Azure Active Directory Domain Services のマネージド ドメイン内でのオブジェクトと資格情報の同期のしくみHow objects and credentials are synchronized in an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) のマネージド ドメイン内のオブジェクトと資格情報は、ドメイン内でローカルに作成するか、Azure Active Directory (Azure AD) テナントから同期することができます。Objects and credentials in an Azure Active Directory Domain Services (Azure AD DS) managed domain can either be created locally within the domain, or synchronized from an Azure Active Directory (Azure AD) tenant. Azure AD DS を初めてデプロイするときに、一方向の自動同期が構成され、Azure AD からオブジェクトがレプリケートされます。When you first deploy Azure AD DS, an automatic one-way synchronization is configured and started to replicate the objects from Azure AD. この一方向の同期は引き続きバックグラウンドで実行され、Azure AD からの変更を反映して Azure AD DS マネージド ドメインを最新の状態に保ちます。This one-way synchronization continues to run in the background to keep the Azure AD DS managed domain up-to-date with any changes from Azure AD. Azure AD DS から Azure AD への同期は行われません。No synchronization occurs from Azure AD DS back to Azure AD.

ハイブリッド環境では、Azure AD Connect を使用して、オンプレミスの AD DS ドメインのオブジェクトと資格情報を Azure AD に同期できます。In a hybrid environment, objects and credentials from an on-premises AD DS domain can be synchronized to Azure AD using Azure AD Connect. これらのオブジェクトが Azure AD に正常に同期されると、自動バックグラウンド同期によって、マネージド ドメインを使用するアプリケーションでそれらのオブジェクトと資格情報を使用できるようになります。Once those objects are successfully synchronized to Azure AD, the automatic background sync then makes those objects and credentials available to applications using the managed domain.

ADFS を使用したフェデレーション認証のために、オンプレミスの AD DS と Azure AD が構成されている場合、Azure DS で使用できる (現在の、または有効な) パスワード ハッシュはありません。If on-prem AD DS and Azure AD are configured for federated authentication using ADFS then there is no (current/valid) password hash available in Azure DS. フェデレーション認証が実装される前に作成された Azure AD ユーザー アカウントには古いパスワード ハッシュがある可能性がありますが、これはオンプレミスのパスワードのハッシュと一致しないと考えられます。Azure AD user accounts created before fed auth was implemented might have an old password hash but this likely doesn't match a hash of their on-prem password. そのため、Azure AD DS はユーザーの資格情報を検証できません。Hence Azure AD DS won't be able to validate the users credentials.

次の図は、Azure AD DS、Azure AD、およびオプションのオンプレミスの AD DS 環境間で同期がどのように行われるかを示しています。The following diagram illustrates how synchronization works between Azure AD DS, Azure AD, and an optional on-premises AD DS environment:

Azure AD Domain Services のマネージド ドメインでの同期の概要

Azure AD から Azure AD DS への同期Synchronization from Azure AD to Azure AD DS

ユーザー アカウント、グループ メンバーシップ、および資格情報ハッシュは、Azure AD から Azure AD DS に一方向で同期されます。User accounts, group memberships, and credential hashes are synchronized one way from Azure AD to Azure AD DS. この同期プロセスは自動的に行われます。This synchronization process is automatic. この同期プロセスを構成、監視、または管理する必要はありません。You don't need to configure, monitor, or manage this synchronization process. Azure AD ディレクトリ内のオブジェクトの数に応じて、初期同期には数時間から数日かかることがあります。The initial synchronization may take a few hours to a couple of days, depending on the number of objects in the Azure AD directory. 初期同期が完了した後、Azure AD 内で加えられた変更 (パスワードや属性の変更など) は、Azure AD DS に自動的に同期されます。After the initial synchronization is complete, changes that are made in Azure AD, such as password or attribute changes, are then automatically synchronized to Azure AD DS.

Azure AD で作成されたユーザーは、Azure AD でパスワードを変更するまで Azure AD DS に同期されません。When a user is created in Azure AD, they're not synchronized to Azure AD DS until they change their password in Azure AD. このパスワード変更プロセスによって、Kerberos 認証と NTLM 認証に使用されるパスワード ハッシュが Azure AD に生成されて保存されます。This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Azure AD DS でユーザーを正常に認証するには、パスワード ハッシュが必要です。The password hashes are needed to successfully authenticate a user in Azure AD DS.

設計上、同期プロセスは一方向です。The synchronization process is one way / unidirectional by design. Azure AD DS から Azure AD への変更の逆方向の同期は行われません。There's no reverse synchronization of changes from Azure AD DS back to Azure AD. マネージド ドメインは、作成できるカスタムの組織単位 (OU) を除き、主に読み取り専用です。A managed domain is largely read-only except for custom OUs that you can create. マネージド ドメイン内でユーザー属性、ユーザー パスワード、またはグループ メンバーシップを変更することはできません。You can't make changes to user attributes, user passwords, or group memberships within a managed domain.

属性の同期と Azure AD DS へのマッピングAttribute synchronization and mapping to Azure AD DS

次の表では、一般的な属性の一部と、これらが Azure AD DS に同期される方法を示します。The following table lists some common attributes and how they're synchronized to Azure AD DS.

Azure AD DS 内の属性Attribute in Azure AD DS sourceSource NotesNotes
UPNUPN Azure AD テナント内のユーザーの UPN 属性User's UPN attribute in Azure AD tenant Azure AD テナントの UPN 属性は、そのまま Azure AD DS に同期されます。The UPN attribute from the Azure AD tenant is synchronized as-is to Azure AD DS. マネージド ドメインにサインインする最も確実な方法は、UPN を使用することです。The most reliable way to sign in to a managed domain is using the UPN.
SAMAccountNameSAMAccountName Azure AD テナントのユーザーに設定、または自動生成された mailNickname 属性User's mailNickname attribute in Azure AD tenant or autogenerated SAMAccountName 属性は、Azure AD テナントの mailNickname 属性を同期元とします。The SAMAccountName attribute is sourced from the mailNickname attribute in the Azure AD tenant. 複数のユーザー アカウントで mailNickname 属性が同じ場合は、SAMAccountName が自動生成されます。If multiple user accounts have the same mailNickname attribute, the SAMAccountName is autogenerated. ユーザーの mailNickname または UPN プレフィックスが 20 文字を超える場合は、SAMAccountName 属性の 20 文字以下の制限を満たすために SAMAccountName が自動生成されます。If the user's mailNickname or UPN prefix is longer than 20 characters, the SAMAccountName is autogenerated to meet the 20 character limit on SAMAccountName attributes.
パスワードPasswords Azure AD テナントのユーザー パスワードUser's password from the Azure AD tenant NTLM または Kerberos 認証に必要な従来のパスワード ハッシュは、Azure AD テナントから同期されます。Legacy password hashes required for NTLM or Kerberos authentication are synchronized from the Azure AD tenant. Azure AD Connect を使用して Azure AD テナントがハイブリッド同期用に構成されている場合、これらのパスワード ハッシュはオンプレミスの AD DS 環境から供給されます。If the Azure AD tenant is configured for hybrid synchronization using Azure AD Connect, these password hashes are sourced from the on-premises AD DS environment.
プライマリ ユーザーおよびグループの SIDPrimary user/group SID 自動生成Autogenerated ユーザーおよびグループ アカウントのプライマリ SID は、Azure AD DS 内に自動生成されます。The primary SID for user/group accounts is autogenerated in Azure AD DS. この属性は、オンプレミスの AD DS 環境内のオブジェクトのプライマリ ユーザーおよびグループの SID とは一致しません。This attribute doesn't match the primary user/group SID of the object in an on-premises AD DS environment. この不一致の原因は、マネージド ドメインにオンプレミス AD DS ドメインとは異なる SID 名前空間があることです。This mismatch is because the managed domain has a different SID namespace than the on-premises AD DS domain.
ユーザーとグループの SID 履歴SID history for users and groups オンプレミスのプライマリ ユーザーおよびグループの SIDOn-premises primary user and group SID Azure AD DS 内のユーザーおよびグループの SidHistory 属性は、オンプレミスの AD DS 環境内の対応するプライマリ ユーザーまたはグループの SID と一致するように設定されています。The SidHistory attribute for users and groups in Azure AD DS is set to match the corresponding primary user or group SID in an on-premises AD DS environment. この機能により、リソースを再度 ACL 処理する必要がなくなるため、オンプレミスのアプリケーションを Azure AD DS にリフトアンドシフトすることが簡単になります。This feature helps make lift-and-shift of on-premises applications to Azure AD DS easier as you don't need to re-ACL resources.

ヒント

UPN 形式を使用したマネージド ドメインへのサインイン マネージド ドメイン内の一部ユーザー アカウントに対して AADDSCONTOSO\driley などの SAMAccountName 属性が自動生成される場合があります。Sign in to the managed domain using the UPN format The SAMAccountName attribute, such as AADDSCONTOSO\driley, may be auto-generated for some user accounts in a managed domain. ユーザーの自動生成された SAMAccountName が、UPN プレフィックスとは異なる場合があるため、常に信頼できるサインイン方法ではありません。Users' auto-generated SAMAccountName may differ from their UPN prefix, so isn't always a reliable way to sign in.

たとえば、複数のユーザーで mailNickname 属性が同じだったり、ユーザーの UPN プレフィックスが最大文字数を超えている場合は、これらのユーザーの SAMAccountName が自動生成されることがあります。For example, if multiple users have the same mailNickname attribute or users have overly long UPN prefixes, the SAMAccountName for these users may be auto-generated. マネージド ドメインに確実にサインインするには、driley@aaddscontoso.com などの UPN 形式を使用します。Use the UPN format, such as driley@aaddscontoso.com, to reliably sign in to a managed domain.

ユーザー アカウントの属性のマッピングAttribute mapping for user accounts

次の表は、Azure AD 内のユーザー オブジェクトの特定の属性が、Azure AD DS 内の対応する属性にどのように同期されるかを示しています。The following table illustrates how specific attributes for user objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Azure AD 内のユーザー属性User attribute in Azure AD Azure AD DS 内のユーザー属性User attribute in Azure AD DS
accountEnabledaccountEnabled userAccountControl (ACCOUNT_DISABLED ビットの設定または解除)userAccountControl (sets or clears the ACCOUNT_DISABLED bit)
citycity ll
countrycountry coco
departmentdepartment departmentdepartment
displayNamedisplayName displayNamedisplayName
employeedIdemployeedId employeeIdemployeeId
facsimileTelephoneNumberfacsimileTelephoneNumber facsimileTelephoneNumberfacsimileTelephoneNumber
givenNamegivenName givenNamegivenName
jobTitlejobTitle titletitle
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
mailNicknamemailNickname SAMAccountName (自動生成される場合があります)SAMAccountName (may sometimes be autogenerated)
managermanager managermanager
mobilemobile mobilemobile
objectidobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
passwordPoliciespasswordPolicies userAccountControl (DONT_EXPIRE_PASSWORD ビットの設定または解除)userAccountControl (sets or clears the DONT_EXPIRE_PASSWORD bit)
physicalDeliveryOfficeNamephysicalDeliveryOfficeName physicalDeliveryOfficeNamephysicalDeliveryOfficeName
postalCodepostalCode postalCodepostalCode
preferredLanguagepreferredLanguage preferredLanguagepreferredLanguage
proxyAddressesproxyAddresses proxyAddressesproxyAddresses
statestate stst
streetAddressstreetAddress streetAddressstreetAddress
surnamesurname snsn
telephoneNumbertelephoneNumber telephoneNumbertelephoneNumber
userPrincipalNameuserPrincipalName userPrincipalNameuserPrincipalName

グループの属性のマッピングAttribute mapping for groups

次の表は、Azure AD 内のグループ オブジェクトの特定の属性が、Azure AD DS 内の対応する属性にどのように同期されるかを示しています。The following table illustrates how specific attributes for group objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Azure AD 内のグループ属性Group attribute in Azure AD Azure AD DS 内のグループ属性Group attribute in Azure AD DS
displayNamedisplayName displayNamedisplayName
displayNamedisplayName SAMAccountName (自動生成される場合があります)SAMAccountName (may sometimes be autogenerated)
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
objectidobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
proxyAddressesproxyAddresses proxyAddressesproxyAddresses
securityEnabledsecurityEnabled groupTypegroupType

オンプレミスの AD DS から Azure AD と Azure AD DS への同期Synchronization from on-premises AD DS to Azure AD and Azure AD DS

Azure AD Connect は、オンプレミスの AD DS 環境から Azure AD へのユーザー アカウント、グループ メンバーシップ、および資格情報ハッシュの同期に使用されます。Azure AD Connect is used to synchronize user accounts, group memberships, and credential hashes from an on-premises AD DS environment to Azure AD. UPN やオンプレミスのセキュリティ識別子 (SID) などのユーザー アカウントの属性が同期されます。Attributes of user accounts such as the UPN and on-premises security identifier (SID) are synchronized. Azure AD DS を使用してサインインするために、NTLM および Kerberos 認証に必要な従来のパスワード ハッシュも、Azure AD に同期されます。To sign in using Azure AD DS, legacy password hashes required for NTLM and Kerberos authentication are also synchronized to Azure AD.

重要

Azure AD Connect は、オンプレミスの AD DS 環境との同期のためにのみインストールおよび構成する必要があります。Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. マネージド ドメインに Azure AD Connect をインストールして元の Azure AD にオブジェクトを同期することはサポートされていません。It's not supported to install Azure AD Connect in a managed domain to synchronize objects back to Azure AD.

ライトバックを構成すると、Azure AD からの変更がオンプレミスの AD DS 環境に同期されます。If you configure write-back, changes from Azure AD are synchronized back to the on-premises AD DS environment. たとえば、ユーザーが Azure AD のセルフサービス パスワード管理を使用してパスワードを変更すると、パスワードがオンプレミスの AD DS 環境内で更新されます。For example, if a user changes their password using Azure AD self-service password management, the password is updated back in the on-premises AD DS environment.

注意

既知のバグ/問題がすべて修正されているよう、常に最新バージョンの Azure AD Connect を使用してください。Always use the latest version of Azure AD Connect to ensure you have fixes for all known bugs.

複数フォレストのオンプレミス環境からの同期Synchronization from a multi-forest on-premises environment

多くの組織には、複数のフォレストを含む、かなり複雑なオンプレミスの AD DS 環境があります。Many organizations have a fairly complex on-premises AD DS environment that includes multiple forests. Azure AD Connect では、複数フォレストの環境から Azure AD へのユーザー、グループ、および資格情報ハッシュの同期がサポートされます。Azure AD Connect supports synchronizing users, groups, and credential hashes from multi-forest environments to Azure AD.

Azure AD には、はるかに単純なフラット型名前空間があります。Azure AD has a much simpler and flat namespace. Azure AD によって保護されたアプリケーションにユーザーが確実にアクセスできるようにするには、異なるフォレストのユーザー アカウント間における UPN の競合を解決する必要があります。To enable users to reliably access applications secured by Azure AD, resolve UPN conflicts across user accounts in different forests. マネージド ドメインでは、Azure AD と同様に、フラットな OU 構造が使用されます。Managed domains use a flat OU structure, similar to Azure AD. 階層的な OU 構造をオンプレミスで構成した場合でも、ユーザー アカウントとグループは、異なるオンプレミス ドメインまたはフォレストから同期されても、すべて AADDC Users コンテナー内に格納されます。All user accounts and groups are stored in the AADDC Users container, despite being synchronized from different on-premises domains or forests, even if you've configured a hierarchical OU structure on-premises. マネージド ドメインでは、階層的な OU 構造がフラット化されます。The managed domain flattens any hierarchical OU structures.

前に説明したように、Azure AD DS から Azure AD への同期は行われません。As previously detailed, there's no synchronization from Azure AD DS back to Azure AD. Azure AD DS にカスタム組織単位 (OU) を作成し、そのカスタム OU 内にユーザー、グループ、またはサービス アカウントを作成することができます。You can create a custom Organizational Unit (OU) in Azure AD DS and then users, groups, or service accounts within those custom OUs. カスタム OU 内に作成されたオブジェクトは、いずれも Azure AD に同期されません。None of the objects created in custom OUs are synchronized back to Azure AD. これらのオブジェクトはマネージド ドメイン内でのみ使用可能で、Azure AD PowerShell コマンドレット、Microsoft Graph API、または Azure AD 管理 UI を使用して表示することはできません。These objects are available only within the managed domain, and aren't visible using Azure AD PowerShell cmdlets, Microsoft Graph API, or using the Azure AD management UI.

Azure AD DS に同期されないものWhat isn't synchronized to Azure AD DS

次のオブジェクトまたは属性は、オンプレミスの AD DS 環境から Azure AD または Azure AD DS には同期されません。The following objects or attributes aren't synchronized from an on-premises AD DS environment to Azure AD or Azure AD DS:

  • 除外対象の属性: Azure AD Connect を使用して、オンプレミスの AD DS 環境から Azure AD への同期から、特定の属性を除外することを選択できます。Excluded attributes: You can choose to exclude certain attributes from synchronizing to Azure AD from an on-premises AD DS environment using Azure AD Connect. これらの除外された属性は、Azure AD DS では使用できません。These excluded attributes aren't then available in Azure AD DS.
  • グループ ポリシー: オンプレミスの AD DS 環境内で構成されているグループ ポリシーは、Azure AD DS に同期されません。Group Policies: Group Policies configured in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • sysvol フォルダー: オンプレミスの AD DS 環境内の Sysvol フォルダーの内容は、Azure AD DS に同期されません。Sysvol folder: The contents of the Sysvol folder in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • コンピューター オブジェクト: オンプレミスの AD DS 環境に参加しているコンピューターのコンピューター オブジェクトは、Azure AD DS に同期されません。Computer objects: Computer objects for computers joined to an on-premises AD DS environment aren't synchronized to Azure AD DS. これらのコンピューターは、マネージド ドメインとの信頼関係がなく、オンプレミスの AD DS 環境にのみ属しています。These computers don't have a trust relationship with the managed domain and only belong to the on-premises AD DS environment. Azure AD DS では、マネージド ドメインに明示的にドメイン参加させたコンピューターのコンピューター オブジェクトのみが表示されます。In Azure AD DS, only computer objects for computers that have explicitly domain-joined to the managed domain are shown.
  • ユーザーとグループの SidHistory 属性: オンプレミスの AD DS 環境からのプライマリ ユーザーおよびプライマリ グループの SID は、Azure AD DS に同期されます。SidHistory attributes for users and groups: The primary user and primary group SIDs from an on-premises AD DS environment are synchronized to Azure AD DS. ただし、ユーザーとグループの既存の SidHistory 属性は、オンプレミスの AD DS 環境から Azure AD DS に同期されません。However, existing SidHistory attributes for users and groups aren't synchronized from the on-premises AD DS environment to Azure AD DS.
  • 組織単位 (OU) の構造: オンプレミスの AD DS 環境内で定義されている組織単位は、Azure AD DS と同期しません。Organization Units (OU) structures: Organizational Units defined in an on-premises AD DS environment don't synchronize to Azure AD DS. Azure AD DS には、ユーザー用に 1 つとコンピューター用に 1 つ、合計 2 つの組み込み OU があります。There are two built-in OUs in Azure AD DS - one for users, and one for computers. マネージド ドメインにはフラットな OU 構造があります。The managed domain has a flat OU structure. マネージド ドメイン内にカスタムの OU を作成することを選択できます。You can choose to create a custom OU in your managed domain.

パスワード ハッシュの同期とセキュリティに関する考慮事項Password hash synchronization and security considerations

Azure AD DS を有効にすると、NTLM + Kerberos 認証用の従来のパスワード ハッシュが必要になります。When you enable Azure AD DS, legacy password hashes for NTLM + Kerberos authentication are required. Azure AD にはクリア テキストのパスワードが格納されないため、既存のユーザー アカウントに対してこれらのハッシュを自動的に生成することはできません。Azure AD doesn't store clear-text passwords, so these hashes can't be automatically generated for existing user accounts. NTLM および Kerberos 互換のパスワード ハッシュは、生成されて格納された後、常に暗号化されて Azure AD に保存されます。Once generated and stored, NTLM and Kerberos compatible password hashes are always stored in an encrypted manner in Azure AD.

暗号化キーは、Azure AD テナントごとに一意です。The encryption keys are unique to each Azure AD tenant. これらのハッシュは、Azure AD DS だけが復号化キーにアクセスできるように暗号化されます。These hashes are encrypted such that only Azure AD DS has access to the decryption keys. Azure AD 内の他のサービスやコンポーネントは、復号化キーにアクセスすることはできません。No other service or component in Azure AD has access to the decryption keys.

その後、従来のパスワード ハッシュは、Azure AD からマネージド ドメインのドメイン コントローラーに同期されます。Legacy password hashes are then synchronized from Azure AD into the domain controllers for a managed domain. Azure AD DS 内のこれらのマネージド ドメイン コントローラーのディスクは、保存時に暗号化されます。The disks for these managed domain controllers in Azure AD DS are encrypted at rest. オンプレミスの AD DS 環境にパスワードが保存され、セキュリティで保護される場合と同様に、これらのパスワード ハッシュは、これらのドメイン コントローラーに保存され、セキュリティで保護されます。These password hashes are stored and secured on these domain controllers similar to how passwords are stored and secured in an on-premises AD DS environment.

クラウドのみの Azure AD 環境では、必要なパスワード ハッシュを生成して Azure AD に保存するために、ユーザーにパスワードをリセットまたは変更するよう求めています。For cloud-only Azure AD environments, users must reset/change their password in order for the required password hashes to be generated and stored in Azure AD. Azure AD Domain Services を有効にした後に Azure AD で作成されたクラウド ユーザー アカウントの場合、パスワード ハッシュが生成され、NTLM および Kerberos 互換の形式で保存されます。For any cloud user account created in Azure AD after enabling Azure AD Domain Services, the password hashes are generated and stored in the NTLM and Kerberos compatible formats. すべてのクラウド ユーザー アカウントは、Azure AD DS に同期される前にパスワードを変更する必要があります。All cloud user accounts must change their password before they're synchronized to Azure AD DS.

Azure AD Connect を使用してオンプレミスの AD DS 環境から同期されたハイブリッド ユーザー アカウントの場合、NTLM および Kerberos 互換の形式でパスワード ハッシュを同期するように Azure AD Connect を構成する必要があります。For hybrid user accounts synced from on-premises AD DS environment using Azure AD Connect, you must configure Azure AD Connect to synchronize password hashes in the NTLM and Kerberos compatible formats.

次のステップNext steps

パスワード同期の仕様について詳しくは、Azure AD Connect を使用したパスワード ハッシュ同期の方法に関する記事をご覧ください。For more information on the specifics of password synchronization, see How password hash synchronization works with Azure AD Connect.

Azure AD DS の使用を開始するには、マネージド ドメインを作成します。To get started with Azure AD DS, create a managed domain.