Managed Microsoft AD の概要

Managed Service for Microsoft Active Directory（Managed Microsoft AD）は、 Google Cloudがホストする、高可用性の強化版 Microsoft Active Directory ドメインです。このサービスは、Active Directory の管理に欠かせない日常的な管理タスクを削減すると同時に、Active Directory のフットプリントをクラウドに拡張するのに役立ちます。

Managed Microsoft AD を使用すると、フォレストレベルの信頼を介して Google Cloud から既存のオンプレミス Active Directory インフラストラクチャに接続できるため、組織のデータへの安全なアクセスが容易になります。

Managed Microsoft AD の仕組み

Managed Microsoft AD は、Windows 仮想マシンで実際の Microsoft Active Directory ドメインコントローラを実行して、アプリケーションの互換性を確保します。このサービスは、ユーザーに代わってドメインコントローラを作成して保守します。これにより、管理する必要がある保守タスクを減らすことができます。

マルチリージョンのサポート

Google Cloudのグローバル低レイテンシ Virtual Private Cloud（VPC）とピアリングされている場合、Managed Microsoft AD は Active Directory フォレストのマルチリージョンデプロイをサポートします。VPC 内では、リージョン間の VPC ピアリングやハイブリッド接続を必要とせずに、Managed Microsoft AD を複数のリージョンに拡張できます。この柔軟性で、Managed Microsoft AD をインフラストラクチャと同じリージョンにデプロイしたり、リージョンごとに個別のドメインを作成する必要がなくなります。必要に応じて追加のリージョンにドメインコントローラをデプロイすることにより、ドメインを最大 4 つのサポート対象リージョンに拡張し、リージョンの停止に対して回復力を備え、簡単に水平方向にスケーリングできます。高可用性を維持し、フォールトトレランスを向上させるために、Managed Microsoft AD は重複しない Google Cloud ゾーンの各リージョンに 2 つのドメインコントローラをデプロイします。

フォレスト設計モデル

Managed Microsoft AD は、次の Active Directory フォレスト設計モデルをサポートしています。

組織フォレスト: 同じフォレストにユーザーアカウントとリソースの両方が含まれます。これらは別々に管理されます。
リソースフォレスト: リソースの管理には別のフォレストが使用されます。
アクセスに制限のあるフォレスト: 別のフォレストに、組織の他の部分から分離する必要があるユーザーアカウントとデータが含まれます。

詳しくは、AD フォレスト設計モデルと組織に適したモデルの選択方法をご覧ください。

Managed Microsoft AD の違い

Managed Microsoft AD は、いくつかの点で Active Directory の従来のデプロイとは異なります。

Active Directory の従来のデプロイを実装する場合は、次のことを行う必要があります。

組織の高可用性 AD トポロジを手動で設計してデプロイする。
AD 診断を手動で実行して、DNS、レプリケーション、認証、CPU 負荷の追跡など、ドメインが正常であることを確認する。
バックアップ計画を手動で作成し、組織の障害復旧対策を確認する。
AD ドメインをホストするネットワークのファイアウォールルールを手動で定義する。
同じネットワークで実行されている他のサーバーが AD ドメインを侵害しないように、特に注意を払う。
AD ドメインコントローラに手動でパッチを適用する。
ドメイン管理者アカウントへの期限付きアクセスなど、セキュリティのベストプラクティスを設計および実装するよう努める。
信頼できるユーザーのみが、AD ドメインコントローラを実行するリソースへの管理者権限を持っていることを確認する。

Managed Microsoft AD は、このセクションで前述したいくつかのタスクを自動化することにより、Active Directory ドメインのセットアップと保守に必要な作業の軽減に役立ちます。

Managed Microsoft AD を使ってみる

Managed Microsoft AD の使用を開始するには、Managed Microsoft AD ドメインの名前と、Managed Microsoft AD ドメインの利用が許可されている Google Cloud VPC ネットワークを指定します。承認済み Google Cloud VPC ネットワークの仮想マシンを使用するか、VPN または Cloud Interconnect を介して Google Cloudに接続するオンプレミスインフラストラクチャおよびその他のクラウド製品を介して、Managed Microsoft AD ドメインにアクセスできます。

Managed Microsoft AD は、次の AD オブジェクトを提供します。

委任された管理者アカウント。このアカウントを使用して、Active Directory ドメインを管理します。
Cloud 組織単位（OU）。Cloud OU を使用して、ユーザー、サービスアカウント、グループなどの Active Directory オブジェクト、および追加の OU を作成します。Cloud OU の下に作成した OU にグループポリシーオブジェクト（GPO）を適用できます。

詳細については、Managed Microsoft AD のデフォルトの Active Directory オブジェクトをご覧ください。

Managed Microsoft AD の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。