マネージド Microsoft AD の概要

Managed Service for Microsoft Active Directory(マネージド Microsoft AD)は、Google Cloud がホストする、高可用性の強化版 Microsoft Active Directory ドメインです。このサービスは、Active Directory を管理するために必要な、重要ではあるが日常的な管理タスクを削減すると同時に、Active Directory のフットプリントをクラウドに拡張するのに役立ちます。

マネージド Microsoft AD を使用すると、フォレスト レベルの信頼を介して Google Cloud から既存のオンプレミス Active Directory インフラストラクチャに接続できるため、組織のデータへの安全なアクセスが容易になります。

マネージド Microsoft AD の仕組み

マネージド Microsoft AD は、Windows 仮想マシンで実際の Microsoft Active Directory ドメイン コントローラーを実行して、アプリケーションの互換性を確保します。このサービスはドメイン コントローラーを作成して保守し、管理する必要のある保守タスクを削減します。

マルチリージョンのサポート

Google Cloud のグローバル低レイテンシ Virtual Private Cloud(VPC)とピアリングされている場合、マネージド Microsoft AD は Active Directory フォレストのマルチリージョン デプロイをサポートします。VPC 内では、リージョン間の VPC ピアリングやハイブリッド接続を必要とせずに、マネージド Microsoft AD を複数のリージョンに拡張できます。この柔軟性で、マネージド Microsoft AD をインフラストラクチャと同じリージョンにデプロイしたり、リージョンごとに個別のドメインを作成したりする必要がなくなります。必要に応じて追加のリージョンにドメイン コントローラをデプロイすることにより、ドメインを最大 4 つのサポートされているリージョンに拡張して、リージョンの停止に対して回復力を備え、簡単に水平方向にスケーリングできます。高可用性を維持し、フォールト トレランスを向上させるために、マネージド Microsoft AD は重複しない Google Cloud ゾーンの各リージョンに 2 つのドメイン コントローラをデプロイします。

フォレスト設計モデル

マネージド Microsoft AD は、次の Active Directory フォレスト設計モデルをサポートしています。

  • 組織フォレスト: 同じフォレストにユーザー アカウントとリソースの両方が含まれます。これらは別々に管理されます。

  • リソース フォレスト: リソースの管理には別のフォレストが使用されます。

  • アクセスに制限のあるフォレスト: 別のフォレストに、組織の他の部分から分離する必要があるユーザー アカウントとデータが含まれます。

詳しくは、AD フォレスト設計モデル組織に適したモデルの選択方法をご覧ください。

マネージド Microsoft AD の違い

マネージド Microsoft AD は、いくつかの点で Active Directory の従来のデプロイとは異なります。

Active Directory の従来のデプロイを実装する場合は、次のことを行う必要があります。

  • 組織の高可用性 AD トポロジを手動で設計してデプロイする。

  • AD 診断を手動で実行して、DNS、レプリケーション、認証、CPU 負荷の追跡など、ドメインが正常であることを確認する。

  • バックアップ計画を手動で作成し、組織の障害復旧対策を確認する。

  • AD ドメインをホストするネットワークのファイアウォール ルールを手動で定義する。

  • 同じネットワークで実行されている他のサーバーが AD ドメインを侵害しないように、特に注意を払う。

  • AD ドメイン コントローラーに手動でパッチを適用する。

  • ドメイン管理者アカウントへの期限付きアクセスなど、セキュリティのベスト プラクティスを設計および実装するよう努める。

  • 信頼できるユーザーのみが、AD ドメイン コントローラーを実行するリソースへの管理アクセス権を持っていることを確認する。

マネージド Microsoft AD は、このセクションで前述したいくつかのタスクを自動化することにより、Active Directory ドメインのセットアップと保守に必要な作業を軽減するのに役立ちます。

マネージド Microsoft AD を使ってみる

マネージド Microsoft AD の使用を開始するには、マネージド Microsoft AD ドメインの名前と、マネージド Microsoft AD ドメインの利用が許可されている Google Cloud VPC ネットワークを指定します。承認済み Google Cloud VPC ネットワークの仮想マシンを使用するか、VPN または Cloud Interconnect を介して Google Cloud に接続するオンプレミス インフラストラクチャおよびその他のクラウド製品を介して、マネージド Microsoft AD ドメインにアクセスできます。

マネージド Microsoft AD は、次の AD オブジェクトを提供します。

  • 委任された管理者アカウント。このアカウントを使用して、Active Directory ドメインを管理します。

  • Cloud 組織単位(OU)。Cloud OU を使用して、ユーザー、サービス アカウント、グループなどの Active Directory オブジェクト、および追加の OU を作成します。Cloud OU の下に作成した OU にグループ ポリシー オブジェクト(GPO)を適用できます。

詳細については、マネージド Microsoft AD のデフォルトの Active Directory オブジェクトをご覧ください。

詳細