Microsoft Entra Domain Services に関してよくあるご質問 (FAQ)

不正解です。 Microsoft Entra Domain Services によって保守されるマネージド ドメインは、1 つの Microsoft Entra ディレクトリに対して 1 つだけ作成できます。

従来の仮想ネットワークはサポートされていません。

詳細については、公式の非推奨に関する通知を参照してください。

はい。 Microsoft Entra Domain Services は、Azure Resource Manager 仮想ネットワークで有効にできます。 マネージド ドメインを作成するときに、クラシック Azure 仮想ネットワークは使用できなくなりました。

はい。 詳しくは、Azure CSP サブスクリプションで Microsoft Entra Domain Services を有効にする方法に関する記事をご覧ください。

不正解です。 NTLM または Kerberos を使ってユーザーの認証を行うには、Microsoft Entra Domain Services でユーザー アカウントのパスワード ハッシュにアクセスする必要があります。 フェデレーション ディレクトリでは、パスワード ハッシュは Microsoft Entra ディレクトリに格納されません。 したがって、Microsoft Entra Domain Services は、このような Microsoft Entra ディレクトリでは機能しません。

ただし、パスワード ハッシュ同期に Microsoft Entra Connect を使っている場合は、パスワード ハッシュ値が Microsoft Entra ID に保存されるため、Azure AD Domain Services を使用できます。

サービス自体は、このシナリオを直接サポートしていません。 マネージド ドメインは一度に 1 つの仮想ネットワークでのみ利用できます。 ただし、複数の仮想ネットワーク間で接続を構成して、Microsoft Entra Domain Services を他の仮想ネットワークに公開することはできます。 詳細については、VPN ゲートウェイを使用して Azure の仮想ネットワークを接続する方法または仮想ネットワーク ピアリングに関する記事を参照してください。

はい。 詳しくは、PowerShell を使って Microsoft Entra Domain Services を有効にする方法に関する記事をご覧ください。

はい。Resource Manager テンプレートを使って Microsoft Entra Domain Services マネージド ドメインを作成できます。 テンプレートを配置する前に、Microsoft Entra 管理センターまたは PowerShell を使って、管理用のサービス プリンシパルと Microsoft Entra グループを作成する必要があります。 Microsoft Entra 管理センターで Microsoft Entra Domain Services マネージド ドメインを作成するときは、他のデプロイで使うためにテンプレートをエクスポートするオプションもあります。 詳しくは、Azure Resource Manager テンプレートを使用した Domain Services マネージド ドメインの作成に関する記事をご覧ください。

不正解です。 Microsoft Entra Domain Services によって提供されるドメインは、マネージド ドメインです。 このドメインに対してドメイン コントローラーをプロビジョニング、構成、管理する必要はありません。 これらの管理アクティビティは、Microsoft からサービスとして提供されています。 そのため、マネージド ドメインにドメイン コントローラー (読み取り/書き込みまたは読み取り専用) をさらに追加することはできません。

不正解です。 Microsoft Entra B2B 招待プロセスを使ってご自分の Microsoft Entra ディレクトリに招待したゲスト ユーザーは、ご自分の Microsoft Entra Domain Services マネージド ドメインに同期されます。 ただし、これらのユーザーのパスワードがご自分の Microsoft Entra ディレクトリに格納されることはありません。 そのため、Microsoft Entra Domain Services では、これらのユーザーの NTLM と Kerberos のハッシュをご自分のマネージド ドメインに同期することはできません。 このようなユーザーは、サインインすることも、マネージド ドメインにコンピューターを参加させることもできません。

はい。双方向の信頼を作成できます。 また、一方向の送信信頼または一方向の受信信頼を作成して、ユーザーの認証とアクセスのさまざまなシナリオをサポートすることもできます。 詳細については、「フォレスト信頼の作成」を参照してください。

現在、Domain Services でサポートされているのはフォレストの信頼のみであり、外部ドメインの信頼はサポートされていません。

Domain Services マネージド ドメインを作成した後、それを別のサブスクリプション、リソース グループ、またはリージョンに移動することはできません。 回避策として、PowerShell または Microsoft Entra 管理センターを使用してマネージド ドメインを削除し、必要な設定で再作成することができます。 マネージド ドメインの再作成中は、復元操作を実行できません。

不正解です。 Microsoft Entra Domain Services のマネージド ドメインを作成した後で、DNS ドメイン名を変更することはできません。 マネージド ドメインを作成するときは、DNS ドメイン名を慎重に選択してください。 DNS ドメイン名を選ぶときの考慮事項については、Microsoft Entra Domain Services のマネージド ドメインの作成と構成に関するチュートリアルの記事をご覧ください。

はい。 Microsoft Entra Domain Services の各マネージド ドメインには、2 つのドメイン コントローラーが含まれています。 これらのドメイン コントローラーについては、お客様が管理または接続することはありません。これらはマネージド サービスの一部です。 Availability Zones をサポートするリージョンに Microsoft Entra Domain Services をデプロイすると、ドメイン コントローラーはゾーン間に分散されます。 Availability Zones をサポートしていないリージョンの場合、ドメイン コントローラーは可用性セット間に分散されます。 この分散に対する構成オプションや管理制御はありません。 詳細については、「Azure の仮想マシンの可用性オプション」を参照してください。

いいえ。 リモート デスクトップを使用してマネージド ドメインのドメイン コントローラーに接続する権限はありません。 "Microsoft Entra DC 管理者" グループのメンバーは、Active Directory 管理センター (ADAC) や AD PowerShell などの AD 管理ツールを使って、マネージド ドメインを管理できます。 これらのツールは、"リモート サーバー管理ツール" 機能を使用して、マネージド ドメインに参加している Windows サーバーにインストールされます。 詳しくは、「Microsoft Entra Domain Services のマネージド ドメインを構成および管理するための管理 VM を作成する」をご覧ください。

マネージド ドメインの一部であるすべてのユーザー アカウントを VM に参加させることができます。 "Microsoft Entra DC 管理者" グループのメンバーは、マネージド ドメインに参加しているマシンへのリモート デスクトップ アクセスを許可されています。

Domain Services にドメイン参加済みのマシン用のクォータがありません。

非常に正確な時刻の実現のために、Azure 上で実行される VM は Azure ホストと同期されます。 オンプレミスで実行される Azure 以外の VM では、ドメインに参加している VM と同様に、外部 NTP タイム ソースと同期するように Windows タイム サービスを構成する必要があります。 詳細については、「Azure で Active Directory Windows Virtual Machines の時間メカニズムを構成する」を参照してください。

いいえ。 マネージド ドメインの管理特権は付与されません。 "ドメイン管理者" 特権と "エンタープライズ管理者" 特権は、ドメイン内では使用できません。 また、オンプレミスの Active Directory 内のドメイン管理者グループまたはエンタープライズ管理者グループのメンバーにも、マネージド ドメインのドメイン/エンタープライズ管理者特権は付与されません。

Microsoft Entra ID から Microsoft Entra Domain Services に同期されるユーザーとグループは、元のソースが Microsoft Entra ID であるため変更できません。 これには、AADDC Users マネージド組織単位からカスタム組織単位へのユーザーまたはグループの移動が含まれます。 マネージド ドメインがソースのユーザーまたはグループは変更できます。

いいえ。 マネージド ドメインでは使用できない DHCP サーバーを承認するためにドメイン管理者メンバーシップが必要です。

Microsoft Entra UI または PowerShell を使って Microsoft Entra ディレクトリで行った変更は、マネージド ドメインに自動的に同期されます。 この同期プロセスはバック グラウンドで実行されます。 この同期ですべてのオブジェクトの変更を完了するための期間は定義されていません。

不正解です。 スキーマは、Microsoft がマネージド ドメインを管理することで管理されます。 Microsoft Entra Domain Services では、スキーマの拡張はサポートされていません。

はい。 "Microsoft Entra DC 管理者" グループのメンバーには、マネージド ドメインの DNS レコードを変更するための "DNS 管理者" 特権が付与されています。 これらのユーザーは、マネージド ドメインに参加している Windows Server を実行しているマシン上で DNS マネージャー コンソールを使用して、DNS を管理できます。 DNS マネージャー コンソールを使用するには、"リモート サーバー管理ツール" オプション機能の一部である "DNS サーバー ツール" をサーバーにインストールします。 詳しくは、Microsoft Entra Domain Services のマネージド ドメインでの DNS の管理に関する記事をご覧ください。

Microsoft Entra Domain Services のマネージド ドメインでのパスワードの既定の有効期間は 90 日です。 このパスワード有効期間は、Microsoft Entra ID で構成されているパスワード有効期間と同期されません。 そのため、ユーザーのパスワードが、マネージド ドメインでは期限が切れても、Microsoft Entra ID ではまだ有効である場合があります。 このような場合、ユーザーは Microsoft Entra ID のパスワードを変更する必要があり、新しいパスワードはマネージド ドメインに同期されます。 マネージド ドメインでパスワードの既定の有効期間を変更する場合は、カスタム パスワード ポリシーを作成して構成することができます。

さらに、DisablePasswordExpiration の Microsoft Entra パスワード ポリシーはマネージド ドメインに同期されます。 DisablePasswordExpiration が Microsoft Entra ID のユーザーに適用されると、マネージド ドメインの同期されたユーザーの UserAccountControl の値に DONT_EXPIRE_PASSWORD が適用されます。

ユーザーが Microsoft Entra でパスワードをリセットすると、forceChangePasswordNextSignIn=True 属性が適用されます。 マネージド ドメインは、この属性を Microsoft Entra ID から同期します。 マネージド ドメインで、Microsoft Entra ID から同期されたユーザーに forceChangePasswordNextSignIn が設定されていることが検出されると、マネージド ドメインの pwdLastSet 属性は 0 に設定され、これによって、現在設定されているパスワードが無効になります。

はい。 管理対象ドメインに、2 分以内に無効なパスワードの試行が5回行われると、ユーザーのアカウントは、30 分ロックアウトされます。 30 分後、ユーザー アカウントは、自動的にロック解除されます。 マネージド ドメインで無効なパスワードが試されても、Microsoft Entra ID のユーザー アカウントはロックアウトされません。 ユーザー アカウントは、Microsoft Entra Domain Services のマネージド ドメイン内でのみロックアウトされます。 詳細については、「マネージド ドメインに関するパスワードとアカウントのロックアウト ポリシー」を参照してください。

不正解です。 Microsoft Entra Domain Services を使用する場合、分散ファイル システム (DFS) とレプリケーションは使用できません。

マネージド ドメインのドメイン コントローラーにより、必須の Windows 更新プログラムが自動的に適用されます。 ユーザー側では何も構成したり、管理したりする必要がありません。 Windows 更新プログラムへの送信トラフィックをブロックするネットワーク セキュリティ グループ規則を作成しないようにしてください。 独自の VM がマネージド ドメインに参加している場合、OS やアプリケーションに必須の更新プログラムがある場合、それを構成したり、適用したりするのはユーザー側の責任となります。

パッチは、利用可能になるとすぐにインストールされます (毎月の第 2 火曜日)。 これらは、火曜日から、利用可能になる週に段階的にインストールされます。

ドメイン コントローラーのメンテナンス中に、名前が変更される可能性があります。 この種類の変更に関する問題を回避するには、アプリケーションや他のドメイン リソースでハードコーディングされたドメイン コントローラーの名前を使用せず、ドメインの FQDN を使用することをお勧めします。 これにより、ドメイン コントローラーの名前が何であっても、名前の変更後に何も再構成する必要はありません。

マネージド ドメイン内の KRBTGT アカウントのパスワードは、7 日ごとにロールオーバーされます。

はい。 詳細については、 価格に関するページを参照してください。

Microsoft Entra Domain Services は Azure の無料試用版に含まれています。 1 か月間の無料試用版にサインアップできます。

不正解です。 Microsoft Entra Domain Services のマネージド ドメインを有効にすると、マネージド ドメインを削除するまで、選択した仮想ネットワーク内でサービスを利用できます。 サービスを一時停止する方法はありません。 課金は、マネージド ドメインを削除するまで、1 時間ごとに続行されます。

はい。マネージド ドメインの地理的な回復性を実現するため、Domain Services をサポートする任意の Azure リージョン内のピアリングされた仮想ネットワークに対して、別のレプリカ セットを作成できます。 レプリカ セットとマネージド ドメインとで、同じ名前空間および構成が共有されます。

不正解です。 Microsoft Entra Domain Services は従量課金制の Azure サービスであり、EMS の一部ではありません。 Microsoft Entra Domain Services は、Microsoft Entra ID のすべてのエディション (Free および Premium) で使用できます。 使用量に応じて、時間単位で課金されます。

不正解です。 Microsoft Entra Domain Services の設計は単一ドメインの単一フォレストであり、子ドメインを作成することはできません。

Microsoft Entra Domain Services を利用できる Azure リージョンの一覧については、リージョン別の Azure サービスに関するページをご覧ください。

トラブルシューティング

Azure ADドメイン サービスを 構成するか、または管理する際に生じる、一般的な問題の解決策については、｢トラブルシューティングガイド｣を参照してください。

次のステップ

Microsoft Entra Domain Services の詳細については、「Microsoft Entra Domain Services とは」を参照してください。

作業を開始するには、「Microsoft Entra Domain Services のマネージド ドメインを作成して構成する」を参照してください。