なぜADからEntra IDへ移行するのか
Active Directory(AD)は20年以上にわたり企業のID管理基盤として機能してきましたが、クラウドファースト時代には限界があります。Entra ID(旧Azure AD)は、SaaS連携、条件付きアクセス、パスワードレス認証など、ゼロトラスト時代に必要な機能をクラウドネイティブで提供します。
- VPN不要のリモートアクセス
- SaaSアプリへのSSO(シングルサインオン)
- 条件付きアクセスによるリスクベース認証
- ADサーバーの維持管理コスト削減
移行の3つのアプローチ
| アプローチ | 概要 | 期間 | 推奨ケース |
|---|---|---|---|
| ハイブリッド共存 | AD+Entra IDを並行運用 | 2〜4週間 | 段階的移行の第一歩 |
| 段階的移行 | ハイブリッド→徐々にEntra IDに集約 | 3〜12ヶ月 | 多くの中小企業に推奨 |
| クラウドネイティブ新規 | ADを使わず新規構築 | 1〜2ヶ月 | 新設企業、AD依存が少ない |
Phase 1:現状評価とEntra Connect設定
まずAD環境の棚卸を行い、Entra Connect(旧Azure AD Connect)でハイブリッド環境を構築します。
- AD上のユーザー・グループ・OUの棚卸
- 不要アカウントの削除(退職者、テストアカウント)
- Entra Connectのインストールと初期同期
- パスワードハッシュ同期(PHS)の設定
Phase 2:ハイブリッド共存期間
AD+Entra IDの並行運用期間です。認証フローの統合とユーザー体験の統一を進めます。
- M365サービスへのSSO設定
- 条件付きアクセスポリシーの段階的導入
- MFA(多要素認証)の全ユーザー展開
- セルフサービスパスワードリセット(SSPR)の有効化
Phase 3:アプリケーションの移行
AD認証に依存しているアプリケーションをEntra ID認証に移行します。
- SAML/OAuth対応SaaSアプリの登録
- オンプレミスWebアプリのEntra Application Proxy設定
- レガシー認証(NTLM、Kerberos)の段階的廃止
- アプリごとの動作検証
Phase 4:AD廃止とクラウドネイティブ運用
すべてのリソースがEntra IDで管理できる状態になったら、ADサーバーの廃止を進めます。
- Entra ID JoinによるPC管理(Intune連携)
- グループポリシーからIntuneポリシーへの移行
- ADドメインコントローラーの段階的廃止
- DNS/DHCPのクラウド移行
条件付きアクセスポリシーの設計
| ポリシー | 対象 | 条件 | 制御 |
|---|---|---|---|
| MFA必須 | 全ユーザー | すべてのアプリ | MFA要求 |
| 社外アクセス制限 | 機密データ | 信頼されていない場所 | ブロック |
| デバイス準拠 | 全ユーザー | 非準拠デバイス | アクセス制限 |
よくある課題と対処法
- レガシーアプリの認証:NTLM/Kerberos依存アプリはApplication Proxyで対応
- プリンターやファイル共有:Universal Print、SharePoint Onlineで代替
- グループポリシー:Intuneの構成プロファイルに段階的に移行
BTNのEntra ID移行支援
BTNコンサルティングはMicrosoft 365環境のID管理に特化。ADからEntra IDへの移行を100社以上支援した実績があります。
まとめ
AD→Entra IDの移行は「ハイブリッド共存→段階的移行→クラウドネイティブ」の流れで進めます。一気に移行するのではなく、各フェーズで十分な検証を行いながら進めることが成功の鍵です。