Azure Active Directory Domain Services のマネージド ドメインのグループ ポリシーを管理するAdminister Group Policy in an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) のユーザー オブジェクトとコンピューター オブジェクトの設定は、多くの場合、グループ ポリシー オブジェクト (GPO) を使用して管理されます。Settings for user and computer objects in Azure Active Directory Domain Services (Azure AD DS) are often managed using Group Policy Objects (GPOs). Azure AD DS には、AADDC Users コンテナーと AADDC Computers コンテナー用の組み込みの GPO が用意されています。Azure AD DS includes built-in GPOs for the AADDC Users and AADDC Computers containers. これらの組み込みの GPO をカスタマイズして、環境のニーズに合わせてグループ ポリシーを構成できます。You can customize these built-in GPOs to configure Group Policy as needed for your environment. Azure AD DC 管理者グループのメンバーは、Azure AD DS ドメイン内でグループ ポリシー管理特権を持っています。また、カスタムの GPO と組織単位 (OU) を作成することもできます。Members of the Azure AD DC administrators group have Group Policy administration privileges in the Azure AD DS domain, and can also create custom GPOs and organizational units (OUs). グループ ポリシーとそのしくみの詳細については、「グループ ポリシーの概要」を参照してください。More more information on what Group Policy is and how it works, see Group Policy overview.

ハイブリッド環境では、オンプレミスの AD DS 環境内で構成されているグループ ポリシーは、Azure AD DS に同期されません。In a hybrid environment, group policies configured in an on-premises AD DS environment aren't synchronized to Azure AD DS. Azure AD DS のユーザーまたはコンピューターの構成設定を定義するには、既定のいずれかの Gpo を編集するか、カスタム GPO を作成します。To define configuration settings for users or computers in Azure AD DS, edit one of the default GPOs or create a custom GPO.

この記事では、グループ ポリシーの管理ツールをインストールし、組み込みの GPO を編集して、カスタム GPO を作成する方法について説明します。This article shows you how to install the Group Policy Management tools, then edit the built-in GPOs and create custom GPOs.

開始する前にBefore you begin

この記事を完了するには、以下のリソースと特権が必要です。To complete this article, you need the following resources and privileges:

注意

グループ ポリシー管理用テンプレートを使用するには、新しいテンプレートを管理ワークステーションにコピーします。You can use Group Policy Administrative Templates by copying the new templates to the management workstation. .admx ファイルを %SYSTEMROOT%\PolicyDefinitions にコピーし、ロケール固有の .adml ファイルを %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion] にコピーします。この Language-CountryRegion.adml の言語とリージョンに一致します。Copy the .admx files into %SYSTEMROOT%\PolicyDefinitions and copy the locale-specific .adml files to %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion], where Language-CountryRegion matches the language and region of the .adml files.

たとえば、英国、米国バージョンの .adml ファイルを \en-us フォルダーにコピーします。For example, copy the English, United States version of the .adml files into the \en-us folder.

また、マネージド ドメインの一部であるドメイン コントローラーに、グループ ポリシー管理用テンプレートを一元的に格納することもできます。Alternatively, you can centrally store your Group Policy Administrative Template on the domain controllers that are part of the managed domain. 詳細については、「Windows でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法」を参照してください。For more information, see How to create and manage the Central Store for Group Policy Administrative Templates in Windows.

グループ ポリシーの管理ツールをインストールするInstall Group Policy Management tools

グループ ポリシー オブジェクト (GPO) を作成して構成するには、グループ ポリシーの管理ツールをインストールする必要があります。To create and configure Group Policy Object (GPOs), you need to install the Group Policy Management tools. これらのツールは、Windows Server の機能としてインストールできます。These tools can be installed as a feature in Windows Server. Windows クライアントに管理ツールをインストールする方法の詳細については、リモート サーバー管理ツール (RSAT) のインストールに関するページを参照してください。For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT).

  1. 管理 VM にサインインします。Sign in to your management VM. Azure portal を使用した接続方法については、「Windows Server VM に接続する」を参照してください。For steps on how to connect using the Azure portal, see Connect to a Windows Server VM.

  2. VM にサインインすると、既定でサーバー マネージャーが表示されるはずです。Server Manager should open by default when you sign in to the VM. そうならない場合は、 [スタート] メニューの [サーバー マネージャー] を選択します。If not, on the Start menu, select Server Manager.

  3. [サーバー マネージャー] ウィンドウの [ダッシュボード] ウィンドウで [役割と機能の追加] を選択します。In the Dashboard pane of the Server Manager window, select Add Roles and Features.

  4. [役割と機能の追加] ウィザードの [開始する前に] ページで [次へ] を選択します。On the Before You Begin page of the Add Roles and Features Wizard, select Next.

  5. [インストールの種類] で、 [役割ベースまたは機能ベースのインストール] オプションが選択された状態にして [次へ] を選択します。For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

  6. [サーバーの選択] ページで、サーバー プールから現在の VM (例: myvm.aaddscontoso.com) を選択し、 [次へ] を選択します。On the Server Selection page, choose the current VM from the server pool, such as myvm.aaddscontoso.com, then select Next.

  7. [サーバーの役割] ページで、 [次へ] をクリックします。On the Server Roles page, click Next.

  8. [機能] ページで、 [グループ ポリシー管理] 機能を選択します。On the Features page, select the Group Policy Management feature.

    [機能] ページから "グループ ポリシーの管理" をインストールする

  9. [確認] ページで [インストール] を選択します。On the Confirmation page, select Install. グループ ポリシーの管理ツールのインストールには、1、2 分かかることがあります。It may take a minute or two to install the Group Policy Management tools.

  10. 機能のインストールが完了したら、 [閉じる] を選択して [役割と機能の追加] ウィザードを終了します。When feature installation is complete, select Close to exit the Add Roles and Features wizard.

グループ ポリシー管理コンソールを開いてオブジェクトを編集するOpen the Group Policy Management Console and edit an object

既定のグループ ポリシー オブジェクト (GPO) は、マネージド ドメイン内のユーザーおよびコンピューター用に存在します。Default group policy objects (GPOs) exist for users and computers in a managed domain. 前のセクションでインストールしたグループ ポリシーの管理機能を使用して、既存の GPO を表示および編集します。With the Group Policy Management feature installed from the previous section, let's view and edit an existing GPO. 次のセクションでは、カスタム GPO を作成します。In the next section, you create a custom GPO.

注意

マネージド ドメインでグループ ポリシーを管理するには、AAD DC 管理者グループのメンバーであるユーザー アカウントにサインインする必要があります。To administer group policy in a managed domain, you must be signed in to a user account that's a member of the AAD DC Administrators group.

  1. スタート画面で [管理ツール] を選択します。From the Start screen, select Administrative Tools. 使用できる管理ツールの一覧が表示されます。これには、前のセクションでインストールしたグループ ポリシーの管理が含まれます。A list of available management tools is shown, including Group Policy Management installed in the previous section.

  2. グループ ポリシー管理コンソール (GPMC) を開くには、 [グループ ポリシーの管理] を選択します。To open the Group Policy Management Console (GPMC), choose Group Policy Management.

    グループ ポリシー管理コンソールが開き、グループ ポリシー オブジェクトを編集できる状態になります

マネージド ドメインには、AADDC Computers コンテナー用と AADDC Users コンテナー用の 2 つの組み込みのグループ ポリシー オブジェクト (GPO) があります。There are two built-in Group Policy Objects (GPOs) in a managed domain - one for the AADDC Computers container, and one for the AADDC Users container. これらの GPO をカスタマイズして、マネージド ドメイン内で必要に応じてグループ ポリシーを構成することができます。You can customize these GPOs to configure group policy as needed within your managed domain.

  1. グループ ポリシー管理コンソールで、 [フォレスト: aaddscontoso.com] ノードを展開します。In the Group Policy Management console, expand the Forest: aaddscontoso.com node. 次に、 [ドメイン] ノードを展開します。Next, expand the Domains nodes.

    AADDC ComputersAADDC Users には、2 つの組み込みのコンテナーがあります。Two built-in containers exist for AADDC Computers and AADDC Users. これらの各コンテナーには、既定の GPO が適用されています。Each of these containers has a default GPO applied to them.

    既定の "AADDC Computers" と "AADDC Users" コンテナーに適用される組み込みの GPO

  2. これらの組み込みの GPO は、マネージド ドメイン上で特定のグループ ポリシーを構成するようにカスタマイズできます。These built-in GPOs can be customized to configure specific group policies on your managed domain. AADDC Computers GPO など、いずれかの GPO を右クリックし、 [編集] を選択します。Right-select one of the GPOs, such as AADDC Computers GPO, then choose Edit....

    組み込みの GPO のいずれかを "編集" するオプションを選択する

  3. グループ ポリシー管理エディター ツールが開き、 [アカウント ポリシー] などの GPO をカスタマイズできるようになります。The Group Policy Management Editor tool opens to let you customize the GPO, such as Account Policies:

    グループ ポリシー管理エディターのスクリーンショット。

    完了したら、 [ファイル] > [保存] を選択してポリシーを保存します。When done, choose File > Save to save the policy. コンピューターの既定では、90 分ごとにグループ ポリシーが更新され、加えた変更が適用されます。Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

カスタム グループ ポリシー オブジェクトを作成するCreate a custom Group Policy Object

同様のポリシー設定をグループ化するには、多くの場合、必要なすべての設定を 1 つの既定の GPO で適用するのではなく、追加の GPO を作成します。To group similar policy settings, you often create additional GPOs instead of applying all of the required settings in the single, default GPO. Azure AD DS を使用すると、カスタム グループ ポリシー オブジェクトを作成またはインポートしてカスタム OU にリンクすることができます。With Azure AD DS, you can create or import your own custom group policy objects and link them to a custom OU. まずカスタム OU を作成する必要がある場合は、マネージド ドメインでのカスタム OU の作成に関する記事を参照してください。If you need to first create a custom OU, see create a custom OU in a managed domain.

  1. グループ ポリシー管理コンソールで、MyCustomOU などのカスタム組織単位 (OU) を選択します。In the Group Policy Management console, select your custom organizational unit (OU), such as MyCustomOU. OU を右クリックし、 [このドメインに GPO を作成し、このコンテナーにリンクする] を選択します。Right-select the OU and choose Create a GPO in this domain, and Link it here...:

    グループ ポリシー管理コンソールでカスタム GPO を作成する

  2. 新しい GPO の名前 (「My custom GPO」など) を指定し、 [OK] を選択します。Specify a name for the new GPO, such as My custom GPO, then select OK. 必要に応じて、既存の GPO と一連のポリシー オプションに基づいてこのカスタム GPO を作成することもできます。You can optionally base this custom GPO on an existing GPO and set of policy options.

    新しいカスタム GPO の名前を指定します

  3. カスタム GPO が作成され、カスタム OU にリンクされます。The custom GPO is created and linked to your custom OU. ポリシー設定を構成するには、カスタム GPO を右クリックし、 [編集] を選択します。To now configure the policy settings, right-select the custom GPO and choose Edit...:

    カスタム GPO を "編集" するオプションを選択する

  4. グループ ポリシー管理エディターが開き、GPO をカスタマイズできるようになります。The Group Policy Management Editor opens to let you customize the GPO:

    必要に応じて設定を構成する GPO をカスタマイズする

    完了したら、 [ファイル] > [保存] を選択してポリシーを保存します。When done, choose File > Save to save the policy. コンピューターの既定では、90 分ごとにグループ ポリシーが更新され、加えた変更が適用されます。Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

次のステップNext steps

グループ ポリシー管理コンソールを使用して構成できる使用可能なグループ ポリシー設定の詳細については、グループ ポリシーの基本設定項目の使用に関する記事を参照してください。For more information on the available Group Policy settings that you can configure using the Group Policy Management Console, see Work with Group Policy preference items.