Windows Server 30周年！ 「ドメイン」のこれまでとこれから Murachi Akira aka Hebikuzure 1

About me • Murachi Akira aka hebikuzure ( 村地 彰 ) • 株式会社エクシードワン 技術フェロー • 株式会社シーピーエス 技術教育スペシャリスト • 専門学校東京テクニカルカレッジ非常勤講師 • Microsoft MVP (Most Valuable Professional) • Since Apr. 2011 ( 13 Years! ) • Award Category: Windows and Device for IT • Expertise • Windows client / user management and security • Microsoft 365, Active Directory, Microsoft Endpoint Manager https://www.linkedin.com/in/akiramurachi/ https://www.facebook.com/amurachi/ https://twitter.com/hebikuzure 2

3 内容 • Windows Server の系譜 OS/2 から 2022 まで • ドメインとは何か • Active Directory • Microsoft Entra ID • Entra ID と Active Directory

Windows Server の系譜 OS/2 から 2022 まで

5 • ---- OS/2 • 1993 Windows NT 3.1 Advanced Server • 1994 Windows NT 3.5 Advanced Server • 1995 Windows NT 3.5.1 Advanced Server • 1996 Windows NT 4.0 Server • 2000 Windows 2000 Server • 2003 Windows Server 2003 • 2005 Windows Server 2003 R2 • 2008 Windows Server 2008 • 2009 Windows Server 2008 R2 • 2012 Windows Server 2012 • 2013 Windows Server 2012 R2 • 2016 Windows Server 2016 • 2018 Windows Server 2019 • 2021 Windows Server 2022 Server 版と Workstation 版 Desktop Client とは別バージョン 2001 Windows XP（NTカーネルのクライアント） 2015 Windows 10 2021 Windows 11

ドメインとは何か

ドメイン • Windows ネットワークの認証基盤 • LAN Manager • NT ドメイン • Active Directory ドメイン • 認証基盤（上の意味での「ドメイン」）による認証でアクセス 可能なネットワーク リソースの範囲 • イントラネット • ドメイン ネットワーク 7

認証プロトコルの進化 • LAN Manager ⇒LM 認証 • NT ドメイン ⇒NTLM 認証（NT3.1） ⇒NTLMv2認証（NT4.0SP4、2000） • Active Directory ドメイン（2000以降） ⇒Kerberos認証 8

Active Directory

ディレクトリ サービス • コンピューターネットワーク内のリソースを識別し、リソース の属性を管理し、検索できるようにした電子システム • ITU X.500 モデル • ディレクトリ サービスの国際標準 • LDAP • Lightweight Directory Access Protocol、RFC1777 • ディレクトリ アクセスの標準的なプロトコル • X.500 で標準化されたアクセスプロトコルは重厚長大だった（のであ まり実用的でなかった)ことに対して、この名前となった 10

Active Directory • NTドメインを置き換える新しいドメイン システム • Windows 2000 で登場 • LDAP、DNS、Kerberos などの標準技術を組み合わせ • マルチマスタ システム • NTドメインではPDC/BDCの区分がある • ドメインコントローラーはサーバーの「役割」 • NTドメインではWindows自体をDCとしてインストール • 親子関係、フォレストなどのグループ化が可能 11

Active Directory Domain Services • “Active Directory“ がブランドネーム化されたため、従来のド メイン システムに付けられた名前 • AD DS • Windows の世界で通常「ドメイン」と言うのはコレのこと • 他の Active Directory ブランド • Active Directory Federation Services（AD FS） • Active Directory Rights Management Services （AD RMS） • Active Directory Certificate Services（AD CS） 12

よくある誤解 • AD DS は Microsoft の特殊な実装ではありません • LDAP、DNS、Kerberos などの標準技術を組み合わせています • 仕様は Open specifications として公開されています • https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms- adts/d2435927-0999-4c62-8c6d-13ba31a52e1a • SAMBA によるオープンソース実装も利用できます • cf. https://wiki.archlinux.jp/index.php/Samba/Active_Directory_ドメ インコントローラ 13

Microsoft Entra ID

Entra ID（旧称 Azure Active Directory） • クラウドベースの ID およびアクセス管理サービス • Azure Active Directory から（今年）改称 • 組織アカウント、ビジネスアカウントなどとも呼ばれる • Microsoft 365、Office 365、Azure、Dynamics CRM Online、 Power Platform のテナント＝Entra ID テナント • テナント ＝ 単一に管理されるユーザーとアプリケーションの範囲 15

16 https://news.microsoft.com/ja-jp/2023/07/12/230712-azure-ad-is-becoming-microsoft-entra-id/ から引用

17 https://news.microsoft.com/ja-jp/2023/07/12/230712-azure-ad-is-becoming-microsoft-entra-id/ から引用

Entra IDとActive Directory

AD DS vs Entra ID AD DS オンプレミス Kerberos デバイスの登録 Windows へのサインイン グループ ポリシー アクセス制御（オンプレミス） Entra ID クラウド 標準準拠の各種プロトコル SAML、WS-Federation、OpenID Connect、OAuth デバイスの登録 Windows へのサインイン ポリシー・MDM（Intune を経由して） アクセス制御（クラウド） 条件付きアクセス 19

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Azure AD 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS 20

Entra ID による AD 機能の置き換え • ユーザーとデバイスの管理 • Windows へのサインイン⇒Azure AD 参加 • グループポリシー⇒Intune • AD FS⇒クラウドベースの SSO • AD RMS⇒Azure RMS 21 Active Directory ピンチ！

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク（イントラネット）内の証明書管理 • 認証局の作成・運用 22

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク（イントラネット）内の証明書管理 • 認証局の作成・運用 23 オンプレミスの AD 必要

Entra ID で置き換えできないもの • オンプレミス リソースのアクセス制御 • DACL によるアクセス制御 • ファイルやプリンターなどのリソースへのアクセス制御 • RADIUS などの認証連携 • VPN などのリモートアクセスの認証 • AD CS • オンプレミス ネットワーク（イントラネット）内の証明書管理 • 認証局の作成・運用 24 オンプレミスの AD 必要 Active Directory は死なず！

AD DS と Entra ID の連携 • Azure AD Connect / Azure AD Connect cloud sync • オンプレミス（AD DS）のディレクトリ オブジェクト （ユーザー・グループ）を Entra ID に複製・同期 • AD DS からの一方向同期（パスワード ハッシュのみ双方向可能） • Hybrid Azure AD Join（ハイブリッド Azure AD 参加） • AD DS が丸ごと Azure AD Join するイメージ • デバイスは AD DS に参加すると同時に Entra ID にも参加 • デバイスにサインインすることで Entra ID にもサインイン • オンプレミスでは AD DS 認証、クラウドは Entra ID 認証 25

Active Directory の将来 • クラウド ファーストになっても Active Directory は無くなりません • オンプレミスの認証基盤は不要にならない • クラウド ベースに置き換え可能な機能は クラウド シフトが望ましい • AD FS、AD RMS、グループ ポリシー管理など • 大きな機能変更や動作変更は行われない（でしょう） • Active Directory は20年以上利用されている安定した ソリューション 26

27 まとめ • Windows Server の系譜 OS/2 から 2022 まで • ドメインとは何か • Active Directory • Microsoft Entra ID • Entra ID と Active Directory

28 ありがとうございました • Murachi Akira aka hebikuzure​ • https://www.linkedin.com/in/akiramurachi/ • https://www.facebook.com/amurachi/ • https://twitter.com/hebikuzure