Azure Active Directory Domain Services でのユーザー アカウント、パスワード、および管理の管理の概念Management concepts for user accounts, passwords, and administration in Azure Active Directory Domain Services

Azure Active Directory Domain Services (AD DS) のマネージド ドメインを作成して実行すると、従来のオンプレミス AD DS 環境とは動作に違いがあります。When you create and run an Azure Active Directory Domain Services (AD DS) managed domain, there are some differences in behavior compared to a traditional on-premises AD DS environment. Azure AD DS でも自己管理型のドメインと同じ管理ツールを使用しますが、ドメイン コントローラー (DC) に直接アクセスすることはできません。You use the same administrative tools in Azure AD DS as a self-managed domain, but you can't directly access the domain controllers (DC). また、ユーザー アカウントの作成元よって、パスワード ポリシーとパスワード ハッシュの動作に違いがあります。There's also some differences in behavior for password policies and password hashes depending on the source of the user account creation.

この概念に関する記事では、マネージド ドメインの管理方法と、ユーザー アカウントの作成方法に応じたさまざまな動作について説明します。This conceptual article details how to administer a managed domain and the different behavior of user accounts depending on the way they're created.

ドメインの管理Domain management

マネージド ドメインは、DNS 名前空間および対応するディレクトリです。A managed domain is a DNS namespace and matching directory. マネージド ドメインでは、ユーザーとグループ、資格情報、ポリシーなどのすべてのリソースを含むドメイン コントローラー (DC) は、マネージド サービスの一部です。In a managed domain, the domain controllers (DCs) that contain all the resources like users and groups, credentials, and policies are part of the managed service. 冗長性を確保するために、マネージド ドメインの一部として 2 つの DC が作成されます。For redundancy, two DCs are created as part of a managed domain. これらの DC にサインインして管理タスクを実行することはできません。You can't sign in to these DCs to perform management tasks. 代わりに、マネージド ドメインに参加している管理 VM を作成してから、通常の AD DS 管理ツールをインストールします。Instead, you create a management VM that's joined to the managed domain, then install your regular AD DS management tools. たとえば、DNS やグループ ポリシー オブジェクトなどの Active Directory 管理センターまたは Microsoft 管理コンソール (MMC) スナップインを使用できます。You can use the Active Directory Administrative Center or Microsoft Management Console (MMC) snap-ins like DNS or Group Policy objects, for example.

ユーザー アカウントの作成User account creation

ユーザー アカウントは、複数の方法でマネージド ドメインに作成できます。User accounts can be created in a managed domain in multiple ways. ほとんどのユーザー アカウントは Azure AD から同期されます。これには、オンプレミスの AD DS 環境から同期されたユーザー アカウントも含まれます。Most user accounts are synchronized in from Azure AD, which can also include user account synchronized from an on-premises AD DS environment. マネージド ドメインにアカウントを手動で直接作成することもできます。You can also manually create accounts directly in the managed domain. 初期パスワードの同期やパスワード ポリシーなどの一部の機能は、ユーザー アカウントの作成方法と作成場所に応じて異なる動作をします。Some features, like initial password synchronization or password policy, behave differently depending on how and where user accounts are created.

  • ユーザー アカウントは Azure AD から同期できます。The user account can be synchronized in from Azure AD. これには、Azure AD で直接作成されたクラウド専用のユーザー アカウントと、Azure AD Connect を使用してオンプレミスの AD DS 環境から同期されたハイブリッド ユーザー アカウントが含まれます。This includes cloud-only user accounts created directly in Azure AD, and hybrid user accounts synchronized from an on-premises AD DS environment using Azure AD Connect.
    • マネージド ドメインのほぼすべてのユーザー アカウントは、Azure AD からの同期プロセスを通じて作成されています。The majority of user accounts in a managed domain are created through the synchronization process from Azure AD.
  • ユーザー アカウントはマネージド ドメインに手動で作成することができ、Azure AD には存在しません。The user account can be manually created in a managed domain, and doesn't exist in Azure AD.
    • マネージド ドメインでのみ実行されるアプリケーションのサービス アカウントを作成する必要がある場合は、マネージド ドメインに手動で作成できます。If you need to create service accounts for applications that only run in the managed domain, you can manually create them in the managed domain. 同期は Azure AD から一方向で行われるため、マネージド ドメインに作成されたユーザー アカウントは Azure AD には同期されません。As synchronization is one way from Azure AD, user accounts created in the managed domain aren't synchronized back to Azure AD.

パスワード ポリシーPassword policy

Azure AD DS には、アカウントのロックアウト、パスワードの最大有効期間、パスワードの複雑さなどの設定を定義する既定のパスワード ポリシーが含まれています。Azure AD DS includes a default password policy that defines settings for things like account lockout, maximum password age, and password complexity. アカウントのロックアウト ポリシーなどの設定は、前のセクションで説明したように、ユーザーの作成方法に関係なく、マネージド ドメイン内のすべてのユーザーに適用されます。Settings like account lockout policy apply to all users in a managed domain, regardless of how the user was created as outlined in the previous section. パスワードの最小長やパスワードの複雑さなどの一部の設定は、マネージド ドメインに直接作成されたユーザーにのみ適用されます。A few settings, like minimum password length and password complexity, only apply to users created directly in a managed domain.

独自のカスタム パスワード ポリシーを作成して、マネージド ドメインの既定のポリシーを上書きすることができます。You can create your own custom password policies to override the default policy in a managed domain. これらのカスタム ポリシーは、必要に応じて特定のユーザー グループに適用できます。These custom policies can then be applied to specific groups of users as needed.

ユーザーの作成元で異なるパスワード ポリシーの適用方法の詳細については、「マネージド ドメインに関するパスワードとアカウントのロックアウト ポリシー」を参照してください。For more information on the differences in how password policies are applied depending on the source of user creation, see Password and account lockout policies on managed domains.

パスワード ハッシュPassword hashes

Azure AD DS でマネージド ドメインのユーザーを認証するためには、NT LAN Manager (NTLM) 認証および Kerberos 認証に適した形式のパスワード ハッシュが必要となります。To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. NTLM 認証と Kerberos 認証に必要な形式のパスワード ハッシュは、ご利用のテナントに対して Azure AD DS を有効にするまで、Azure AD で生成または保存されることはありません。Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Azure AD に保存されることもありません。For security reasons, Azure AD also doesn't store any password credentials in clear-text form. そのため、こうした NTLM または Kerberos のパスワード ハッシュをユーザーの既存の資格情報に基づいて Azure AD が自動的に生成することはできません。Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

クラウド専用ユーザー アカウントの場合、ユーザーはマネージド ドメインを使用する前に各自のパスワードを変更する必要があります。For cloud-only user accounts, users must change their passwords before they can use the managed domain. このパスワード変更プロセスによって、Kerberos 認証と NTLM 認証に使用されるパスワード ハッシュが Azure AD に生成されて保存されます。This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. パスワードが変更されるまで、アカウントは Azure AD から Azure AD DS に同期されません。The account isn't synchronized from Azure AD to Azure AD DS until the password is changed.

Azure AD Connect を使用してオンプレミスの AD DS 環境から同期されたユーザーについては、パスワード ハッシュの同期を有効にしますFor users synchronized from an on-premises AD DS environment using Azure AD Connect, enable synchronization of password hashes.

重要

Azure AD Connect によってレガシ パスワード ハッシュが同期されるのは、Azure AD DS を Azure AD テナントに対して有効にしたときだけです。Azure AD Connect only synchronizes legacy password hashes when you enable Azure AD DS for your Azure AD tenant. Azure AD Connect を使用してオンプレミス AD DS 環境と Azure AD の同期しか行わない場合、レガシ パスワード ハッシュは使用されません。Legacy password hashes aren't used if you only use Azure AD Connect to synchronize an on-premises AD DS environment with Azure AD.

レガシ アプリケーションが NTLM 認証または LDAP simple bind を使用していない場合は、Azure AD DS の NTLM パスワード ハッシュ同期を無効にすることをお勧めします。If your legacy applications don't use NTLM authentication or LDAP simple binds, we recommend that you disable NTLM password hash synchronization for Azure AD DS. 詳しくは、「弱い暗号スイートと NTLM 資格情報ハッシュの同期を無効にする」をご覧ください。For more information, see Disable weak cipher suites and NTLM credential hash synchronization.

適切に構成されれば、使用可能なパスワード ハッシュがマネージド ドメインに保存されます。Once appropriately configured, the usable password hashes are stored in the managed domain. マネージド ドメインを削除した場合、その時点で保存されていたパスワード ハッシュがあればすべて削除されます。If you delete the managed domain, any password hashes stored at that point are also deleted. 別のマネージド ドメインを後から作成した場合、Azure AD にある同期済みの資格情報は再利用できません。パスワード ハッシュを再度保存するには、パスワード ハッシュ同期を再構成する必要があります。Synchronized credential information in Azure AD can't be reused if you later create another managed domain - you must reconfigure the password hash synchronization to store the password hashes again. 既にドメイン参加済みの VM またはユーザーがすぐに認証を行うことはできません。Azure AD が、新しいマネージド ドメインにパスワード ハッシュを生成して保存する必要があります。Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new managed domain. 詳細については、Azure AD DS と Azure AD Connect のパスワード ハッシュ同期プロセスに関するセクションを参照してください。For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

重要

Azure AD Connect は、オンプレミスの AD DS 環境との同期のためにのみインストールおよび構成する必要があります。Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. マネージド ドメインに Azure AD Connect をインストールして元の Azure AD にオブジェクトを同期することはサポートされていません。It's not supported to install Azure AD Connect in a managed domain to synchronize objects back to Azure AD.

フォレストと信頼Forests and trusts

"フォレスト" は、Active Directory Domain Services (AD DS) で 1 つまたは複数の "ドメイン" をグループ化するために使われる論理構造です。A forest is a logical construct used by Active Directory Domain Services (AD DS) to group one or more domains. ドメインには、ユーザーまたはグループのオブジェクトが格納され、認証サービスが提供されます。The domains then store objects for user or groups, and provide authentication services.

Azure AD DS では、フォレストにはドメインが 1 つだけ含まれます。In Azure AD DS, the forest only contains one domain. 多くの場合、オンプレミスの AD DS フォレストには多数のドメインが含まれます。On-premises AD DS forests often contain many domains. 大規模な組織では、特に合併や買収の後に、複数のオンプレミス フォレストが存在し、各フォレストにそれぞれ複数のドメインが含まれている場合があります。In large organizations, especially after mergers and acquisitions, you may end up with multiple on-premises forests that each then contain multiple domains.

既定では、マネージド ドメインは "ユーザー" フォレストとして作成されます。By default, a managed domain is created as a user forest. このタイプのフォレストでは、オンプレミスの AD DS 環境で作成されたユーザー アカウントも含め、Azure AD 内のすべてのオブジェクトが同期されます。This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment. ドメインに参加している VM へのサインインなどのために、マネージド ドメインに対してユーザー アカウントを直接認証できます。User accounts can directly authenticate against the managed domain, such as to sign in to a domain-joined VM. ユーザー フォレストが機能するのは、パスワード ハッシュの同期が可能で、ユーザーがスマート カード認証などの専用サインイン方法を使用していない場合です。A user forest works when the password hashes can be synchronized and users aren't using exclusive sign-in methods like smart card authentication.

Azure AD DS の "リソース" フォレストでは、ユーザーは自身のオンプレミス AD DS からの、一方向のフォレストの "信頼" を介して認証されます。In an Azure AD DS resource forest, users authenticate over a one-way forest trust from their on-premises AD DS. この方法では、ユーザー オブジェクトとパスワード ハッシュが Azure AD DS に同期されません。With this approach, the user objects and password hashes aren't synchronized to Azure AD DS. ユーザー オブジェクトと資格情報は、オンプレミスの AD DS にのみ存在します。The user objects and credentials only exist in the on-premises AD DS. このアプローチを使用すると、企業は、LDAPS、Kerberos、NTLM などの従来の認証に依存するリソースとアプリケーション プラットフォームを Azure でホストでき、一方で認証に関する問題や懸念事項が取り除かれます。This approach lets enterprises host resources and application platforms in Azure that depend on classic authentication such LDAPS, Kerberos, or NTLM, but any authentication issues or concerns are removed.

Azure AD DS 内のフォレストの種類の詳細については、リソース フォレストとは何かおよびフォレストの信頼が Azure AD DS で機能する方法に関するページを参照してください。For more information about forest types in Azure AD DS, see What are resource forests? and How do forest trusts work in Azure AD DS?

Azure AD DS SKUAzure AD DS SKUs

Azure AD DS では、使用可能なパフォーマンスと機能は SKU に基づいています。In Azure AD DS, the available performance and features are based on the SKU. マネージド ドメインを作成するときに SKU を選択する必要があり、マネージド ドメインのデプロイ後にビジネス要件が変更されたときに SKU を切り替えることができます。You select a SKU when you create the managed domain, and you can switch SKUs as your business requirements change after the managed domain has been deployed. 次の表に、使用可能な SKU とそれらの違いを示します。The following table outlines the available SKUs and the differences between them:

SKU 名SKU name オブジェクトの最大数Maximum object count バックアップ頻度Backup frequency 送信フォレストの信頼の最大数Maximum number of outbound forest trusts
StandardStandard 無制限Unlimited 5 日ごとEvery 5 days 00
EnterpriseEnterprise 無制限Unlimited 3 日ごとEvery 3 days 55
PremiumPremium 無制限Unlimited 毎日Daily 1010

これらの Azure AD DS SKU の前は、マネージド ドメイン内のオブジェクト (ユーザー アカウントとコンピューター アカウント) の数に基づく課金モデルが使用されていました。Before these Azure AD DS SKUs, a billing model based on the number of objects (user and computer accounts) in the managed domain was used. ドメイン ドメイン内のオブジェクトの数に基づいて変化する価格設定はもう存在しません。There is no longer variable pricing based on the number of objects in the managed domain.

詳細については、「Azure AD DS の価格」ページをご覧ください。For more information, see the Azure AD DS pricing page.

マネージド ドメインのパフォーマンスManaged domain performance

ドメインのパフォーマンスは、アプリケーションに対する認証の実装方法によって異なります。Domain performance varies based on how authentication is implemented for an application. 追加のコンピューティング リソースにより、クエリの応答時間が短縮され、同期操作にかかる時間が短縮される場合があります。Additional compute resources may help improve query response time and reduce time spent in sync operations. SKU レベルが増加すると、マネージド ドメインで使用できるコンピューティング リソースが増加します。As the SKU level increases, the compute resources available to the managed domain is increased. アプリケーションのパフォーマンスを監視し、必要なリソースを計画してください。Monitor the performance of your applications and plan for the required resources.

ビジネスまたはアプリケーションの需要が変化し、マネージド ドメイン用の追加のコンピューティング パワーが必要な場合は、別の SKU に切り替えることができます。If your business or application demands change and you need additional compute power for your managed domain, you can switch to a different SKU.

バックアップ頻度Backup frequency

バックアップの頻度によって、マネージド ドメインのスナップショットが取得される頻度が決まります。The backup frequency determines how often a snapshot of the managed domain is taken. バックアップは、Azure プラットフォームによって管理される自動化されたプロセスです。Backups are an automated process managed by the Azure platform. マネージド ドメインに問題が発生した場合は、Azure サポートによるバックアップからの復元の支援を受けることができます。In the event of an issue with your managed domain, Azure support can assist you in restoring from backup. 同期は Azure AD "から" 一方向で行われるため、マネージド ドメインで問題が発生しても Azure AD およびオンプレミスの AD DS 環境や機能には影響しません。As synchronization only occurs one way from Azure AD, any issues in a managed domain won't impact Azure AD or on-premises AD DS environments and functionality.

SKU レベルが増加するにつれて、それらのバックアップ スナップショットの頻度が増加します。As the SKU level increases, the frequency of those backup snapshots increases. ビジネス要件と目標復旧時点 (RPO) を確認して、マネージド ドメインで必要なバックアップの頻度を決定します。Review your business requirements and recovery point objective (RPO) to determine the required backup frequency for your managed domain. ビジネス要件やアプリケーション要件が変更され、頻繁にバックアップが必要になった場合は、別の SKU に切り替えることができます。If your business or application requirements change and you need more frequent backups, you can switch to a different SKU.

送信フォレストの信頼Outbound forest trusts

前のセクションでは、マネージド ドメインからオンプレミスの AD DS 環境 への一方向の送信フォレストの信頼について詳しく説明しました。The previous section detailed one-way outbound forest trusts from a managed domain to an on-premises AD DS environment. マネージド ドメインのために作成できるフォレストの信頼の最大数は、SKU によって決まります。The SKU determines the maximum number of forest trusts you can create for a managed domain. ビジネスとアプリケーションの要件を確認して、実際に必要な信頼の数を決定し、適切な Azure AD DS SKU を選択します。Review your business and application requirements to determine how many trusts you actually need, and pick the appropriate Azure AD DS SKU. ここでも、ビジネス要件が変更され、追加のフォレストの信頼を作成する必要がある場合は、別の SKU に切り替えることができます。Again, if your business requirements change and you need to create additional forest trusts, you can switch to a different SKU.

次のステップNext steps

まず初めに、Azure AD DS マネージド ドメインを作成しましょうTo get started, create an Azure AD DS managed domain.