設計上の決定:ユーザー移行に関する考慮事項

ほとんどのエンドユーザーは、自社のデバイスまたは企業内のデバイスを使用してクラウドリソースにアクセスするときに、Azure クラウドの外部から接続しています。ユーザーとデバイスの特性は、クラウド環境の設計とアーキテクチャ、および推奨される移行パスに大きく影響します。現在の環境をどのように管理するかは、その管理システムが Azure に移行する場合に特定の要件を課します。

ユーザーは、主にディレクトリサービスを通じて管理されます。ユーザーのクラウドのみの展開を使用している場合は、Azure AD テナントを作成することから始めます。次に、そのテナントを Azure AD にリンクし、Azure AD 内で直接ユーザーとグループを作成します。既存の展開がある場合は、Azure AD Connect を使用して AD ユーザーとグループを Azure AD に自動的に同期できます。

通常、Azure AD Connect をインストールして構成し、Azure AD と同期させるには、少し時間がかかります。Azure AD Connect のセットアップに費やす時間は、ユーザーがリソースに簡単にアクセスできるため、それだけの価値があります。Azure AD の実装は、認証のための最良の長期クラウド戦略として推奨されます。

ユーザー管理に関して答える必要がある質問は次のとおりです。

Citrix Cloud にはどのIDプロバイダーが必要ですか?

  • Citrix Cloudは、次のIDプロバイダーをネイティブでサポートしています。
    • オンプレミスActive Directory
    • Azure Active Directory
    • Citrix IDプロバイダー
    • OktaやPingなど、20を超えるサードパーティフェデレーションプロバイダー
  • Citrix Cloud 展開に最も適したIDプロバイダーを選択します。クラウドサービスと統合するために、既存のすべてのアプリケーションとその要件を考慮することを忘れないでください

  • オンプレミス展開で確立されたフェデレーションを使用することが、ユーザー ID の要件であるかどうかを判断します。潜在的なフェデレーションの例には、KerberosベースのSSO、SAML、またはスマートカードまたはRSA SecurIDなどのハードウェアトークンを使用したMFAが含まれます。

既存のオンプレミス AD ユーザーとグループを Azure AD に移動するにはどうすればよいですか?

  • 入手可能なMicrosoft のドキュメントを確認して、お客様のビジネス要件に最適な設計を判断してください。

  • Azure AD のライセンスモデルが、環境の機能とユーザー数をサポートしていることを確認します。

  • Microsoft では、Azure にドメインコントローラーをインストールして、Azure ExpressRoute または VPN を介してオンプレミスのドメインコントローラーと同期することを推奨しています。Azure にドメインコントローラーがあると、Azure AD Connect の同期パフォーマンスが向上します。

  • Azure AD Connect をインストールして構成し、ユーザーとグループのメンバーシップを Azure AD に同期できるようにする

  • 単一の Azure AD Connect サーバーは、同期のために単一のフォレストに制限されます。同じフォレスト内の複数の AD ドメインが同期プロセスに関与している場合、Azure AD Connect の使用はより複雑になります。

  • 必要なハイブリッド ID に応じて、さまざまなオプションが有効になる場合があります。
    • パスワードハッシュ同期 (PHS)
    • パススルー認証 (PTA)
    • 多要素認証 (クラウドベースのみ)
    • フェデレーションサービスによるシングルサインオン (スマートカード、パスワード有効期限通知、オンプレミスの MFA)
  • すべてのユーザーを Azure AD に同期する必要がない場合、Azure AD Connect はドメイン、組織単位、属性、またはグループレベルでのフィルタリングをサポートします。

  • Azure AD に存在する必要があるオブジェクトのみを含めるように AD スコープをフィルター処理する

  • 大きなディレクトリはインポートにかなりの時間がかかります。現在、Azure AD は書き込み操作を 1 時間あたり 84,000 に制限しているため、完全同期が実行されるまで十分な時間を確保する必要があります。

  • Azure の Azure AD Connect ヘルスポータルを使用してアラートを監視および構成する

他のリソースへのリンク

Azure Active Directory ハイブリッド ID 設計の考慮

Azure AD Connect 同期:同期を理解してカスタマイズ

Azure Active DirectoryをCitrix Cloudに接続する

Azure Active Directory とのハイブリッドアイデンティティとは何ですか?

設計上の決定:ユーザー移行に関する考慮事項

この記事の概要