • Azure AD Connect / Azure AD Connect cloud sync • オンプレミス(AD DS)のディレクトリ オブジェクト (ユーザー・グループ)を Entra ID に複製・同期 • AD DS からの一方向同期(パスワード ハッシュのみ双方向可能) • Hybrid Azure AD Join(ハイブリッド Azure AD 参加) • AD DS が丸ごと Azure AD Join するイメージ • デバイスは AD DS に参加すると同時に Entra ID にも参加 • デバイスにサインインすることで Entra ID にもサインイン • オンプレミスでは AD DS 認証、クラウドは Entra ID 認証 25

Slide 26

Slide 26 text

Active Directory の将来 • クラウド ファーストになっても Active Directory は無くなりません • オンプレミスの認証基盤は不要にならない • クラウド ベースに置き換え可能な機能は クラウド シフトが望ましい • AD FS、AD RMS、グループ ポリシー管理など • 大きな機能変更や動作変更は行われない(でしょう) • Active Directory は20年以上利用されている安定した ソリューション 26

Slide 27

Slide 27 text

27 まとめ • Windows Server の系譜 OS/2 から 2022 まで • ドメインとは何か • Active Directory • Microsoft Entra ID • Entra ID と Active Directory

Slide 28

Slide 28 text

28 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure