オンプレミスActive DirectoryからEntra IDへの段階的移行ガイド ― 中小企業が踏むべき5つのステップ
「ADサーバーのハードウェア更改時期が来たが、このまま新しいサーバーを買うべきなのか」「テレワーク端末がADドメインに参加できず、グループポリシーが適用されていない」「ADサーバーの管理者がたった1人で、その人が退職したらどうなるのか」――オンプレミスのActive Directory(AD)を運用している中小企業からよく聞く悩みです。
この記事では、オンプレミスADからMicrosoft Entra ID(旧Azure Active Directory)への移行を、中小企業が現実的に進めるための段階的なアプローチを解説します。
なぜオンプレミスADからの移行が必要なのか
維持コストの問題
オンプレミスADの運用には、物理サーバー(または仮想サーバー基盤)のハードウェアコスト、Windows Serverのライセンス費用、サーバーの設置場所(電源・空調・UPS)のファシリティコスト、OSパッチ適用やバックアップなどの運用工数が発生します。
ADサーバーは冗長化(最低2台)が推奨されるため、中小企業であっても2台分のサーバーコストとライセンスが必要です。ハードウェアの更改は5年ごとに発生し、その都度数十万〜百万円単位の投資が必要になります。
セキュリティリスク
Active Directoryはサイバー攻撃者にとって最も魅力的な標的の一つです。ドメイン管理者権限を奪取されると、社内のすべてのPCとサーバーが掌握されます。ランサムウェア攻撃の多くは、AD環境の脆弱性を悪用してドメイン全体に感染を拡大させます。
ADのセキュリティを適切に維持するには、特権アカウントの管理、Kerberos認証の監視、グループポリシーの定期監査、パッチ適用など、専門知識を持つ人材が必要です。ひとり情シスの環境で、これらすべてを適切に運用し続けるのは極めて困難です。
テレワークとの相性の悪さ
ADドメインに参加したPCは、基本的にADサーバーと通信できるネットワーク(社内LANまたはVPN)上にいる必要があります。テレワーク端末がVPNで社内に接続していない状態では、グループポリシーの更新やパスワード変更が正常に機能しない場合があります。
Entra IDはクラウドベースであるため、インターネットに接続されていれば場所を問わずポリシーの適用と認証が可能です。テレワークが常態化した環境では、この差は決定的です。
オンプレミスADとEntra IDの基本的な違い
Active Directory(AD DS) は、オンプレミスのサーバー上で動作するディレクトリサービスです。Kerberos / NTLM認証、グループポリシー(GPO)によるPC管理、LDAP / DNSによるリソース解決を提供します。
Entra ID(旧Azure AD) は、Microsoftのクラウド上で動作するIDaaS(Identity as a Service)です。OAuth 2.0 / OpenID Connect / SAMLによるモダン認証、条件付きアクセスによるアクセス制御、Intuneとの統合によるデバイス管理を提供します。
重要な点として、Entra IDはADの「クラウド版」ではありません。両者はアーキテクチャが根本的に異なります。ADのグループポリシー(GPO)はEntra IDには存在せず、代わりにIntuneの構成プロファイルで同等の管理を実現します。ADのKerberos認証はEntra IDではOAuth 2.0 / SAMLに置き換わります。
段階的移行の5ステップ
オンプレミスADからEntra IDへの移行は、一夜にして切り替えるものではありません。以下の5段階を、数ヶ月〜数年かけて段階的に進めていくのが現実的なアプローチです。
ステップ1:Entra ID Connectによるハイブリッド同期の構築
目的: オンプレミスADとEntra IDを共存させ、ユーザーが同一のアカウントで社内リソースとクラウドサービスの両方にアクセスできる状態を作ります。
実施内容: Microsoft Entra Connect(旧Azure AD Connect)をオンプレミス環境にインストールし、ADのユーザー・グループ情報をEntra IDに同期します。認証方式はパスワードハッシュ同期(PHS)を推奨します。PHSは最もシンプルで、ADサーバーがダウンしてもクラウド認証が継続できるため、可用性の面でも有利です。
この段階で実現すること: 社員は既存のADアカウントでMicrosoft 365にシングルサインオンできるようになります。Entra ID側でMFA(多要素認証)を有効化し、クラウドアクセスのセキュリティを即座に強化できます。
注意点: ADの管理者アカウント(Domain Adminsなど)はEntra IDに同期しないでください。ADの特権アカウントが侵害された場合に、クラウド側まで被害が拡大することを防ぐためです。AD側とEntra ID側の管理者アカウントは別々に管理してください。
ステップ2:PCのHybrid Entra ID Join
目的: PCをオンプレミスADとEntra IDの両方に登録し、ADのグループポリシーとEntra IDの条件付きアクセスの両方を適用できる状態にします。
実施内容: Entra ConnectでHybrid Entra ID Joinを構成します。これにより、ADドメインに参加済みのPCが自動的にEntra IDにもデバイス登録されます。
この段階で実現すること: Entra IDの条件付きアクセスで「Hybrid Entra ID参加済みデバイスのみMicrosoft 365へのアクセスを許可」といったポリシーを適用できます。既存のグループポリシーはそのまま動作し続けるため、業務への影響はありません。
ステップ3:IntuneによるPC管理の開始とGPOの移行
目的: ADのグループポリシーで行っていたPC管理を、段階的にIntuneに移行します。これが移行全体で最も工数のかかるステップです。
実施内容: Microsoft 365 Business Premium(Intuneを含む)を導入し、Hybrid Entra ID Join済みのPCをIntuneにも登録します。ADのグループポリシーの棚卸しを行い、各ポリシーのIntune上での代替手段を特定し、Intuneの構成プロファイルとして再実装します。
GPOからIntuneへの移行例:
パスワードポリシー(複雑さ、長さ、有効期限)は、Entra IDのパスワードポリシー+SSPRで代替します。
Windows Updateの制御(WSUS連携)は、Intuneの更新リングで代替します。
BitLockerの有効化は、Intuneのエンドポイントセキュリティポリシーで代替します。
USBデバイスの制限は、Intuneのデバイス制御ポリシーで代替します。
Wi-Fi / VPN設定の配布は、Intuneの構成プロファイルで代替します。
壁紙の統一やスタートメニューのカスタマイズは、Intuneの設定カタログで代替します。
進め方のコツ: 一度にすべてのGPOを移行しようとせず、新しいPCから順にIntune管理に切り替えていきます。既存PCは次のリプレースタイミングまでGPOで管理を続けても問題ありません。
ステップ4:新規PCのEntra ID Join(ADドメイン参加なし)
目的: 新規に導入するPCは、オンプレミスADに参加させずEntra IDに直接参加(Entra ID Join)させます。
実施内容: Windows Autopilotを構成し、新規PCが初回起動時にEntra IDに自動参加し、Intuneに自動登録される環境を整えます。新規PCはADドメインへの参加が不要になるため、キッティング時にADサーバーへの接続も不要です。
この段階で実現すること: 新規PCは完全にクラウドベースで管理され、Entra IDの条件付きアクセス+Intuneのポリシーのみで運用されます。これにより、ADに依存するPCの台数が自然に減少していきます。
移行のタイムライン: PCの更改サイクル(3〜5年)に合わせるのが自然です。全社員のPCが一巡するまでには数年単位の時間がかかりますが、新規PCから着実にEntra Join化を進めることで、AD依存を段階的に解消できます。
ステップ5:オンプレミスAD依存の解消と廃止
目的: オンプレミスADに依存するリソースをすべてクラウドまたは代替手段に移行し、最終的にADサーバーを廃止します。
AD依存が残りやすい要素と対策:
ファイルサーバー(NAS)のNTLM/Kerberos認証は、SharePoint Online / OneDriveへの移行、またはAzure Filesの利用で代替します。
オンプレミスの業務アプリケーション(AD認証必須)は、SaaS版への移行、またはEntra IDアプリケーションプロキシ経由でのアクセス提供を検討します。
プリンターのAD認証は、Universal Printなどのクラウドプリントサービスへの移行で代替します。
VPN接続(RADIUSサーバー連携)は、Entra ID認証対応のVPN、またはSASE / ZTNAへの移行で代替します。
ADサーバーを廃止できる条件: すべてのPCがEntra ID Join(Hybrid Joinではない)に移行済みであること。ADドメイン認証を必要とするオンプレミスアプリケーションが存在しないこと。ファイルサーバーがクラウドに移行済みであること。プリンターがクラウドプリントに対応済みであること。
これらすべてを達成するのは容易ではなく、特にレガシーな業務アプリケーション(AD認証が必須の古いシステム)が残っている場合は、アプリの刷新まで含めた中長期計画が必要です。
移行中のハイブリッド環境での注意点
認証の一貫性
ハイブリッド環境では、ADとEntra IDの両方にアカウントが存在します。パスワード変更は一方で行えば、Entra Connectの同期(既定30分間隔)で他方にも反映されますが、同期タイムラグにより「ADでパスワードを変更したが、クラウド側にまだ反映されていない」という状態が一時的に発生します。
管理の二重化
Hybrid Join期間中は、GPOとIntuneの両方がPCに適用されます。同じ設定項目(例:BitLockerのポリシー)をGPOとIntuneの両方で設定すると競合が発生する場合があります。GPOからIntuneへの移行は、項目ごとに「GPOを削除→Intuneに追加」という順序で行ってください。
ADサーバーの可用性
ハイブリッド環境中もADサーバーは動作し続ける必要があります。パスワードハッシュ同期(PHS)を使用している場合、ADサーバーが停止してもクラウド認証は継続できますが、オンプレミスリソース(ファイルサーバー等)へのアクセスは影響を受けます。ADサーバーの適切な冗長化とバックアップは移行完了まで維持してください。
中小企業の現実的な移行タイムライン
今すぐ(1ヶ月以内): Entra Connectのインストールとハイブリッド同期の開始。MFAの全社有効化。
短期(3〜6ヶ月): Microsoft 365 Business Premiumへの移行。Intuneへのデバイス登録開始。主要なGPOのIntune移行を開始。
中期(6〜18ヶ月): 新規PCのEntra ID Join化。ファイルサーバーのSharePoint / OneDrive移行。GPOの段階的なIntune移行。
長期(1〜3年): 全PCのEntra Join化完了(PCリプレースサイクルに合わせて)。レガシーアプリケーションの刷新。ADサーバーの廃止。
多くの中小企業にとって、現実的にはステップ3(Hybrid Join + Intune管理)の状態でしばらく安定運用し、PCリプレースのタイミングで段階的にEntra Joinへ切り替えていくのが最も無理のない進め方です。「ADサーバーの廃止」をゴールとして急ぐ必要はなく、まずはEntra ID + Intuneの活用を開始することで、セキュリティとテレワーク対応の改善を早期に実現できます。
情シス365では、オンプレミスADからEntra IDへの段階的移行を、現状アセスメントからEntra Connect構築、Intune導入、GPO移行設計まで一貫して支援しています。「ADサーバーの更改時期が来たが、クラウド移行すべきか判断がつかない」という方は、無料相談からお気軽にご相談ください。