アクティブ ディレクトリをクラウドのみに展開し、VPN を使用せずにワークステーションを参加させます (オンプレミスの DC や RODC などはありません)

アクティブ ディレクトリをクラウドのみに展開し、VPN を使用せずにワークステーションを参加させます (オンプレミスの DC や RODC などはありません)

当社にはオフィスはありません。すべてのユーザーはリモートです。

ただし、ワークステーションを参加させ、ユーザーを集中管理できる Active Directory が必要です。

1 つの提案としては、クラウド (AWS、Azure、Rackspace など) 上のサーバーを購入し、そこに Active Directory を展開して、ワークステーションをこの Active Directory に参加させることです。

この設定により、エンド ユーザーのワークステーションからクラウド上のサーバー インスタンスに VPN を使用しない場合の影響は何ですか? VPN を使用せずにこれを実行した人はいますか?

答え1

AD DC サーバーをインターネットから保護する必要があります。直接公開するのはベスト プラクティスではありません。VPN はそれを防ぐために役立ちます。Windows に組み込まれている VPN サービスを使用できます。それほど優れているわけではありませんが、何もないよりはましです。こちらに、Active Directory の MS ベスト プラクティス ガイドへのリンクがあります。Active Directory のセキュリティ保護に関するベスト プラクティス先に進む前に、これを確認することをお勧めします。78 ページでは、ドメイン コントローラーで Internet Explorer を単に使用することがベスト プラクティスの失敗として少し説明されています。これだけでも、Active Directory サービスをインターネットに公開するのは悪い考えだということがわかるはずです。

答え2

具体的な質問ですが、どのような影響があるのでしょうか? デフォルト構成のドメイン コントローラはパブリック ネットワークに対して強化されていません。たとえば、デフォルトでクリアテキストの LDAP バインドが許可されているため、パスワードが傍受される可能性があります。この記事では、LDAP シンプル バインドを無効にする手順について説明します。https://support.microsoft.com/ja-jp/kb/935834 より

マシン/ユーザー管理の観点から何を達成したいかに応じて、次のテクノロジを検討する必要があります。

Microsoft Intune は、Configuration Manager を使用して、Mac/Linux を含むドメインに参加していないマシンの管理を提供します。

Windows Azure Active Directory を使用すると、ユーザー アカウントを一元的に作成および管理し、Office 365 を含むさまざまなアプリケーションに ADFS 認証インターフェイスを提供できます。

DirectAccess では、認証前にクラウドでホストされているネットワークへの VPN トンネルを構築することで、インターネットに直接接続しながらドメインに参加したようなエクスペリエンスを実現できます。

Workplace Join は、ADFS サービスを介してデバイスをドメインに「参加」できるようにする ADFS の機能です。

Windows Azure は、インターネット経由で SMB 共有を提供できます。ただし、ファイル共有は従来のテクノロジであるため、可能な場合は Sharepoint Online/OneDrive を使用してください。

ポリシーは、Windows Intune を使用して (ある程度) 実行できます。従来のグループ ポリシー構成は取得できませんが、環境をロックダウンする場合を除き、通常はその必要はありません。

Windows 2012でインターネット印刷を設定できますhttps://technet.microsoft.com/ja-jp/library/jj134159.aspx- ただし、そのためにはどこかにサーバーが必要になります。クラウド サービスは間違いなく存在します。

幸運を

シェーン

答え3

従来の AD DS ではこれを行わないでください。クラウドのみにする必要がある場合は、管理用に Intune を使用し、デスクトップには Windows 10 を搭載した Azure Active Directory SaaS ソリューションを使用する必要があります。Kerberos、GPO などは使用できなくなりますが、柔軟性が大幅に向上し、管理するインフラストラクチャがなくなります。

前述したように、これは AAD と AD DS の機能の 1:1 比較ではないため、調査を行って適合性を確認してください。ただし、セキュリティのベスト プラクティスを完全に無視して DC をパブリック インターネットに配置しない限り、これが質問に対する唯一の妥当な解決策です。

関連情報