Azure Active Directory Domain Services の仮想ネットワーク設計の考慮事項と構成オプションVirtual network design considerations and configuration options for Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) から他のアプリケーションおよびワークロードに認証および管理サービスが提供されます。Azure Active Directory Domain Services (Azure AD DS) provides authentication and management services to other applications and workloads. ネットワーク接続は重要なコンポーネントです。Network connectivity is a key component. 仮想ネットワークリソースが正しく構成されていないと、アプリケーションとワークロードは、Azure AD DS によって提供される機能と通信して使用することができません。Without correctly configured virtual network resources, applications and workloads can't communicate with and use the features provided by Azure AD DS. 仮想ネットワークの要件を計画し、Azure AD DS が必要に応じてアプリケーションとワークロードにサービスを提供できることを確認します。Plan your virtual network requirements to make sure that Azure AD DS can serve your applications and workloads as needed.

この記事では、Azure AD DS をサポートするための Azure 仮想ネットワークの設計の考慮事項と要件について説明します。This article outlines design considerations and requirements for an Azure virtual network to support Azure AD DS.

Azure 仮想ネットワークの設計Azure virtual network design

ネットワーク接続を提供し、アプリケーションとサービスが Azure AD DS マネージド ドメインに対して認証できるようにするには、Azure 仮想ネットワークとサブネットを使用します。To provide network connectivity and allow applications and services to authenticate against an Azure AD DS managed domain, you use an Azure virtual network and subnet. マネージド ドメインを独自の仮想ネットワークにデプロイするのが理想的です。Ideally, the managed domain should be deployed into its own virtual network.

同じ仮想ネットワーク内に別のアプリケーション サブネットを追加して、管理 VM または軽量なアプリケーション ワークロードをホストすることができます。You can include a separate application subnet in the same virtual network to host your management VM or light application workloads. Azure AD DS 仮想ネットワークとピアリングされた大規模または複雑なアプリケーション ワークロードの場合は、通常、別の仮想ネットワークが最適な設計です。A separate virtual network for larger or complex application workloads, peered to the Azure AD DS virtual network, is usually the most appropriate design.

以下のセクションに記載されている仮想ネットワークとサブネットの要件を満たしている場合は、その他の設計の選択肢が有効です。Other designs choices are valid, provided you meet the requirements outlined in the following sections for the virtual network and subnet.

Azure AD DS の仮想ネットワークを設計する際には、次の考慮事項が適用されます。As you design the virtual network for Azure AD DS, the following considerations apply:

  • Azure AD DS は、仮想ネットワークと同じ Azure リージョンにデプロイする必要があります。Azure AD DS must be deployed into the same Azure region as your virtual network.
    • 現時点では、Azure AD テナントごとにデプロイできるマネージド ドメインは 1 つのみです。At this time, you can only deploy one managed domain per Azure AD tenant. マネージド ドメインは、1 つのリージョンにデプロイされます。The managed domain is deployed to single region. 仮想ネットワークは、必ず Azure AD DS をサポートするリージョンで作成または選択します。Make sure that you create or select a virtual network in a region that supports Azure AD DS.
  • 他の Azure リージョンとアプリケーション ワークロードをホストする仮想ネットワークの距離を考慮します。Consider the proximity of other Azure regions and the virtual networks that host your application workloads.
    • 待機時間を最小限に抑えるには、マネージド ドメインの仮想ネットワーク サブネットの近く、または同じリージョンにコア アプリケーションを保持します。To minimize latency, keep your core applications close to, or in the same region as, the virtual network subnet for your managed domain. Azure 仮想ネットワーク間には、仮想ネットワーク ピアリングまたは仮想プライベート ネットワーク (VPN) 接続を使用できます。You can use virtual network peering or virtual private network (VPN) connections between Azure virtual networks. 以下のセクションでは、これらの接続オプションについて説明します。These connection options are discussed in a following section.
  • 仮想ネットワークは、マネージド ドメインが提供するサービス以外の DNS サービスに依存することはできません。The virtual network can't rely on DNS services other than those services provided by the managed domain.
    • Azure AD DS は独自の DNS サービスを提供しています。Azure AD DS provides its own DNS service. これらの DNS サービス アドレスを使用するように仮想ネットワークを構成する必要があります。The virtual network must be configured to use these DNS service addresses. 追加の名前空間の名前解決は、条件付きフォワーダーを使用して実現できます。Name resolution for additional namespaces can be accomplished using conditional forwarders.
    • カスタム DNS サーバーの設定を使用して、VM などの他の DNS サーバーからのクエリを送信することはできません。You can't use custom DNS server settings to direct queries from other DNS servers, including on VMs. 仮想ネットワーク内のリソースでは、マネージド ドメインから提供される DNS サービスを使用する必要があります。Resources in the virtual network must use the DNS service provided by the managed domain.

重要

サービスを有効にした後、Azure AD DS を別の仮想ネットワークに移行することはできません。You can't move Azure AD DS to a different virtual network after you've enabled the service.

マネージド ドメインは、Azure 仮想ネットワーク内のサブネットに接続します。A managed domain connects to a subnet in an Azure virtual network. 次の点を考慮して、Azure AD DS 用にこのサブネットを設計します。Design this subnet for Azure AD DS with the following considerations:

  • マネージド ドメインは、独自のサブネットにデプロイする必要があります。A managed domain must be deployed in its own subnet. 既存のサブネットまたはゲートウェイ サブネットは使用しないでください。Don't use an existing subnet or a gateway subnet.
  • マネージド ドメインのデプロイ時に、ネットワーク セキュリティ グループが作成されます。A network security group is created during the deployment of a managed domain. このネットワーク セキュリティ グループには、サービス通信を正しく行うために必要な規則が含まれています。This network security group contains the required rules for correct service communication.
    • 独自のカスタム規則を持つ既存のネットワーク セキュリティ グループを作成または使用しないでください。Don't create or use an existing network security group with your own custom rules.
  • マネージド ドメインには、3 ~ 5 個の IP アドレスが必要です。A managed domain requires 3-5 IP addresses. サブネットの IP アドレス範囲でこの数のアドレスを提供できることを確認してください。Make sure that your subnet IP address range can provide this number of addresses.
    • 使用可能な IP アドレスを制限すると、マネージド ドメインで 2 つのドメイン コントローラーを維持できなくなる可能性があります。Restricting the available IP addresses can prevent the managed domain from maintaining two domain controllers.

次の図の例は、マネージド ドメインに独自のサブネットがあり、外部接続用にゲートウェイ サブネットがあり、アプリケーション ワークロードが仮想ネットワーク内の接続されたサブネットにある有効な設計を示しています。The following example diagram outlines a valid design where the managed domain has its own subnet, there's a gateway subnet for external connectivity, and application workloads are in a connected subnet within the virtual network:

Recommended subnet design

Azure AD DS 仮想ネットワークへの接続Connections to the Azure AD DS virtual network

前のセクションで説明したように、マネージド ドメインは、Azure の 1 つの仮想ネットワークにのみ作成できます。また、Azure AD テナントごとに作成できるマネージド ドメインは 1 つのみです。As noted in the previous section, you can only create a managed domain in a single virtual network in Azure, and only one managed domain can be created per Azure AD tenant. このアーキテクチャに基づいて、アプリケーション ワークロードをホストする 1 つ以上の仮想ネットワークをマネージド ドメインの仮想ネットワークに接続することが必要になる場合があります。Based on this architecture, you may need to connect one or more virtual networks that host your application workloads to your managed domain's virtual network.

次のいずれかの方法を使用して、他の Azure 仮想ネットワークでホストされているアプリケーション ワークロードを接続できます。You can connect application workloads hosted in other Azure virtual networks using one of the following methods:

  • 仮想ネットワーク ピアリングVirtual network peering
  • 仮想プライベート ネットワーク (VPN)Virtual private networking (VPN)

仮想ネットワーク ピアリングVirtual network peering

仮想ネットワーク ピアリングとは、同じリージョンに存在する 2 つの仮想ネットワークを Azure のバックボーン ネットワークを介して接続する機構です。Virtual network peering is a mechanism that connects two virtual networks in the same region through the Azure backbone network. グローバル仮想ネットワーク ピアリングで、Azure リージョン間の仮想ネットワークを接続できます。Global virtual network peering can connect virtual network across Azure regions. ピアリングされると、2 つの仮想ネットワークでは、VM などのリソースでプライベート IP アドレスを使用して相互に直接通信できるようになります。Once peered, the two virtual networks let resources, such as VMs, communicate with each other directly using private IP addresses. 仮想ネットワーク ピアリングを使用すると、他の仮想ネットワークにデプロイされたアプリケーション ワークロードでマネージド ドメインをデプロイできます。Using virtual network peering lets you deploy a managed domain with your application workloads deployed in other virtual networks.

Virtual network connectivity using peering

詳細については、Azure 仮想ネットワークのピアリングの概要に関するページを参照してください。For more information, see Azure virtual network peering overview.

仮想プライベート ネットワーク (VPN)Virtual Private Networking (VPN)

仮想ネットワークをオンプレミス サイトの場所に構成する場合と同じ方法で、仮想ネットワークを別の仮想ネットワークに (VNet 間) 接続することができます。You can connect a virtual network to another virtual network (VNet-to-VNet) in the same way that you can configure a virtual network to an on-premises site location. どちらの接続でも、VPN ゲートウェイを使用して、IPsec/IKE を使用してセキュリティで保護されたトンネルを作成します。Both connections use a VPN gateway to create a secure tunnel using IPsec/IKE. この接続モデルを使用すると、マネージド ドメインを Azure 仮想ネットワークにデプロイし、オンプレミスの場所または他のクラウドに接続することができます。This connection model lets you deploy the managed domain into an Azure virtual network and then connect on-premises locations or other clouds.

VPN Gateway を使用した仮想ネットワーク接続

仮想プライベート ネットワークの使用方法の詳細については、「Azure ポータルを使用して VNet 間 VPN ゲートウェイ接続を構成する」を参照してください。For more information on using virtual private networking, read Configure a VNet-to-VNet VPN gateway connection by using the Azure portal.

仮想ネットワークを接続するときの名前解決Name resolution when connecting virtual networks

マネージド ドメインの仮想ネットワークに接続される仮想ネットワークには、通常、独自の DNS 設定があります。Virtual networks connected to the managed domain's virtual network typically have their own DNS settings. 仮想ネットワークに接続しても、接続中の仮想ネットワークがマネージド ドメインから提供されるサービスを解決するための名前解決は自動的に構成されません。When you connect virtual networks, it doesn't automatically configure name resolution for the connecting virtual network to resolve services provided by the managed domain. アプリケーション ワークロードがマネージド ドメインを見つけられるように、接続している仮想ネットワークの名前解決を構成する必要があります。Name resolution on the connecting virtual networks must be configured to enable application workloads to locate the managed domain.

名前解決を有効にするには、接続している仮想ネットワークをサポートする DNS サーバー上で条件付き DNS フォワーダーを使用するか、マネージド ドメインの仮想ネットワークと同じ DNS IP アドレスを使用します。You can enable name resolution using conditional DNS forwarders on the DNS server supporting the connecting virtual networks, or by using the same DNS IP addresses from the managed domain's virtual network.

Azure AD DS によって使用されるネットワーク リソースNetwork resources used by Azure AD DS

マネージド ドメインでは、デプロイ時にいくつかのネットワーク リソースが作成されます。A managed domain creates some networking resources during deployment. これらのリソースは、マネージド ドメインの正常な運用と管理のために必要であり、手動で構成することはできません。These resources are needed for successful operation and management of the managed domain, and shouldn't be manually configured.

Azure リソースAzure resource 説明Description
ネットワーク インターフェイス カードNetwork interface card Azure AD DS は、Windows Server 上で Azure VM として実行されている 2 つのドメイン コントローラー (DC) 上でマネージド ドメインをホストします。Azure AD DS hosts the managed domain on two domain controllers (DCs) that run on Windows Server as Azure VMs. 各 VM には、仮想ネットワークのサブネットに接続する仮想ネットワーク インターフェイスがあります。Each VM has a virtual network interface that connects to your virtual network subnet.
動的標準パブリック IP アドレスDynamic standard public IP address Azure AD DS は、Standard SKU のパブリック IP アドレスを使用して同期および管理サービスと通信します。Azure AD DS communicates with the synchronization and management service using a standard SKU public IP address. パブリック IP アドレスの詳細については、「Azure における IP アドレスの種類と割り当て方法」を参照してください。For more information about public IP addresses, see IP address types and allocation methods in Azure.
Azure Standard Load BalancerAzure standard load balancer Azure AD DS では、ネットワーク アドレス変換 (NAT) および負荷分散 (セキュリティで保護された LDAP と共に使用する場合) に Standard SKU のロード バランサーを使用します。Azure AD DS uses a standard SKU load balancer for network address translation (NAT) and load balancing (when used with secure LDAP). Azure Load Balancer の詳細については、Azure Load Balancer の概要に関する記事を参照してください。For more information about Azure load balancers, see What is Azure Load Balancer?
ネットワーク アドレス変換 (NAT) 規則Network address translation (NAT) rules Azure AD DS では、ロード バランサーに対して 3 つの NAT 規則が作成され、使用されます。セキュリティで保護された HTTP トラフィックに関する 1 つの規則と、セキュリティで保護された PowerShell リモート処理に関する 2 つの規則です。Azure AD DS creates and uses three NAT rules on the load balancer - one rule for secure HTTP traffic, and two rules for secure PowerShell remoting.
負荷分散規則Load balancer rules マネージド ドメインが TCP ポート 636 上のセキュリティで保護された LDAP 用に構成されている場合、トラフィックを分散する 3 つの規則がロード バランサーに対して作成され、使用されます。When a managed domain is configured for secure LDAP on TCP port 636, three rules are created and used on a load balancer to distribute the traffic.

警告

ロード バランサーやルールの手動での構成など、Azure AD DS によって作成されたネットワーク リソースは削除または変更しないでください。Don't delete or modify any of the network resource created by Azure AD DS, such as manually configuring the load balancer or rules. ネットワーク リソースのいずれかを削除または変更すると、Azure AD DS サービスの停止が発生することがあります。If you delete or modify any of the network resources, an Azure AD DS service outage may occur.

ネットワーク セキュリティ グループと必要なポートNetwork security groups and required ports

ネットワーク セキュリティ グループ (NSG) には、Azure 仮想ネットワーク内のトラフィックへのネットワーク トラフィックを許可または拒否するルールの一覧が含まれています。A network security group (NSG) contains a list of rules that allow or deny network traffic to traffic in an Azure virtual network. ネットワーク セキュリティ グループは、サービスが認証および管理機能を提供できるようにする一連の規則を含むマネージド ドメインを展開するときに作成されます。A network security group is created when you deploy a managed domain that contains a set of rules that let the service provide authentication and management functions. この既定のネットワーク セキュリティ グループは、マネージド ドメインがデプロイされる仮想ネットワーク サブネットに関連付けられています。This default network security group is associated with the virtual network subnet your managed domain is deployed into.

マネージド ドメインで認証と管理サービスを提供するには、次のネットワーク セキュリティ グループの規則が必要です。The following network security group rules are required for the managed domain to provide authentication and management services. マネージド ドメインが展開されている仮想ネットワーク サブネットのネットワーク セキュリティ グループ規則を編集または削除しないでください。Don't edit or delete these network security group rules for the virtual network subnet your managed domain is deployed into.

ポート番号Port number ProtocolProtocol sourceSource 到着地Destination アクションAction 必須Required 目的Purpose
443443 TCPTCP AzureActiveDirectoryDomainServicesAzureActiveDirectoryDomainServices AnyAny AllowAllow はいYes Azure AD テナントとの同期。Synchronization with your Azure AD tenant.
33893389 TCPTCP CorpNetSawCorpNetSaw AnyAny AllowAllow はいYes ドメインの管理。Management of your domain.
59865986 TCPTCP AzureActiveDirectoryDomainServicesAzureActiveDirectoryDomainServices AnyAny AllowAllow はいYes ドメインの管理。Management of your domain.

これらのルールを配置する必要がある Azure Standard Load Balancer が作成されます。An Azure standard load balancer is created that requires these rules to be place. このネットワーク セキュリティ グループは Azure AD DS を保護し、マネージド ドメインが正しく機能するために必要です。This network security group secures Azure AD DS and is required for the managed domain to work correctly. このネットワーク セキュリティ グループを削除しないでください。Don't delete this network security group. これがないと、ロード バランサーは正常に機能しません。The load balancer won't work correctly without it.

必要に応じて、Azure PowerShell を使用して必要なネットワーク セキュリティ グループとルールを作成することができます。If needed, you can create the required network security group and rules using Azure PowerShell.

警告

これらのネットワーク リソースと構成を手動で編集しないでください。Don't manually edit these network resources and configurations. 正しく構成されていないネットワーク セキュリティ グループまたはユーザー定義のルート テーブルを、マネージド ドメインが展開されているサブネットに関連付けると、Microsoft のドメインのサービスと管理の機能が中断する可能性があります。When you associate a misconfigured network security group or a user defined route table with the subnet in which the managed domain is deployed, you may disrupt Microsoft's ability to service and manage the domain. Azure AD テナントとマネージド ドメインの間の同期も中断されます。Synchronization between your Azure AD tenant and your managed domain is also disrupted.

Secure LDAP を使用する場合は、必要な TCP ポート 636 の規則を適宜追加することで、外部トラフィックを許可することができます。If you use secure LDAP, you can add the required TCP port 636 rule to allow external traffic if needed. この規則を追加しても、ネットワーク セキュリティ グループの規則がサポート対象外の状態に設定されることはありません。Adding this rule doesn't place your network security group rules in an unsupported state. 詳細については、「インターネット経由での Secure LDAP アクセスをロック ダウンする」を参照してください。For more information, see Lock down secure LDAP access over the internet

AllowVnetInBoundAllowAzureLoadBalancerInBoundDenyAllInBoundAllowVnetOutBoundAllowInternetOutBoundDenyAllOutBound の既定の規則もネットワーク セキュリティ グループに存在します。Default rules for AllowVnetInBound, AllowAzureLoadBalancerInBound, DenyAllInBound, AllowVnetOutBound, AllowInternetOutBound, and DenyAllOutBound also exist for the network security group. これらの既定の規則は編集または削除しないでください。Don't edit or delete these default rules.

不適切に構成されたネットワーク セキュリティ グループやユーザー定義のルート テーブルが適用され、Azure AD DS がドメインの更新と管理をブロックするようなデプロイには、Azure SLA は適用されません。The Azure SLA doesn't apply to deployments where an improperly configured network security group and/or user defined route tables have been applied that blocks Azure AD DS from updating and managing your domain.

ポート 443 - Azure AD との同期Port 443 - synchronization with Azure AD

  • Azure AD テナントをマネージド ドメインと同期するために使用します。Used to synchronize your Azure AD tenant with your managed domain.
  • このポートにアクセスできない場合、マネージド ドメインは Azure AD テナントと同期できません。Without access to this port, your managed domain can't sync with your Azure AD tenant. パスワードへの変更がマネージド ドメインに同期されないため、ユーザーはサインインできない可能性があります。Users may not be able to sign in as changes to their passwords wouldn't be synchronized to your managed domain.
  • IP アドレスへのこのポートへの受信アクセスは、既定では AzureActiveDirectoryDomainServices サービス タグを使用して制限されます。Inbound access to this port to IP addresses is restricted by default using the AzureActiveDirectoryDomainServices service tag.
  • このポートからの発信アクセスは制限しないでください。Do not restrict outbound access from this port.

ポート 3389 - リモート デスクトップを使用した管理Port 3389 - management using remote desktop

  • マネージド ドメインのドメイン コントローラーへのリモート デスクトップ接続に使用されます。Used for remote desktop connections to domain controllers in your managed domain.
  • 既定のネットワーク セキュリティ グループの規則では、CorpNetSaw サービス タグを使用してトラフィックがさらに制限されます。The default network security group rule uses the CorpNetSaw service tag to further restrict traffic.
    • このサービス タグでは、Microsoft 企業ネットワーク上のセキュリティで保護されたアクセス ワークステーションのみが、マネージド ドメインへのリモート デスクトップを使用できます。This service tag permits only secure access workstations on the Microsoft corporate network to use remote desktop to the managed domain.
    • アクセスは、管理やトラブルシューティングのシナリオなど、業務上の正当な理由でのみ許可されます。Access is only allowed with business justification, such as for management or troubleshooting scenarios.
  • この規則を [拒否] に設定し、必要な場合にのみ [許可] に設定することができます。This rule can be set to Deny, and only set to Allow when required. ほとんどの管理タスクと監視タスクは、PowerShell リモート処理を使用して実行されます。Most management and monitoring tasks are performed using PowerShell remoting. RDP は、Microsoft が高度なトラブルシューティングのためにマネージド ドメインへのリモート接続が必要になるような頻度の低いイベントでのみ使用されます。RDP is only used in the rare event that Microsoft needs to connect remotely to your managed domain for advanced troubleshooting.

注意

このネットワーク セキュリティ グループの規則を編集しようとすると、ポータルから CorpNetSaw サービス タグを手動で選択することはできません。You can't manually select the CorpNetSaw service tag from the portal if you try to edit this network security group rule. CorpNetSaw サービス タグを使用する規則を手動で構成するには、Azure PowerShell または Azure CLI を使用する必要があります。You must use Azure PowerShell or the Azure CLI to manually configure a rule that uses the CorpNetSaw service tag.

たとえば、次のスクリプトを使用して、RDP を許可する規則を作成できます。For example, you can use the following script to create a rule allowing RDP:

Get-AzureRmNetworkSecurityGroup -Name "nsg-name" -ResourceGroupName "resource-group-name" | Add-AzureRmNetworkSecurityRuleConfig -Name "new-rule-name" -Access "Allow" -Protocol "TCP" -Direction "Inbound" -Priority "priority-number" -SourceAddressPrefix "CorpNetSaw" -SourcePortRange "" -DestinationPortRange "3389" -DestinationAddressPrefix "" | Set-AzureRmNetworkSecurityGroup

ポート 5986 - PowerShell リモート処理を使用した管理Port 5986 - management using PowerShell remoting

  • PowerShell のリモート処理を使用してマネージド ドメインの管理タスクを実行するために使用されます。Used to perform management tasks using PowerShell remoting in your managed domain.

  • このポートにアクセスできない場合、マネージド ドメインの更新、構成、バックアップおよび監視は行えません。Without access to this port, your managed domain can't be updated, configured, backed-up, or monitored.

  • Resource Manager ベースの仮想ネットワークを使用するマネージド ドメインでは、このポートへの受信アクセスを AzureActiveDirectoryDomainServices サービス タグに制限することができます。For managed domains that use a Resource Manager-based virtual network, you can restrict inbound access to this port to the AzureActiveDirectoryDomainServices service tag.

    • クラシックベースの仮想ネットワークを使用する従来のマネージド ドメインでは、このポートへの受信アクセスを次の発信元 IP アドレスに制限することができます。52.180.183.823.101.0.7052.225.184.19852.179.126.22313.74.249.15652.187.117.8352.161.13.95104.40.156.18104.40.87.209For legacy managed domains using a Classic-based virtual network, you can restrict inbound access to this port to the following source IP addresses: 52.180.183.8, 23.101.0.70, 52.225.184.198, 52.179.126.223, 13.74.249.156, 52.187.117.83, 52.161.13.95, 104.40.156.18, and 104.40.87.209.

    注意

    2017 年に、Azure AD Domain Services は、Azure Resource Manager ネットワークでホストするために使用できるようになりました。In 2017, Azure AD Domain Services became available to host in an Azure Resource Manager network. それ以後、Azure Resource Manager の最新機能を使用して、より安全なサービスを構築できるようになっています。Since then, we have been able to build a more secure service using the Azure Resource Manager's modern capabilities. Azure Resource Manager デプロイによってクラシック デプロイは完全に置き換えられるため、Azure AD DS のクラシック仮想ネットワークのデプロイは 2023 年 3 月 1 日に廃止されます。Because Azure Resource Manager deployments fully replace classic deployments, Azure AD DS classic virtual network deployments will be retired on March 1, 2023.

    詳細については、公式の非推奨に関する通知を参照してくださいFor more information, see the official deprecation notice

ユーザー定義のルートUser-defined routes

ユーザー定義ルートは、既定では作成されず、Azure AD DS が正しく機能するためには必要ありません。User-defined routes aren't created by default, and aren't needed for Azure AD DS to work correctly. ルート テーブルを使用する必要がある場合は、0.0.0.0 ルートに変更を加えないようにしてください。If you're required to use route tables, avoid making any changes to the 0.0.0.0 route. このルートを変更すると、Azure AD DS が中断され、マネージド ドメインがサポートされない状態になります。Changes to this route disrupt Azure AD DS and puts the managed domain in an unsupported state.

また、それぞれの Azure サービス タグに含まれる IP アドレスからの受信トラフィックをマネージド ドメインのサブネットにルーティングする必要があります。You must also route inbound traffic from the IP addresses included in the respective Azure service tags to the managed domain's subnet. サービス タグとそれに関連付けられている IP アドレスの詳細については、「Azure の IP 範囲とサービス タグ - パブリック クラウド」を参照してください。For more information on service tags and their associated IP address from, see Azure IP Ranges and Service Tags - Public Cloud.

注意事項

これらの Azure データセンターの IP 範囲は、予告なしに変わる可能性があります。These Azure datacenter IP ranges can change without notice. 最新の IP アドレスを取得していることを検証するプロセスを用意してください。Ensure you have processes to validate you have the latest IP addresses.

次のステップNext steps

Azure AD DS で使用されるネットワーク リソースと接続オプションの詳細については、次の記事を参照してください。For more information about some of the network resources and connection options used by Azure AD DS, see the following articles: