なぜADからEntra IDへ移行すべきか
- クラウドシフト:SaaS/クラウドサービスの認証にはEntra IDが最適。ADはオンプレミス前提の設計
- ゼロトラスト対応:条件付きアクセス、PIM等のゼロトラスト機能はEntra IDでのみ利用可能
- 運用負荷の軽減:ドメインコントローラーの維持(ハードウェア、OS更新、バックアップ)が不要に
- リモートワーク対応:VPN不要でどこからでもクラウドリソースにアクセス
- サーバーのEOL:Windows Server 2012/2016のサポート終了に伴うリプレイス契機
3つの認証モデル
| モデル | 構成 | メリット | デメリット |
|---|---|---|---|
| オンプレADのみ | ドメインコントローラーで認証 | 既存環境を維持 | クラウド連携不可、ゼロトラスト対応困難 |
| ハイブリッド(Entra Connect) | AD + Entra IDを同期 | 段階的移行が可能 | 2つの基盤を並行管理 |
| Entra IDのみ(クラウドネイティブ) | Entra ID + Intuneで完結 | サーバーレス、ゼロトラスト対応 | AD依存アプリの対応が必要 |
移行アプローチ
多くの中小企業では「現状(ADのみ)→ ハイブリッド → Entra IDのみ」の段階的移行が最もリスクが低いアプローチです。
💡 新規拠点・新規PC
新規に開設する拠点や新規調達するPCは、最初からEntra ID参加(Entra Join)+ Autopilotで構成することで、AD依存を増やさずに移行を加速できます。
段階的移行の5ステップ
| Step | 内容 | 期間目安 |
|---|---|---|
| 1. 現状分析 | AD依存リソースの棚卸し(ファイルサーバー、プリンター、業務アプリ、GPO) | 2〜4週間 |
| 2. Entra Connect導入 | AD→Entra IDの同期設定(ハイブリッド構成の確立) | 1〜2週間 |
| 3. クラウドリソースの移行 | ファイルサーバー→SharePoint/OneDrive、プリンター→Universal Print | 1〜3ヶ月 |
| 4. GPO→Intune移行 | グループポリシーをIntuneの構成プロファイルに置き換え | 1〜2ヶ月 |
| 5. AD廃止 | 全PCをEntra Joinに切り替え、ドメインコントローラーを停止 | 1〜3ヶ月 |
グループポリシーのIntune置き換え
| GPO設定 | Intuneでの代替 |
|---|---|
| パスワードポリシー | Entra IDのパスワード保護 + 条件付きアクセス |
| 画面ロック設定 | Intune構成プロファイル(デバイス制限) |
| USB制限 | Intune構成プロファイル(デバイス制限) |
| Windows Update制御 | Intune更新リング |
| BitLocker | Intuneディスク暗号化プロファイル |
| Wi-Fi設定 | Intune Wi-Fiプロファイル |
| ドライブマッピング | OneDrive既知フォルダー移動 + SharePoint同期 |
よくある課題と対策
| 課題 | 対策 |
|---|---|
| AD認証が必要な業務アプリがある | アプリのSaaS移行、またはEntra Domain Servicesの利用 |
| ファイルサーバーのNTFSアクセス権が複雑 | SharePoint移行時に権限設計をシンプル化 |
| プリンターがAD認証に依存 | Universal Print、またはクラウド対応プリンターへの更新 |
| ユーザーの抵抗感 | パイロットグループでの先行導入、丁寧なトレーニング |
BTNコンサルティングの支援
AD環境のアセスメント、ハイブリッド構成の構築、Intune移行、SharePoint移行、最終的なAD廃止まで段階的な移行プロジェクトを一括で支援します。
まとめ
AD→Entra ID移行は「ハイブリッド→クラウドネイティブ」の段階的アプローチが最もリスクが低い方法です。ファイルサーバーのSharePoint移行、GPOのIntune置き換え、業務アプリのSaaS化を並行して進め、最終的にドメインコントローラーを廃止します。