Microsoft 365へのアカウント・グループの作成、変更、削除などの「プロビジョニング」機能はOktaなどのIDaaSにも備わっていますが、昨今、Microsoft 365の機能拡大に伴い、「やっぱり Microsoft 365へのプロビジョニングはAzure AD Connectが最も適しており安定しているなぁ~」と実感しています。
もちろんIDaaSも悪くはないのですが、様々な理由によりマイクロソフト社が提供している「Azure AD Connect」が最適だとの結論に私自身も達しています。以下にその理由を記載していきたいと思います。
■Azure AD Connect を利用すべき理由 その①
Azure AD Connect V2 では、専用のAPIエンドポイントが用意されており、他の3rdパーティー製品では利用できません。このエンドポイントはV2になって更にパフォーマンスが向上しているそうです。
Microsoft がデプロイした Azure AD Connect 用の新しいエンドポイント (API) では、Azure Active Directory に対する同期サービス操作のパフォーマンスが向上しています。 新しい V2 エンドポイントを利用すると、Azure AD に対するエクスポートとインポートのパフォーマンスが明らかに向上していることがわかるでしょう。 この新しいエンドポイントでは、次のものがサポートされています。
・メンバー数が最大 250,000 までのグループの同期
・Azure AD に対するエクスポートとインポートのパフォーマンスの向上
【Azure AD Connect 同期 V2 エンドポイント API】
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sync-endpoint-api-v2
MS365へのプロビジョニングをPowerShellで頑張っているサービスも見受けられますが、パフォーマンス的にちょっと厳しいし、エラーも多く発生して「同期できない、エラーが出力されている」など安定しない場合があります。
■Azure AD Connect を利用すべき理由 その②
Microsoft 365側に作成されたグループやデバイス情報、パスワードをオンプレミスのActive Directoryに書き戻すことができます。
■ デバイス情報の書き戻し(Device Writeback)
MS365の認証時に「組織がデバイスを管理できるようにする」などで「はい」を選択するとデバイス情報がAzureADに登録されます。この情報をADに書き戻す機能ですでね。
■ グループの書き戻し(Group Writeback)
昨今「Microsoft 365 グループ」の利用が多くなっていますが、このグループはADには作成できないので、MS365側で管理者が作成することになります。その情報をADに書き戻す、という使い方になりますね。
■ パスワードの書き戻し(Password Writeback)
MS365側(というかAzureAD側)でパスワードを変更した場合、ADに書き戻す機能です。パスワードの運用はAzureAD側で実施するのが良い(セキュリティが高い)と思うのでこの機能は便利かも知れませんね。
このような機能はマイクロソフト社以外の製品では実現不可能かと思います。また、「今は使わないから」という意見もあるかも知れませんが、クラウドサービスはものすごい速さでアップデートされるので、直ぐに「この機能を使いたい!」となる可能性もあります。その意味でも親和性が高い「Azure AD Connect」を選択しておくべきかなと思います。
■Azure AD Connectを利用すべき理由 その③
プレビュー機能の発表にあるように今後は様々な機能が利用できるようになりそうです。例えば注目しているのは「段階的ロールアウト」機能です。この機能は「ユーザー単位でフェデレーションする/しない」を設定できるため、まずは数人で試してみて、問題なければ全ユーザーをフェデレーション移行する、ということが可能になります。
—- 2023年10月追記 —
「段階的ロールアウト」はフェデレーション構成からクラウド認証に戻す際に利用する機能のようです。逆ができればいいのですが。
【段階的なロールアウトを使用してクラウド認証に移行する】
https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/connect/how-to-connect-staged-rollout
———————————
この機能に関しては、Azure AD Connectがないと利用出来ないわけではありませんが、ADとのパスワードハッシュ同期機能を利用していれば、スムーズに移行できると思います。
■まとめ
Microsoft 365へのプロビジョニングはどう考えても「Azure AD Connect 一択」かなと思います。オンプレミスにあるADとAzrueADとの連携、Windows 10、Windows 11というクライアントOSとの親和性・・・別の仕組みで構築してしまうといろいろと不便な事が出てきそうです。
今回はここまで。
Shared Technology V 