Managed Service for Microsoft Active Directory(Managed Microsoft AD)は、 Google Cloudがホストする、高可用性の強化版 Microsoft Active Directory ドメインです。このサービスは、Active Directory の管理に欠かせない日常的な管理タスクを削減すると同時に、Active Directory のフットプリントをクラウドに拡張するのに役立ちます。
Managed Microsoft AD を使用すると、フォレスト レベルの信頼を介して Google Cloud から既存のオンプレミス Active Directory インフラストラクチャに接続できるため、組織のデータへの安全なアクセスが容易になります。
Managed Microsoft AD の仕組み
Managed Microsoft AD は、Windows 仮想マシンで実際の Microsoft Active Directory ドメイン コントローラを実行して、アプリケーションの互換性を確保します。このサービスは、ユーザーに代わってドメイン コントローラを作成して保守します。これにより、管理する必要がある保守タスクを減らすことができます。
マルチリージョンのサポート
Google Cloudのグローバル低レイテンシ Virtual Private Cloud(VPC)とピアリングされている場合、Managed Microsoft AD は Active Directory フォレストのマルチリージョン デプロイをサポートします。VPC 内では、リージョン間の VPC ピアリングやハイブリッド接続を必要とせずに、Managed Microsoft AD を複数のリージョンに拡張できます。この柔軟性で、Managed Microsoft AD をインフラストラクチャと同じリージョンにデプロイしたり、リージョンごとに個別のドメインを作成する必要がなくなります。必要に応じて追加のリージョンにドメイン コントローラをデプロイすることにより、ドメインを最大 4 つのサポート対象リージョンに拡張し、リージョンの停止に対して回復力を備え、簡単に水平方向にスケーリングできます。高可用性を維持し、フォールト トレランスを向上させるために、Managed Microsoft AD は重複しない Google Cloud ゾーンの各リージョンに 2 つのドメイン コントローラをデプロイします。
フォレスト設計モデル
Managed Microsoft AD は、次の Active Directory フォレスト設計モデルをサポートしています。
組織フォレスト: 同じフォレストにユーザー アカウントとリソースの両方が含まれます。これらは別々に管理されます。
リソース フォレスト: リソースの管理には別のフォレストが使用されます。
アクセスに制限のあるフォレスト: 別のフォレストに、組織の他の部分から分離する必要があるユーザー アカウントとデータが含まれます。
詳しくは、AD フォレスト設計モデルと組織に適したモデルの選択方法をご覧ください。
Managed Microsoft AD の違い
Managed Microsoft AD は、いくつかの点で Active Directory の従来のデプロイとは異なります。
Active Directory の従来のデプロイを実装する場合は、次のことを行う必要があります。
組織の高可用性 AD トポロジを手動で設計してデプロイする。
AD 診断を手動で実行して、DNS、レプリケーション、認証、CPU 負荷の追跡など、ドメインが正常であることを確認する。
バックアップ計画を手動で作成し、組織の障害復旧対策を確認する。
AD ドメインをホストするネットワークのファイアウォール ルールを手動で定義する。
同じネットワークで実行されている他のサーバーが AD ドメインを侵害しないように、特に注意を払う。
AD ドメイン コントローラに手動でパッチを適用する。
ドメイン管理者アカウントへの期限付きアクセスなど、セキュリティのベスト プラクティスを設計および実装するよう努める。
信頼できるユーザーのみが、AD ドメイン コントローラを実行するリソースへの管理者権限を持っていることを確認する。
Managed Microsoft AD は、このセクションで前述したいくつかのタスクを自動化することにより、Active Directory ドメインのセットアップと保守に必要な作業の軽減に役立ちます。
Managed Microsoft AD を使ってみる
Managed Microsoft AD の使用を開始するには、Managed Microsoft AD ドメインの名前と、Managed Microsoft AD ドメインの利用が許可されている Google Cloud VPC ネットワークを指定します。承認済み Google Cloud VPC ネットワークの仮想マシンを使用するか、VPN または Cloud Interconnect を介して Google Cloudに接続するオンプレミス インフラストラクチャおよびその他のクラウド製品を介して、Managed Microsoft AD ドメインにアクセスできます。
Managed Microsoft AD は、次の AD オブジェクトを提供します。
委任された管理者アカウント。このアカウントを使用して、Active Directory ドメインを管理します。
Cloud組織単位(OU)。CloudOU を使用して、ユーザー、サービス アカウント、グループなどの Active Directory オブジェクト、および追加の OU を作成します。CloudOU の下に作成した OU にグループ ポリシー オブジェクト(GPO)を適用できます。
詳細については、Managed Microsoft AD のデフォルトの Active Directory オブジェクトをご覧ください。