概要

Managed Service for Microsoft Active Directory(マネージド Microsoft AD)は、Google Cloud がホストする、高可用性で強化された Microsoft Active Directory ドメインです。このサービスは、Active Directory を管理するために必要な機密性の高い日常的な管理タスクを削減すると同時に、Active Directory のフットプリントをクラウドに拡張するのに役立ちます。

マネージド Microsoft AD は、既存のオンプレミスの Active Directory インフラストラクチャを Google Cloud に拡張することをサポートし、組織のデータへの安全なアクセスを統合します。

マネージド Microsoft AD の仕組み

マネージド Microsoft AD は、Windows 仮想マシンで実際の Microsoft Active Directory ドメイン コントローラーを実行して、アプリケーションの互換性を確保します。このサービスはドメイン コントローラーを作成して保守し、管理する必要のある保守タスクを削減します。

マルチリージョンのサポート

Google Cloud のグローバル低レイテンシ Virtual Private Cloud(VPC)とピアリングされている場合、マネージド Microsoft AD は Active Directory フォレストのマルチリージョン デプロイをサポートします。VPC 内では、リージョン間の VPC ピアリングやハイブリッド接続を必要とせずに、マネージド Microsoft AD を複数のリージョンに拡張できます。この柔軟性で、マネージド Microsoft AD をインフラストラクチャと同じリージョンにデプロイしたり、リージョンごとに個別のドメインを作成したりする必要がなくなります。必要に応じてリージョンを追加または削除することにより、ドメインを最大 4 つのサポートされるリージョンに拡張し、簡単に水平方向にスケーリングできます。高可用性を維持し、フォールト トレランスを向上させるために、マネージド Microsoft AD は重複しない Google Cloud ゾーンの各リージョンに 2 つのドメイン コントローラをデプロイします。

フォレスト設計モデル

マネージド Microsoft AD は、次の Active Directory フォレスト設計モデルをサポートしています。

  • 組織フォレスト: 同じフォレストにユーザー アカウントとリソースの両方が含まれます。これらは別々に管理されます。

  • リソース フォレスト: リソースの管理には別のフォレストが使用されます。

  • アクセスに制限のあるフォレスト: 別のフォレストに、組織の他の部分から分離する必要があるユーザー アカウントとデータが含まれます。

詳しくは、AD フォレスト設計モデル組織に適したモデルの選択方法をご覧ください。

マネージド Microsoft AD の違い

マネージド Microsoft AD は、いくつかの点で Active Directory の従来のデプロイとは異なります。

Active Directory の従来のデプロイを実装する場合は、次のことを行う必要があります。

  • 組織の高可用性 AD トポロジを手動で設計してデプロイする。

  • AD 診断を手動で実行して、DNS、レプリケーション、認証、CPU 負荷の追跡など、ドメインが正常であることを確認する。

  • バックアップ計画を手動で作成し、組織の障害復旧対策を確認する。

  • AD ドメインをホストするネットワークのファイアウォール ルールを手動で定義する。

  • 同じネットワークで実行されている他のサーバーが AD ドメインを侵害しないように、特に注意を払う。

  • AD ドメイン コントローラーに手動でパッチを適用する。

  • ドメイン管理者アカウントへの期限付きアクセスなど、セキュリティのベスト プラクティスを設計および実装するよう努める。

  • 非常に信頼できるユーザーのみが、AD ドメイン コントローラーを実行するリソースへの管理アクセス権を持っていることを確認する。

Microsoft Active Directory のマネージド サービスは、ドメイン コントローラーを最新の状態に保つなど、多くのタスクを自動化することにより、Active Directory ドメインのセットアップと保守に必要な作業を軽減するのに役立ちます。マネージド Microsoft AD は、管理作業をさらに容易にするための一連のベスト プラクティスも提供します。

マネージド Microsoft AD を使ってみる

マネージド Microsoft AD の使用を開始するには、マネージド Microsoft AD ドメインの名前と、マネージド Microsoft AD ドメインの利用が許可されている Google Cloud VPC ネットワークを指定します。承認済み Google Cloud VPC ネットワークの仮想マシンを使用するか、VPN または Cloud Interconnect を介して Google Cloud に接続するオンプレミス インフラストラクチャおよびその他のクラウド製品を介して、マネージド Microsoft AD ドメインにアクセスできます。

マネージド Microsoft AD は以下を提供します。

  • 委任された管理者アカウント。このアカウントを使用して、Active Directory ドメインを管理します。

  • Cloud 組織単位。Cloud OU を使用して、ユーザー、サービス アカウント、グループなどの Active Directory オブジェクト、および追加の OU を作成します。Cloud OU の下に作成した OU にグループ ポリシー オブジェクト(GPO)を適用できます。

詳細については、マネージド Microsoft AD オブジェクトをご覧ください。

詳細