Active DirectoryとMicrosoft Entra IDの違い

初めまして、Yです。前職では IT 系の会社で約 5 年間、主にヘルプデスク業務を担当していました。もっと幅広い経験を積みたいと考え、一昨年転職し、現在はインフラ運用業務に携わっています。

新年が明けて１か月ほど経ちましたが、いかがお過ごしでしょうか？私はゴールデンウィークが待ち遠しいです。今年は最大12連休だそうですよ。

さて、今回はActive DirectoryとMicrosoft Entra IDの違いについてご紹介したいと思います。Active Directory と Microsoft Entra ID は、どちらも「ユーザーやアクセスを管理する仕組み」ですが、使われる場面や考え方には大きな違いがあります。最近よく耳にする Microsoft Entra ID との違いを分かりやすく整理したいと考え、このテーマを選びました。

Active Directoryについては以前に別の担当が記載しておりますので、下記リンクよりご参照ください。

１課の技術書　Active Directory(AD DS)編① – 神楽坂のシエルプレザン

１課の技術書　Active Directory(AD DS)編② – 神楽坂のシエルプレザン

【共通点】

ではまずActive DirectoryとMicrosoft Entra IDについて簡単に説明します。

◆Active Directory（アクティブディレクトリ、略称：AD）：

Windows Server の機能の一つで、管理するネットワーク上に存在する企業内のユーザー、PC、サーバー、プリンターなどのIT資産や情報を一元的に集約・管理し、業務の効率化を図ることができます。簡単に言うと「会社にあるたくさんのパソコンや社員の情報を、一冊のノートにまとめて管理する仕組み」のようなものです。

◆Microsoft Entra ID（エントラID）：

旧称は「Azure Active Directory（Azure AD）」です。Microsoftが提供するサービスで、ユーザーのサインインやアクセス権限を一元的に管理します。例えるなら、各部屋（アプリ）の鍵をバラバラに持つのではなく、「自分専用のマスターキー」を1つ作り、それを管理・守ってくれるようなサービスです。

それでは共通点ですが、

どちらも「Microsoftが提供する、ユーザーを登録して本人確認（認証）を行うためのサービス」という点が一致しています。

【相違点】

◆ 使用する環境・管理対象・サポートしている認証プロトコルの違い

Active Directoryは、主にオンプレミス環境で利用されるディレクトリサービスです。
オンプレミスとは、英語の「On the premises（敷地内）」に由来し、情報システムを自社内の設備で運用する形態を指します。

Active Directoryは、ファイアウォールで保護された社内ネットワーク内で利用され、ドメインに参加した端末や社内システムのユーザー、コンピューターを管理することを目的としています。
認証には主に Kerberos プロトコルが使用されます。

一方、Microsoft Entra ID はクラウド上で提供される ID 管理サービスであり、Microsoft 365 や各種 SaaS、Azure などのクラウドサービスへのアクセスを管理します。
インターネット経由での利用を前提としており、認証には OpenID Connect や SAML 2.0 など、インターネット標準の認証プロトコルが使用されます。

◆ 構成の違い

Active Directory では、「ドメイン コントローラー」と呼ばれるサーバーを作成する必要があります。
ドメイン コントローラーとは、ドメインの機能を提供するサーバーであり、ユーザーやコンピューターの認証を一元的に管理する役割を担います。

ドメインとは、同一の認証基盤およびセキュリティ ポリシーが適用される論理的な管理範囲です。セキュリティポリシーとは、パスワードやアクセス権限などを統一管理するためのルールで、「会社として守らせたいセキュリティの決まりごと」を各PC・ユーザーに自動で適用できる仕組みです。

パソコンがドメインに参加し、ユーザーがドメインにログオンすると、ログオン後は再度認証を行うことなく、プリンターや共有ファイルなどの社内リソースへアクセスできるようになります。

Active Directory における最上位の管理単位は「フォレスト」です。
フォレストを構成すると、最初のドメイン（フォレスト ルート ドメイン）が 1 つ作成されます。
ドメインは必要に応じて複数作成することができ、同一フォレスト内のドメインは自動的に信頼関係で結ばれます。

信頼関係とは、あるドメインにログオンしたユーザーが、他のドメインのリソースにもアクセスできるようにする仕組みです。
これにより、異なるドメイン間でのリソース共有が可能になります。

一方、Microsoft Entra ID はクラウドサービスであるため、ドメイン コントローラーのようなサーバーを構築する必要はありません。Microsoft Azure や Microsoft 365 を契約することで、インターネット経由で利用できます。

サインアップすると、専用の管理領域となる「テナント」が 1 つ作成されます。
テナントは必要に応じて複数作成できますが、Active Directory のフォレストやドメインのような信頼関係は自動的には結ばれず、それぞれ独立して管理されます。

Entra ID のテナントは、組織ごとに分離された ID とセキュリティの管理単位であり、ユーザー、認証、アプリへのアクセス制御がこの単位で行われます。

テナント内のユーザー同士ではデータの共有や共同作業が可能ですが、テナント外のユーザーとは、ゲストとして明示的に許可されるまでは、データ共有や共同作業を行うことはできません。

Active Directory と Microsoft Entra ID の基本的な違いについて解説しましたがいかがでしたでしょうか？

次回は、それぞれで何ができるのか、どのような場面で使い分けるのかについて、もう少し踏み込んで紹介していく予定です。