Microsoft Entra Domain Services(MEDS)はAzure外のデバイスからも利用できるのか
「オンプレADをなくしたいけど、オンプレAD使っているシステムが社内いくつかあるからなくせない」と相談をいただきました。そこで、Microsoft Entra Domain ServicesはAzure外のデバイスからも利用できるのか確認してみました。
結論:利用可能だが非推奨
MS社ブログ記事にも記載の通り、Azure外の環境のネットワークとサイト間 VPN などで接続した場合には Azure VNET 経由で MEDS にアクセス可能なため、技術的にはデバイスをドメイン参加させることは可能ですが、推奨していないシナリオになるとのことです(MSサポートにも確認しました)
参考 : Azure AD Domain Services の利用シナリオ | Japan Azure Identity Support Blog (jpazureid.github.io)
サイト間VPN接続すれば技術的には一応使える(非推奨だが)とのことだが、サイト間VPN接続は必須か?(インターネット経由でMEDSの利用はできない?)
Kerberosを使う通信についてはNAT越えができないためインターネット経由でのMEDSの利用はできません。そのため、どうしても接続が必要な場合には閉域接続 ( サイト間 VPN など ) を実施する必要があります。
もしインターネット経由で LDAP 接続が行えればよいということであれば、Secure LDAP を使用することでインターネット経由にて認証を行うこと自体は可能です。
しかしながらあくまでも Secure LDAP のみの接続となる点にご注意ください。
参考 : チュートリアルl – Microsoft Entra Domain Services 用に LDAPS を構成する – Microsoft Entra ID | Microsoft Learn