Azure Cloud Solution Provider (CSP) 用 Azure Active Directory (AD) Domain ServicesAzure Active Directory (AD) Domain Services for Azure Cloud Solution Providers (CSP)

この記事では、Azure CSP サブスクリプションで Azure AD Domain Services を使用する方法について説明します。This article explains how you can use Azure AD Domain Services in an Azure CSP subscription.

Azure CSP の概要Overview of Azure CSP

Azure CSP は Microsoft パートナー向けのプログラムであり、さまざまな Microsoft クラウド サービスのライセンス チャネルを提供します。Azure CSP is a program for Microsoft Partners and provides a license channel for various Microsoft cloud services. Azure CSP により、パートナーは販売の管理、課金関係の所有、技術および課金のサポートの提供が可能になり、顧客の単一窓口になることができます。Azure CSP enables partners to manage sales, own the billing relationship, provide technical and billing support, and be the customer's single point of contact. さらに、Azure CSP では、セルフサービス ポータルや付随する API など、ツールの完全なセットも提供しています。In addition, Azure CSP provides a full set of tools, including a self-service portal and accompanying APIs. これらのツールにより、CSP パートナーは Azure リソースを簡単にプロビジョニングおよび管理し、顧客とそのサブスクリプションに対して課金を行うことができます。These tools enable CSP partners to easily provision and manage Azure resources, and provide billing for customers and their subscriptions.

パートナー センター ポータルは、すべての Azure CSP パートナーのエントリー ポイントとして機能します。The Partner Center portal acts as an entry point for all Azure CSP partners. ポータルでは、豊富な顧客管理機能や自動処理などが提供されます。It provides rich customer management capabilities, automated processing, and more. Azure CSP パートナーは、Web ベースの UI を使用するか、PowerShell と各種 API 呼び出しを使用して、パートナー センターの機能を使用できます。Azure CSP partners can use Partner Center capabilities by using a web-based UI or by using PowerShell and various API calls.

次の図は、CSP モデルのしくみを大まかに示しています。The following diagram illustrates how the CSP model works at a high level. Contoso には、Azure AD Active Directory があります。Contoso has an Azure AD Active Directory. Contoso は、Azure CSP サブスクリプションにリソースをデプロイして管理する CSP と提携しています。They have a partnership with a CSP, who deploys and manages resources in their Azure CSP subscription. また、Contoso に直接課金される通常の Azure (Direct) サブスクリプションを持つこともできます。Contoso may also have regular (direct) Azure subscriptions, which are billed directly to Contoso.

CSP モデルの概要

CSP パートナーのテナントには、管理エージェント、ヘルプデスク エージェント、販売エージェントの 3 つの特殊なエージェント グループがあります。The CSP partner's tenant has three special agent groups - Admin agents, Helpdesk agents, and Sales agents. 管理エージェント グループは、Contoso の Azure AD ディレクトリでテナント管理者ロールに割り当てられています。The Admin agents group is assigned to the tenant administrator role in Contoso's Azure AD directory. これにより、CSP パートナーの管理エージェント グループに属するユーザーは、Contoso の Azure AD ディレクトリでテナント管理者特権を持ちます。As a result, a user belonging to the CSP partner's admin agents group has tenant admin privileges in Contoso's Azure AD directory. CSP パートナーが Contoso の Azure CSP サブスクリプションをプロビジョニングすると、管理エージェント グループがそのサブスクリプションの所有者ロールに割り当てられます。When the CSP partner provisions an Azure CSP subscription for Contoso, their admin agents group is assigned to the owner role for that subscription. これにより、CSP パートナーの管理エージェントは、仮想マシン、仮想ネットワーク、Azure AD Domain Services などの Azure リソースを Contoso に代わってプロビジョニングするために必要な特権を持ちます。As a result, the CSP partner's admin agents have the required privileges to provision Azure resources such as virtual machines, virtual networks, and Azure AD Domain Services on behalf of Contoso.

詳細については、「Azure CSP overview (Azure CSP の概要)」をご覧ください。For more information, see the Azure CSP overview

Azure CSP サブスクリプションで Azure AD Domain Services を使用する利点Benefits of using Azure AD Domain Services in an Azure CSP subscription

Azure AD Domain Services は、Windows Server AD と互換性のあるサービス (LDAP、Kerberos/NTLM 認証、ドメイン参加、グループ ポリシー、DNS など) を Azure で提供します。Azure AD Domain Services provides Windows Server AD compatible services in Azure such as LDAP, Kerberos/NTLM authentication, domain join, group policy, and DNS. 数十年にわたり、これらの機能を使用して AD に対して機能する多数のアプリケーションが構築されてきました。Over the decades, many applications have been built to work against AD using these capabilities. 多くの独立系ソフトウェア ベンダー (ISV) が、顧客の構内でアプリケーションを構築し、展開しています。Many independent software vendors (ISVs) have built and deployed applications at their customers' premises. 多くの場合、これらのアプリケーションが展開されているさまざまな環境にアクセスする必要があるため、サポートが煩雑になります。These applications are onerous to support since that often requires access to the different environments in which these applications are deployed. Azure CSP サブスクリプションは、Azure のスケールと柔軟性を備えたよりシンプルな代替手段となります。With Azure CSP subscriptions, you have a simpler alternative with the scale and flexibility of Azure.

Azure AD Domain Services で Azure CSP サブスクリプションがサポートされるようになりました。Azure AD Domain Services now supports Azure CSP subscriptions. 顧客の Azure AD ディレクトリに関連付けられた Azure CSP サブスクリプションにアプリケーションをデプロイできます。You can now deploy your application in an Azure CSP subscription tied to your customer's Azure AD directory. これにより、従業員 (サポート スタッフ) は、会社の資格情報を使用して、アプリケーションがデプロイされている仮想マシンを管理し、対応することができます。As a result, your employees (support staff) can manage, administer, and service the virtual machines on which your application is deployed using your organization's corporate credentials. さらに、顧客の Azure AD ディレクトリの Azure AD Domain Services のマネージド ドメインをプロビジョニングできます。Further, you can provision an Azure AD Domain Services managed domain for your customer's Azure AD directory. アプリケーションは顧客のマネージド ドメインに接続されます。Your application is connected to your customer's managed domain. そのため、Kerberos/NTLM、LDAP、または System.DirectoryServices API に依存するアプリケーションの機能は、顧客のディレクトリに対してシームレスに動作します。Therefore, capabilities within your application that rely on Kerberos/NTLM, LDAP, or the System.DirectoryServices API work seamlessly against your customer's directory. エンド カスタマーは、アプリケーションがデプロイされているインフラストラクチャの管理を気にする必要なく、アプリケーションをサービスとして使用することで大きなメリットが得られます。Your end customers benefit greatly from consuming your application as a service, without needing to worry about maintaining the infrastructure the application is deployed on.

Azure AD Domain Services も含め、そのサブスクリプションで使用した Azure リソースに対するすべての課金がチャージ バックされます。All billing for Azure resources you consume in that subscription, including Azure AD Domain Services, is charged back to you. 販売、課金、テクニカル サポートなどに関して、顧客との関係の完全な制御を維持できます。Azure CSP プラットフォームの柔軟性により、小規模のサポート エージェント チームが、アプリケーションのインスタンスをデプロイしている多数の顧客にサービスを提供できます。You maintain full control over the relationship with the customer when it comes to sales, billing, technical support etc. With the flexibility of the Azure CSP platform, a small team of support agents can service many such customers who have instances of your application deployed.

Azure AD Domain Services の CSP デプロイ モデルCSP deployment models for Azure AD Domain services

Azure CSP サブスクリプションで Azure AD Domain Services を使用する場合、2 つの方法があります。There are two ways in which you can use Azure AD Domain Services with an Azure CSP subscription. セキュリティとシンプルさに関する顧客の考慮事項に基づいて適切な方法を選択してください。Pick the right one based on the security and simplicity considerations your customers have.

直接デプロイ モデルDirect deployment model

このデプロイ モデルでは、Azure CSP サブスクリプションに属する仮想ネットワーク内で Azure AD Domain Services が有効になります。In this deployment model, Azure AD Domain Services is enabled within a virtual network belonging to the Azure CSP subscription. CSP パートナーの管理エージェントには、次の特権があります。The CSP partner's admin agents have the following privileges:

  • 顧客の Azure AD ディレクトリでのグローバル管理者特権。Global administrator privileges in the customer's Azure AD directory.
  • Azure CSP サブスクリプションのサブスクリプション所有者特権。Subscription owner privileges on the Azure CSP subscription.

直接デプロイ モデル

このデプロイ モデルでは、CSP プロバイダーの管理エージェントが顧客の ID を管理できます。In this deployment model, the CSP provider's admin agents can administer identities for the customer. これらの管理エージェントは、新しいユーザーやグループのプロビジョニングや、顧客の Azure AD ディレクトリ内でのアプリケーションの追加などを実行できます。このデプロイ モデルは、選任の ID 管理者がいない組織や、CSP パートナーに ID を管理してもらうことを望む組織など、小規模の組織に適しています。These admin agents have the ability to provision new users, groups, add applications within the customer's Azure AD directory etc. This deployment model may be suited for smaller organizations that do not have a dedicated identity administrator or prefer for the CSP partner to administer identities on their behalf.

ピアリング デプロイ モデルPeered deployment model

このデプロイ モデルでは、顧客 (つまり、顧客が料金を支払う Azure Direct サブスクリプション) に属する仮想ネットワーク内で Azure AD Domain Services が有効になります。In this deployment model, Azure AD Domain Services is enabled within a virtual network belonging to the customer - that is, a direct Azure subscription paid for by the customer. CSP パートナーは、顧客の CSP サブスクリプションに属する仮想ネットワーク内でアプリケーションをデプロイできます。The CSP partner can then deploy applications within a virtual network belonging to the customer's CSP subscription. 仮想ネットワークは、Azure 仮想ネットワーク ピアリングを使用して接続できます。The virtual networks can then be connected using Azure virtual network peering. これにより、CSP パートナーが Azure CSP サブスクリプションにデプロイしたワークロード/アプリケーションは、顧客の Azure Direct サブスクリプションにプロビジョニングされた顧客のマネージド ドメインに接続できます。As a result, the workloads/applications deployed by the CSP partner in the Azure CSP subscription can connect to the customer's managed domain provisioned in the customer's direct Azure subscription.

ピアリング デプロイ モデル

このデプロイ モデルでは特権が分離されるので、CSP パートナーのヘルプデスク エージェントが Azure サブスクリプションを管理し、サブスクリプションにリソースをデプロイして管理できます。This deployment model provides a separation of privileges and enables the CSP partner's helpdesk agents to administer the Azure subscription and deploy and manage resources within it. ただし、CSP パートナーのヘルプデスク エージェントには、顧客の Azure AD ディレクトリに対するグローバル管理者特権は不要です。However, the CSP partner's helpdesk agents do not need to have global administrator privileges on the customer's Azure AD directory. 顧客の ID 管理者が組織の ID を引き続き管理できます。The customer's identity administrators can continue to manage identities for their organization.

このデプロイ モデルは、ISV (独立系ソフトウェア ベンダー) が、顧客の AD にも接続する必要があるオンプレミス アプリケーションのホストテッド バージョンを提供するシナリオに適しています。This deployment model may be suited to scenarios where an ISV (independent software vendor) provides a hosted version of their on-premises application, which also needs to connect to the customer's AD.

CSP サブスクリプションでの Azure AD Domain Services のマネージド ドメインの管理Administering Azure AD Domain Services managed domains in CSP subscriptions

Azure CSP サブスクリプションでマネージド ドメインを管理する場合、次の重要な考慮事項が適用されます。The following important considerations apply when administering a managed domain in an Azure CSP subscription:

  • CSP 管理エージェントは、各自の資格情報を使用してマネージド ドメインをプロビジョニングできる: Azure AD Domain Services は、Azure CSP サブスクリプションをサポートしています。CSP admin agents can provision a managed domain using their credentials: Azure AD Domain Services supports Azure CSP subscriptions. そのため、CSP パートナーの管理エージェント グループに属するユーザーは、新しい Azure AD Domain Services のマネージド ドメインをプロビジョニングできます。Therefore, users belonging to a CSP partner's admin agents group can provision a new Azure AD Domain Services managed domain.

  • CSP は、PowerShell を使用して顧客の新しいマネージド ドメインの作成をスクリプト化できる: 詳細については、PowerShell を使用して Azure AD Domain Services を有効にする方法に関する記事をご覧ください。CSPs can script creation of new managed domains for their customers using PowerShell: See how to enable Azure AD Domain Services using PowerShell for details.

  • CSP 管理エージェントは、各自の資格情報を使用してマネージド ドメインで継続的な管理タスクを実行することはできない: CSP 管理者ユーザーは、各自の資格情報を使用してマネージド ドメイン内で日常的な管理タスクを実行することはできません。CSP admin agents cannot perform ongoing management tasks on the managed domain using their credentials: CSP admin users cannot perform routine management tasks within the managed domain using their credentials. これらのユーザーは顧客の Azure AD ディレクトリの外部に存在するので、その資格情報は顧客の Azure AD ディレクトリ内では使用できません。These users are external to the customer's Azure AD directory and their credentials are not available within the customer's Azure AD directory. そのため、Azure AD Domain Services は、これらのユーザーの Kerberos/NTLM パスワード ハッシュにアクセスできません。Therefore, Azure AD Domain Services does not have access to the Kerberos and NTLM password hashes for these users. その結果、Azure AD Domain Services のマネージド ドメインでは、このようなユーザーを認証することはできません。As a result, such users cannot be authenticated on Azure AD Domain Services managed domains.

    警告

    マネージド ドメインで継続的な管理タスクを実行するには、顧客のディレクトリ内にユーザー アカウントを作成する必要があります。You must create a user account within the customer's directory to perform ongoing administration tasks on the managed domain. CSP 管理者ユーザーの資格情報を使用して、マネージド ドメインにサインインすることはできません。You cannot sign in to the managed domain using a CSP admin user's credentials. サインインするには、顧客の Azure AD ディレクトリに属するユーザー アカウントの資格情報を使用します。Use the credentials of a user account belonging to the customer's Azure AD directory to do so. この資格情報は、マネージド ドメインへの仮想マシンの参加、DNS の管理、グループ ポリシーの管理などのタスクに必要です。You need these credentials for tasks such as joining virtual machines to the managed domain, administering DNS, administering Group Policy etc.

  • 継続的な管理用に作成されたユーザー アカウントを "AAD DC Administrators" グループに追加する必要がある: "AAD DC Administrators" グループには、マネージド ドメインで特定の委任された管理タスクを実行する権限があります。The user account created for ongoing administration must be added to the 'AAD DC Administrators' group: The 'AAD DC Administrators' group has privileges to perform certain delegated administration tasks on the managed domain. これらのタスクには、DNS の構成、組織単位の作成、グループ ポリシーの管理などがあります。CSP パートナーがマネージド ドメインでこのようなタスクを実行するには、顧客の Azure AD ディレクトリ内にユーザー アカウントを作成する必要があります。These tasks include configuring DNS, creating organizational units, administering group policy etc. For a CSP partner to perform such tasks on a managed domain, a user account needs to be created within the customer's Azure AD directory. このアカウントの資格情報は、CSP パートナーの管理エージェントと共有する必要があります。The credentials for this account must be shared with the CSP partner's admin agents. また、このユーザー アカウントを使用して、マネージド ドメインで構成タスクを実行できるようにするには、このユーザーアカウントを "AAD DC Administrators" グループに追加する必要があります。Also, this user account must be added to the 'AAD DC Administrators' group to enable configuration tasks on the managed domain to be performed using this user account.

次の手順Next steps