Azure Active Directory Domain Services: よく寄せられる質問 (FAQ)Azure Active Directory Domain Services: Frequently Asked Questions (FAQs)

このページでは、Azure Active Directory Domain Services に関してよく寄せられる質問への回答が記載されています。This page answers frequently asked questions about the Azure Active Directory Domain Services. 常に最新情報をチェックしてください。Keep checking back for updates.

トラブルシューティング ガイドTroubleshooting guide

Azure ADドメイン サービスを 構成するか、または管理する際に生じる、一般的な問題の解決策については、「トラブルシューティングガイド」を参照してください。Refer to the Troubleshooting guide for solutions to common issues with configuring or administering Azure AD Domain Services.

構成Configuration

1 つの Azure AD ディレクトリに対して複数のマネージド ドメインを作成することはできますか。Can I create multiple managed domains for a single Azure AD directory?

いいえ。No. 1 つの Azure AD ディレクトリに対して Azure AD Domain Services によって対応されるマネージド ドメインは 1 つだけ作成できます。You can only create a single managed domain serviced by Azure AD Domain Services for a single Azure AD directory.

Azure Resource Manager 仮想ネットワークで Azure AD Domain Services を有効にすることはできますか。Can I enable Azure AD Domain Services in an Azure Resource Manager virtual network?

はい。Yes. Azure AD Domain Services は Azure Resource Manager 仮想ネットワークで有効にすることができます。Azure AD Domain Services can be enabled in an Azure Resource Manager virtual network. クラシックの Azure 仮想ネットワークは、マネージド ドメインの新規作成のサポートをまもなく終了します。Classic Azure virtual networks are no longer supported for creating new managed domains.

既存のマネージド ドメインをクラシック仮想ネットワークから Resource Manager 仮想ネットワークに移行することはできますか。Can I migrate my existing managed domain from a classic virtual network to a Resource Manager virtual network?

現時点では連携しません。Not currently. 将来的には、既存のマネージド ドメインをクラシック仮想ネットワークから Resource Manager 仮想ネットワークに移行するメカニズムを提供します。Microsoft will deliver a mechanism to migrate your existing managed domain from a classic virtual network to a Resource Manager virtual network in the future.

Azure AD Domain Services を Azure CSP (Cloud Solution Provider) サブスクリプション内で有効にできますか。Can I enable Azure AD Domain Services in an Azure CSP (Cloud Solution Provider) subscription?

はい。Yes. Azure CSP サブスクリプションの Azure AD Domain Services を有効にする方法をご覧ください。See how you can enable Azure AD Domain Services in Azure CSP subscriptions.

フェデレーション Azure AD ディレクトリの Azure AD Domain Services を有効にすることはできますか。Can I enable Azure AD Domain Services in a federated Azure AD directory? Azure AD にパスワード ハッシュを同期していません。I do not synchronize password hashes to Azure AD. このディレクトリの Azure AD Domain Services を有効にすることはできますか。Can I enable Azure AD Domain Services for this directory?

いいえ。No. Azure AD Domain Services では、NTLM または Kerberos を通じたユーザーの認証で、ユーザー アカウントのパスワード ハッシュへのアクセスが必要になります。Azure AD Domain Services needs access to the password hashes of user accounts, to authenticate users via NTLM or Kerberos. フェデレーション ディレクトリでは、パスワード ハッシュは Azure AD ディレクトリに格納されません。In a federated directory, password hashes are not stored in the Azure AD directory. そのため、Azure AD Domain Services では、このような Azure AD ディレクトリは使用されません。Therefore, Azure AD Domain Services does not work with such Azure AD directories.

Azure AD Domain Services をサブスクリプション内の複数の仮想ネットワークで利用できますか。Can I make Azure AD Domain Services available in multiple virtual networks within my subscription?

このサービスそのものが、そのようなシナリオを直接サポートすることはありません。The service itself does not directly support this scenario. マネージド ドメインは一度に 1 つの仮想ネットワークでのみ利用できます。Your managed domain is available in only one virtual network at a time. ただし、Azure AD Domain Services を他の仮想ネットワークに公開するために複数の仮想ネットワーク間の接続を構成できます。However, you may configure connectivity between multiple virtual networks to expose Azure AD Domain Services to other virtual networks. Azure で仮想ネットワークに接続する方法をご覧ください。See how you can connect virtual networks in Azure.

PowerShell を使用して Azure AD ドメイン サービスを有効にできますか。Can I enable Azure AD Domain Services using PowerShell?

はい。Yes. PowerShell を使って Azure AD Domain Services を有効にする方法に関する記事をご覧ください。See how to enable Azure AD Domain Services using PowerShell.

Resource Manager テンプレートを使用して Azure AD Domain Services を有効にできますか?Can I enable Azure AD Domain Services using a Resource Manager Template?

はい。Yes. PowerShell を使って Azure AD Domain Services を有効にする方法に関する記事をご覧ください。See how to enable Azure AD Domain Services using PowerShell.

Azure AD Domain Services のマネージド ドメインにドメイン コント ローラーを追加することはできますか。Can I add domain controllers to an Azure AD Domain Services managed domain?

いいえ。No. マネージド ドメインは Azure AD Domain Services によって提供されるドメインです。The domain provided by Azure AD Domain Services is a managed domain. このドメインに対してドメイン コントローラーをプロビジョニング、構成、または管理する必要はありません。これらの管理作業は Microsoft によるサービスとして提供されます。You do not need to provision, configure, or otherwise manage domain controllers for this domain - these management activities are provided as a service by Microsoft. そのため、マネージド ドメインに追加のドメイン コント ローラー (読み取り/書き込みも読み取り専用も) を追加することはできません。Therefore, you cannot add additional domain controllers (read-write or read-only) for the managed domain.

自分のディレクトリに招待したゲスト ユーザーは Azure AD Domain Services を使用できますか。Can guest users invited to my directory use Azure AD Domain Services?

いいえ。No. Azure AD B2B 招待プロセスを使用して Azure AD ディレクトリに招待されたゲスト ユーザーは、Azure AD Domain Services の管理対象 ドメインに同期されます。Guest users invited to your Azure AD directory using the Azure AD B2B invite process are synchronized into your Azure AD Domain Services managed domain. ただし、これらのユーザーのパスワードは Azure AD ディレクトリに保存されません。However, passwords for these users are not stored in your Azure AD directory. そのため、Azure AD Domain Services で、これらのユーザーの NTLM と Kerberos のハッシュをマネージド ドメインに同期できません。Therefore, Azure AD Domain Services has no way to sync NTLM and Kerberos hashes for these users into your managed domain. その結果、当該ユーザーは、管理対象ドメインにログインすることや、コンピューターを管理対象ドメインに参加させることができません。As a result, such users cannot log in to the managed domain or join computers to the managed domain.

管理と操作Administration and Operations

リモート デスクトップを使用してマネージド ドメインのドメイン コントローラーに接続できますか。Can I connect to the domain controller for my managed domain using Remote Desktop?

いいえ。No. マネージド ドメインのドメイン コントローラーにリモート デスクトップで接続する権限はありません。You do not have permissions to connect to domain controllers for the managed domain via Remote Desktop. "AAD DC 管理者" グループのメンバーは、Active Directory 管理センター (ADAC) や AD PowerShell などの AD 管理ツールでマネージド ドメインを管理できます。Members of the 'AAD DC Administrators' group can administer the managed domain using AD administration tools such as the Active Directory Administration Center (ADAC) or AD PowerShell. これらのツールは、"リモート サーバー管理ツール" 機能を使用して、マネージド ドメインに参加している Windows サーバーにインストールされます。These tools are installed using the 'Remote Server Administration Tools' feature on a Windows server joined to the managed domain.

Azure AD Domain Services を有効にしています。I’ve enabled Azure AD Domain Services. このドメインに参加しているドメイン コンピューターでは、どのユーザー アカウントを使用できますか。What user account do I use to domain join machines to this domain?

管理グループのメンバー ("AAD DC 管理者" など) は、ドメインに参加しているコンピューターで使用できます。Members of the administrative group ‘AAD DC Administrators’ can domain-join machines. さらに、このグループのメンバーには、ドメインに参加しているコンピューターへのリモート デスクトップ アクセス権が付与されます。Additionally, members of this group are granted remote desktop access to machines that have been joined to the domain.

Azure AD Domain Services によって提供されるマネージド ドメインにドメイン管理者特権はありますか。Do I have domain administrator privileges for the managed domain provided by Azure AD Domain Services?

いいえ。No. マネージド ドメイン上に管理者特権は付与されません。You are not granted administrative privileges on the managed domain. "ドメイン管理者" 特権と "エンタープライズ管理者" 特権はどちらも、ドメインでは利用できません。Both ‘Domain Administrator’ and ‘Enterprise Administrator’ privileges are not available for you to use within the domain. オンプレミスのアクティブディレクトリ内のドメイン管理者またはエンタープライズ管理者グループのメンバーには、管理対象ドメインのドメイン/エンタープライズ管理者特権は付与されません。Members of the domain administrator or enterprise administrator groups in your on-premises Active Directory are also not granted domain/enterprise administrator privileges on the managed domain.

マネージド ドメインで LDAP または他の AD 管理ツールを使用してグループ メンバーシップを変更できますか。Can I modify group memberships using LDAP or other AD administrative tools on managed domains?

いいえ。No. Azure AD Domain Services によってサービスされるドメインのグループ メンバーシップは変更できません。Group memberships cannot be modified on domains serviced by Azure AD Domain Services. ユーザー属性に対しても同様です。The same applies for user attributes. ただし、Azure AD またはオンプレミスのドメインのいずれかで、グループ メンバーシップまたはユーザー属性を変更できます。You may however change group memberships or user attributes either in Azure AD or on your on-premises domain. このような変更は、Azure AD Domain Services に自動的に同期されます。Such changes are automatically synchronized to Azure AD Domain Services.

Azure AD ディレクトリに対して行った変更がマネージド ドメインに反映されるまで、どのくらいの時間がかかりますか。How long does it take for changes I make to my Azure AD directory to be visible in my managed domain?

Azure AD UI または PowerShell を使用して Azure AD ディレクトリに対して行った変更は、マネージド ドメインに同期されます。Changes made in your Azure AD directory using either the Azure AD UI or PowerShell are synchronized to your managed domain. この同期プロセスはバック グラウンドで実行されます。This synchronization process runs in the background. 1度、初期同期が完了されると、Azure AD で行われた変更が 管理対象 ドメインに反映されるまで、通常は約 20 分かかります。Once initial synchronization is complete, it typically takes about 20 minutes for changes made in Azure AD to be reflected in your managed domain.

Azure AD Domain Services によって提供されるマネージド ドメインのスキーマは拡張できますか。Can I extend the schema of the managed domain provided by Azure AD Domain Services?

いいえ。No. スキーマは、Microsoft がマネージド ドメインを管理することで管理されます。The schema is administered by Microsoft for the managed domain. Azure AD ドメイン サービスでは、スキーマの拡張機能はサポートされていません。Schema extensions are not supported by Azure AD Domain Services.

マネージド ドメインの DNS レコードを変更または追加できますか。Can I modify or add DNS records in my managed domain?

はい。Yes. "AAD DC 管理者" グループのメンバーには、マネージド ドメインの DNS レコードを変更できるよう "DNS 管理者" 特権が付与されます。Members of the 'AAD DC Administrators' group are granted 'DNS Administrator' privileges, to modify DNS records in the managed domain. これらのメンバーは、マネージド ドメインに参加している Windows Server を実行しているコンピューター上で DNS マネージャー コンソールを使用して、DNS を管理できます。They can use the DNS Manager console on a machine running Windows Server joined to the managed domain, to manage DNS. DNS マネージャー コンソールを使用するには、"リモート サーバー管理ツール" オプション機能の一部である "DNS サーバー ツール" をサーバーにインストールします。To use the DNS Manager console, install 'DNS Server Tools', which is part of the 'Remote Server Administration Tools' optional feature on the server. DNS の管理、監視、およびトラブルシューティングを行うためのユーティリティ の詳細については、TechNet をご覧ください。More information on utilities for administering, monitoring and troubleshooting DNS is available on TechNet.

マネージド ドメインのパスワード有効期間ポリシーとはどのようなものですか。What is the password lifetime policy on a managed domain?

Azure AD Domain Services のマネージド ドメインの既定のパスワード有効期間は 90 日間です。The default password lifetime on an Azure AD Domain Services managed domain is 90 days. このパスワード有効期間は、Azure AD で構成されているパスワード有効期間と同期されません。This password lifetime is not synchronized with the password lifetime configured in Azure AD. そのため、ユーザーのパスワードが、マネージド ドメインでは期限切れだが、Azure AD ではまだ有効なことがあります。Therefore, you may have a situation where users' passwords expire in your managed domain, but are still valid in Azure AD. このような場合、ユーザーは Azure AD のパスワードを変更する必要があり、この新しいパスワードがマネージド ドメインに同期されます。In such scenarios, users need to change their password in Azure AD and the new password will synchronize to your managed domain. また、ユーザー アカウントの "password-does-not-expire" 属性と "user-must-change-password-at-next-logon" 属性は、マネージド ドメインに同期されません。Additionally, the 'password-does-not-expire' and 'user-must-change-password-at-next-logon' attributes for user accounts are not synchronized to your managed domain.

Azure AD Domain Services は、AD アカウントに、 ロックアウトから 保護する機能を提供しますか?Does Azure AD Domain Services provide AD account lockout protection?

はい。Yes. 管理対象ドメインに、2 分以内に無効なパスワードの試行が5回行われると、ユーザーのアカウントは、30 分ロックアウトされます。Five invalid password attempts within 2 minutes on the managed domain cause a user account to be locked out for 30 minutes. 30 分後、ユーザー アカウントは、自動的にロック解除されます。After 30 minutes, the user account is automatically unlocked. 管理対象ドメインでの無効なパスワードの試行は、 Azure AD のユーザー アカウントをロックしません。Invalid password attempts on the managed domain do not lock out the user account in Azure AD. ユーザー アカウントは、Azure AD Domain Services の管理対象 ドメイン内でだけ、ロックアウトされます。The user account is locked out only within your Azure AD Domain Services managed domain.

課金と可用性Billing and availability

Azure AD Domain Services は有料のサービスですか。Is Azure AD Domain Services a paid service?

はい。Yes. 詳細については、 価格に関するページを参照してください。For more information, see the pricing page.

サービスの無料試用版はありますか。Is there a free trial for the service?

このサービスは、Azure の無料試用版に含まれています。This service is included in the free trial for Azure. 1 か月間の無料試用版にサインアップできます。You can sign up for a free one-month trial of Azure.

Azure AD Domain Services のマネージド ドメインを一時停止することはできますか。Can I pause an Azure AD Domain Services managed domain?

いいえ。No. Azure AD Domain Services のマネージド ドメインを有効にすると、マネージド ドメインを無効化/削除するまで、選択した仮想ネットワーク内でサービスを使用できます。Once you have enabled an Azure AD Domain Services managed domain, the service is available within your selected virtual network until you disable/delete the managed domain. サービスを一時停止する方法はありません。There is no way to pause the service. 課金は、マネージド ドメインを削除するまで、1 時間ごとに続行されます。Billing continues on an hourly basis until you delete the managed domain.

Enterprise Mobility Suite (EMS) の一部として Azure AD Domain Services を取得できますか。Can I get Azure AD Domain Services as part of Enterprise Mobility Suite (EMS)? Azure AD Domain Services を使用するのに Azure AD Premium が必要ですか。Do I need Azure AD Premium to use Azure AD Domain Services?

いいえ。No. Azure AD Domain Services は従量課金制の Azure サービスであり、EMS には含まれていません。Azure AD Domain Services is a pay-as-you-go Azure service and is not part of EMS. Azure AD Domain Services は、Azure AD のすべてのエディション (Free、Basic、および Premium) で使用できます 。Azure AD Domain Services can be used with all editions of Azure AD (Free, Basic, and, Premium). 使用状況に応じて、時間単位で課金されます。You are billed on an hourly basis, depending on usage.

このサービスは、どの Azure のリージョンで利用できますか。What Azure regions is the service available in?

Azure AD Domain Services を使用できる Azure リージョンの一覧については、リージョン別の Azure サービスに関するページを参照してください。Refer to the Azure Services by region page to see a list of the Azure regions where Azure AD Domain Services is available.