チュートリアル:Azure Active Directory Domain Services のマネージド ドメインを作成して構成するTutorial: Create and configure an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (Azure AD DS) では、Windows Server Active Directory と完全に互換性のあるマネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos 認証、NTLM 認証など) が提供されます。Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. ドメイン コントローラーのデプロイ、管理、パッチの適用を自分で行わなくても、これらのドメイン サービスを使用することができます。You consume these domain services without deploying, managing, and patching domain controllers yourself. Azure AD DS は、既存の Azure AD テナントと統合されます。Azure AD DS integrates with your existing Azure AD tenant. この統合により、ユーザーは、各自の会社の資格情報を使用してサインインすることができます。また管理者は、既存のグループとユーザー アカウントを使用してリソースへのアクセスをセキュリティで保護することができます。This integration lets users sign in using their corporate credentials, and you can use existing groups and user accounts to secure access to resources.

ネットワークと同期に関して既定の構成オプションを使用してマネージド ドメインを作成するか、それらの設定を手動で定義することができます。You can create a managed domain using default configuration options for networking and synchronization, or manually define these settings. このチュートリアルでは、Azure portal を使用し、既定のオプションを使用して Azure AD DS のマネージド ドメインを作成、構成する方法について説明します。This tutorial shows you how to use default options to create and configure an Azure AD DS managed domain using the Azure portal.

このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • マネージド ドメインの DNS の要件を理解するUnderstand DNS requirements for a managed domain
  • マネージド ドメインの作成Create a managed domain
  • パスワード ハッシュ同期を有効にするEnable password hash synchronization

Azure サブスクリプションをお持ちでない場合は、始める前にアカウントを作成してください。If you don't have an Azure subscription, create an account before you begin.

前提条件Prerequisites

このチュートリアルを完了するには、以下のリソースと特権が必要です。To complete this tutorial, you need the following resources and privileges:

  • 有効な Azure サブスクリプションAn active Azure subscription.
  • ご利用のサブスクリプションに関連付けられた Azure Active Directory テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
  • Azure AD DS を有効にするには、Azure AD テナントに "全体管理者" 特権が必要です。You need global administrator privileges in your Azure AD tenant to enable Azure AD DS.
  • 必要な Azure AD DS リソースを作成するためには、ご利用の Azure サブスクリプションに "共同作成者" 特権が必要です。You need Contributor privileges in your Azure subscription to create the required Azure AD DS resources.

Azure AD DS では必須ではありませんが、Azure AD テナントには、SSPR (Self-Service Password Reset: セルフサービス パスワード リセット ) を構成することをお勧めします。Although not required for Azure AD DS, it's recommended to configure self-service password reset (SSPR) for the Azure AD tenant. SSPR がなくても、ユーザーは自分のパスワードを変更できます。しかし、ユーザーがパスワードを紛失してしまってリセットする必要が生じた場合には SSPR が役立ちます。Users can change their password without SSPR, but SSPR helps if they forget their password and need to reset it.

Important

いったん作成したマネージド ドメインを別のリソース グループ、仮想ネットワーク、サブスクリプションなどに移動することはできません。マネージド ドメインをデプロイするときに、最適なサブスクリプション、リソース グループ、リージョン、仮想ネットワークを慎重に選択してください。After you create a managed domain, you can't then move the managed domain to a different resource group, virtual network, subscription, etc. Take care to select the most appropriate subscription, resource group, region, and virtual network when you deploy the managed domain.

Azure portal にサインインするSign in to the Azure portal

このチュートリアルでは、Azure portal を使用してマネージド ドメインの作成と構成を行います。In this tutorial, you create and configure the managed domain using the Azure portal. 最初に、Azure portal にサインインします。To get started, first sign in to the Azure portal.

マネージド ドメインの作成Create a managed domain

[Azure AD Domain Services の有効化] ウィザードを起動するには、次の手順を実行します。To launch the Enable Azure AD Domain Services wizard, complete the following steps:

  1. Azure portal メニュー上または [ホーム] ページから [リソースの作成] を選択します。On the Azure portal menu or from the Home page, select Create a resource.
  2. 検索バーに「Domain Services」と入力し、検索候補から [Azure AD Domain Services] を選択します。Enter Domain Services into the search bar, then choose Azure AD Domain Services from the search suggestions.
  3. [Azure AD Domain Services] ページで [作成] を選択します。On the Azure AD Domain Services page, select Create. [Azure AD Domain Services の有効化] ウィザードが起動します。The Enable Azure AD Domain Services wizard is launched.
  4. マネージド ドメインを作成する Azure サブスクリプションを選択します。Select the Azure Subscription in which you would like to create the managed domain.
  5. マネージド ドメインが属するリソース グループを選択します。Select the Resource group to which the managed domain should belong. リソース グループを新規作成するか、既存のリソース グループを選択してください。Choose to Create new or select an existing resource group.

マネージド ドメインを作成する際は、DNS 名を指定します。When you create a managed domain, you specify a DNS name. この DNS 名を選ぶ際のいくつかの考慮事項を次に示します。There are some considerations when you choose this DNS name:

  • 組み込みドメイン名: 既定では、ディレクトリの組み込みドメイン名が使用されます ( .onmicrosoft.com サフィックス)。Built-in domain name: By default, the built-in domain name of the directory is used (a .onmicrosoft.com suffix). マネージド ドメインに対するインターネット経由での Secure LDAP アクセスを有効にしたい場合、デジタル証明書を作成して、この既定のドメインとの接続をセキュリティで保護することはできません。If you wish to enable secure LDAP access to the managed domain over the internet, you can't create a digital certificate to secure the connection with this default domain. .onmicrosoft.com ドメインを所有するのは Microsoft であるため、証明機関 (CA) からは証明書が発行されません。Microsoft owns the .onmicrosoft.com domain, so a Certificate Authority (CA) won't issue a certificate.
  • カスタム ドメイン名: 最も一般的な方法は、カスタム ドメイン名を指定することです。一般に、貴社が既に所有していて、なおかつルーティング可能なものを指定します。Custom domain names: The most common approach is to specify a custom domain name, typically one that you already own and is routable. ルーティング可能なカスタム ドメインを使用すれば、ご利用のアプリケーションをサポートするために必要なトラフィックを正しく送信することができます。When you use a routable, custom domain, traffic can correctly flow as needed to support your applications.
  • ルーティング不可能なドメインのサフィックス: 一般に、ルーティング不可能なドメイン名サフィックス (contoso.local など) は避けることをお勧めします。Non-routable domain suffixes: We generally recommend that you avoid a non-routable domain name suffix, such as contoso.local. .local サフィックスはルーティングできないため、DNS 解決で問題の原因となることがあります。The .local suffix isn't routable and can cause issues with DNS resolution.

Tip

カスタム ドメイン名を作成する場合は、既存の DNS 名前空間に注意してください。If you create a custom domain name, take care with existing DNS namespaces. Azure およびオンプレミスの既存の DNS 名前空間とは別のドメイン名を使用することをお勧めします。It's recommended to use a domain name separate from any existing Azure or on-premises DNS name space.

たとえば、contoso.com の既存の DNS 名前空間がある場合、aaddscontoso.com というカスタム ドメイン名を使用してマネージド ドメインを作成します。For example, if you have an existing DNS name space of contoso.com, create a managed domain with the custom domain name of aaddscontoso.com. Secure LDAP を使用する必要がある場合は、このカスタム ドメイン名を登録して所有し、必要な証明書を生成する必要があります。If you need to use secure LDAP, you must register and own this custom domain name to generate the required certificates.

場合によっては、環境内の他のサービス用に追加で DNS レコードを作成したり、環境内に既に存在する 2 つの DNS 名前空間の間に条件付き DNS フォワーダーを作成したりする必要があります。You may need to create some additional DNS records for other services in your environment, or conditional DNS forwarders between existing DNS name spaces in your environment. たとえば、ルート DNS 名を使用するサイトをホストする Web サーバーを実行する場合、名前の競合が発生して、追加の DNS エントリが必要になる可能性があります。For example, if you run a webserver that hosts a site using the root DNS name, there can be naming conflicts that require additional DNS entries.

これらのチュートリアルとハウツー記事では、簡略な例として aaddscontoso.com というカスタム ドメインを使用しています。In these tutorials and how-to articles, the custom domain of aaddscontoso.com is used as a short example. すべてのコマンドで、独自のドメイン名を指定してください。In all commands, specify your own domain name.

DNS 名には、次の制限も適用されます。The following DNS name restrictions also apply:

  • ドメインのプレフィックスの制限: プレフィックスが 15 文字より長いマネージド ドメインを作成できません。Domain prefix restrictions: You can't create a managed domain with a prefix longer than 15 characters. 指定するドメイン名のプレフィックス (たとえば、ドメイン名 aaddscontoso.comaaddscontoso など) は、15 文字以内に収める必要があります。The prefix of your specified domain name (such as aaddscontoso in the aaddscontoso.com domain name) must contain 15 or fewer characters.
  • ネットワーク名の競合: マネージド ドメインの DNS ドメイン名は、まだ仮想ネットワークに存在していない必要があります。Network name conflicts: The DNS domain name for your managed domain shouldn't already exist in the virtual network. 具体的には、名前の競合につながる次のシナリオをチェックしてください。Specifically, check for the following scenarios that would lead to a name conflict:
    • 同じ DNS ドメイン名の Active Directory ドメインが Azure 仮想ネットワーク上に既にあるかどうか。If you already have an Active Directory domain with the same DNS domain name on the Azure virtual network.
    • マネージド ドメインを有効にする仮想ネットワークに、オンプレミス ネットワークとの VPN 接続があるかどうか。If the virtual network where you plan to enable the managed domain has a VPN connection with your on-premises network. このシナリオでは、オンプレミス ネットワークに同じ DNS ドメイン名のドメインがないことを確認します。In this scenario, ensure you don't have a domain with the same DNS domain name on your on-premises network.
    • その名前の付いた Azure クラウド サービスが Azure 仮想ネットワーク上に既にあるかどうか。If you have an existing Azure cloud service with that name on the Azure virtual network.

Azure portal の [基本] ウィンドウのフィールドに必要事項を入力してマネージド ドメインを作成します。Complete the fields in the Basics window of the Azure portal to create a managed domain:

  1. 前述のポイントを考慮しながらマネージド ドメインの DNS ドメイン名を入力します。Enter a DNS domain name for your managed domain, taking into consideration the previous points.

  2. マネージド ドメインを作成する Azure の場所を選択します。Choose the Azure Location in which the managed domain should be created. Availability Zones がサポートされているリージョンを選択すると、Azure AD DS リソースが、冗長性強化のために複数のゾーンに分散されます。If you choose a region that supports Availability Zones, the Azure AD DS resources are distributed across zones for additional redundancy.

    Availability Zones は、Azure リージョン内の一意の物理的な場所です。Availability Zones are unique physical locations within an Azure region. それぞれのゾーンは、独立した電源、冷却手段、ネットワークを備えた 1 つまたは複数のデータセンターで構成されています。Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. 回復性を確保するため、有効になっているリージョンにはいずれも最低 3 つのゾーンが別個に存在しています。To ensure resiliency, there's a minimum of three separate zones in all enabled regions.

    Azure AD DS を複数のゾーンに分散するために、ご自身で構成するものは何もありません。There's nothing for you to configure for Azure AD DS to be distributed across zones. Azure プラットフォームでは、ゾーンへのリソース分散が自動的に処理されます。The Azure platform automatically handles the zone distribution of resources. 詳細情報および利用可能なリージョンについては、「Azure の Availability Zones の概要」を参照してください。For more information and to see region availability, see What are Availability Zones in Azure?

  3. パフォーマンス、バックアップ頻度、作成できるフォレストの信頼の最大数は、SKU によって決まります。The SKU determines the performance, backup frequency, and maximum number of forest trusts you can create. マネージド ドメインの作成後、ビジネス上の需要や要件に変化が生じた場合は SKU を変更できます。You can change the SKU after the managed domain has been created if your business demands or requirements change. 詳細については、Azure AD DS SKU の概念に関するセクションを参照してください。For more information, see Azure AD DS SKU concepts.

    このチュートリアルでは、Standard SKU を選択します。For this tutorial, select the Standard SKU.

  4. "フォレスト" は、Active Directory Domain Services が 1 つまたは複数のドメインをグループ化するために使用する論理上の構成体です。A forest is a logical construct used by Active Directory Domain Services to group one or more domains. 既定では、マネージド ドメインは "ユーザー" フォレストとして作成されます。By default, a managed domain is created as a User forest. このタイプのフォレストでは、オンプレミスの AD DS 環境で作成されたユーザー アカウントも含め、Azure AD 内のすべてのオブジェクトが同期されます。This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment. "リソース" フォレストでは、Azure AD に直接作成されたユーザーとグループだけが同期されます。A Resource forest only synchronizes users and groups created directly in Azure AD. リソース フォレストは現在プレビュー段階です。Resource forests are currently in preview. リソース フォレストを使用する理由や、オンプレミスの AD DS ドメインを使用してフォレストの信頼を作成する方法など、"リソース" フォレストの詳細については、Azure AD DS リソース フォレストの概要に関するページを参照してください。For more information on Resource forests, including why you may use one and how to create forest trusts with on-premises AD DS domains, see Azure AD DS resource forests overview.

    このチュートリアルでは、"ユーザー" フォレストを作成します。For this tutorial, choose to create a User forest.

    Azure AD Domain Services マネージド ドメインの基本的な設定を構成する

マネージド ドメインをすばやく作成するには、 [確認および作成] を選択して、追加となる既定の構成オプションをそのまま使用します。To quickly create a managed domain, you can select Review + create to accept additional default configuration options. この作成オプションを選択した場合は、次の既定値が構成されます。The following defaults are configured when you choose this create option:

  • IP アドレス範囲 10.0.2.0/24 を使用する aadds-vnet という名前の仮想ネットワークを作成します。Creates a virtual network named aadds-vnet that uses the IP address range of 10.0.2.0/24.
  • IP アドレス範囲 10.0.2.0/24 を使用して、aadds-subnet という名前のサブネットを作成します。Creates a subnet named aadds-subnet using the IP address range of 10.0.2.0/24.
  • Azure AD の "すべて" のユーザーをマネージド ドメインに同期させます。Synchronizes All users from Azure AD into the managed domain.

[確認および作成] を選択して、これらの既定の構成オプションをそのまま使用します。Select Review + create to accept these default configuration options.

マネージド ドメインをデプロイするDeploy the managed domain

ウィザードの [概要] ページで、マネージド ドメインの構成設定を確認します。On the Summary page of the wizard, review the configuration settings for the managed domain. ウィザードの任意の手順に戻り、変更を加えることができます。You can go back to any step of the wizard to make changes. これらの構成オプションを使用し、マネージド ドメインを一貫した方法で別の Azure AD テナントに再デプロイしたければ、Automation のテンプレートをダウンロードすることもできます。To redeploy a managed domain to a different Azure AD tenant in a consistent way using these configuration options, you can also Download a template for automation.

  1. マネージド ドメインを作成するには、 [作成] を選択します。To create the managed domain, select Create. Azure AD DS のマネージド ドメインの作成後は特定の構成オプション (DNS 名、仮想ネットワークなど) を変更できないという注意が表示されます。A note is displayed that certain configuration options such as DNS name or virtual network can't be changed once the Azure AD DS managed has been created. 続行するには、 [OK] を選択します。To continue, select OK.

  2. マネージド ドメインのプロビジョニングのプロセスは、最大で 1 時間かかることがあります。The process of provisioning your managed domain can take up to an hour. Azure AD DS のデプロイの進行状況を示す通知がポータルに表示されます。A notification is displayed in the portal that shows the progress of your Azure AD DS deployment. 通知を選択すると、デプロイの詳細な進行状況が表示されます。Select the notification to see detailed progress for the deployment.

    デプロイが進行中であることを示す Azure portal の通知

  3. ディレクトリに新しいリソースが作成されたなど、デプロイ プロセスに関する最新情報がページに読み込まれます。The page will load with updates on the deployment process, including the creation of new resources in your directory.

  4. リソース グループ (例: myResourceGroup) を選択し、Azure リソースの一覧からマネージド ドメイン (例: aaddscontoso.com) を選択します。Select your resource group, such as myResourceGroup, then choose your managed domain from the list of Azure resources, such as aaddscontoso.com. [概要] タブでは、マネージド ドメインが現在 "デプロイ中" であることが示されます。The Overview tab shows that the managed domain is currently Deploying. 完全にプロビジョニングされるまで、マネージド ドメインを構成することはできません。You can't configure the managed domain until it's fully provisioned.

    Domain Services の状態 (プロビジョニング中)

  5. マネージド ドメインが完全にプロビジョニングされると、 [概要] タブには、ドメインの状態が [実行中] であることが示されます。When the managed domain is fully provisioned, the Overview tab shows the domain status as Running.

    Domain Services の状態 (プロビジョニングの正常完了後)

マネージド ドメインは、Azure AD テナントに関連付けられています。The managed domain is associated with your Azure AD tenant. プロビジョニング プロセスの間に、Domain Controller ServicesAzureActiveDirectoryDomainControllerServices という 2 つのエンタープライズ アプリケーションが、Azure AD DS によって Azure AD テナントに作成されます。During the provisioning process, Azure AD DS creates two Enterprise Applications named Domain Controller Services and AzureActiveDirectoryDomainControllerServices in the Azure AD tenant. これらのエンタープライズ アプリケーションは、マネージド ドメインのサービスを提供するために使用されます。These Enterprise Applications are needed to service your managed domain. これらのアプリケーションは削除しないでください。Don't delete these applications.

Azure 仮想ネットワークの DNS 設定を更新するUpdate DNS settings for the Azure virtual network

Azure AD DS のデプロイに成功したら、接続された他の VM やアプリケーションがマネージド ドメインを使用できるように仮想ネットワークを構成します。With Azure AD DS successfully deployed, now configure the virtual network to allow other connected VMs and applications to use the managed domain. この接続性を確保するには、Azure AD DS のデプロイ先である 2 つの IP アドレスを指すように仮想ネットワークの DNS サーバー設定を更新します。To provide this connectivity, update the DNS server settings for your virtual network to point to the two IP addresses where Azure AD DS is deployed.

  1. マネージド ドメインの [概要] タブに、必要な構成手順がいくつか表示されます。The Overview tab for your managed domain shows some Required configuration steps. 最初の構成手順は、仮想ネットワークの DNS サーバー設定を更新することです。The first configuration step is to update DNS server settings for your virtual network. DNS 設定が正しく構成されると、この手順は表示されなくなります。Once the DNS settings are correctly configured, this step is no longer shown.

    列挙されているアドレスは、仮想ネットワークで使用するためのドメイン コントローラーです。The addresses listed are the domain controllers for use in the virtual network. この例では、10.0.2.410.0.2.5 がそれらのアドレスに該当します。In this example, those addresses are 10.0.2.4 and 10.0.2.5. これらの IP アドレスは、後から [プロパティ] タブで確認できます。You can later find these IP addresses on the Properties tab.

    Azure AD Domain Services の IP アドレスを使用して仮想ネットワークの DNS 設定を構成する

  2. 仮想ネットワークの DNS サーバー設定を更新するには、 [構成] ボタンを選択します。To update the DNS server settings for the virtual network, select the Configure button. 仮想ネットワークの DNS 設定が自動的に構成されます。The DNS settings are automatically configured for your virtual network.

Tip

前の手順で既存の仮想ネットワークを選択した場合、ネットワークに接続された VM が新しい DNS 設定を取得するのは、再起動後となります。If you selected an existing virtual network in the previous steps, any VMs connected to the network only get the new DNS settings after a restart. VM の再起動は、Azure portal、Azure PowerShell、または Azure CLI を使用して行うことができます。You can restart VMs using the Azure portal, Azure PowerShell, or the Azure CLI.

Azure AD DS のユーザー アカウントを有効にするEnable user accounts for Azure AD DS

Azure AD DS でマネージド ドメインのユーザーを認証するためには、NT LAN Manager (NTLM) 認証および Kerberos 認証に適した形式のパスワード ハッシュが必要となります。To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. NTLM 認証と Kerberos 認証に必要な形式のパスワード ハッシュは、ご利用のテナントに対して Azure AD DS を有効にするまで、Azure AD で生成または保存されることはありません。Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Azure AD に保存されることもありません。For security reasons, Azure AD also doesn't store any password credentials in clear-text form. そのため、こうした NTLM または Kerberos のパスワード ハッシュをユーザーの既存の資格情報に基づいて Azure AD が自動的に生成することはできません。Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Note

適切に構成されれば、使用可能なパスワード ハッシュがマネージド ドメインに保存されます。Once appropriately configured, the usable password hashes are stored in the managed domain. マネージド ドメインを削除した場合、その時点で保存されていたパスワード ハッシュがあればすべて削除されます。If you delete the managed domain, any password hashes stored at that point are also deleted. マネージド ドメインを後から作成した場合、Azure AD にある同期済みの資格情報は再利用できません。パスワード ハッシュを再度保存するには、パスワード ハッシュ同期を再構成する必要があります。Synchronized credential information in Azure AD can't be re-used if you later create a managed domain - you must reconfigure the password hash synchronization to store the password hashes again. 既にドメイン参加済みの VM またはユーザーがすぐに認証を行うことはできません。Azure AD が、新しいマネージド ドメインにパスワード ハッシュを生成して保存する必要があります。Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new managed domain. 詳細については、Azure AD DS と Azure AD Connect のパスワード ハッシュ同期プロセスに関するセクションを参照してください。For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

Azure AD に作成されたユーザー アカウントがクラウド専用のアカウントであるか、オンプレミス ディレクトリとの間で Azure AD Connect を使って同期されたアカウントであるかによって、パスワード ハッシュの生成と保存の手順は異なります。The steps to generate and store these password hashes are different for cloud-only user accounts created in Azure AD versus user accounts that are synchronized from your on-premises directory using Azure AD Connect. クラウド専用ユーザー アカウントとは、Azure Portal または Azure AD PowerShell コマンドレットを使って Azure AD ディレクトリに作成されたアカウントです。A cloud-only user account is an account that was created in your Azure AD directory using either the Azure portal or Azure AD PowerShell cmdlets. そのようなユーザー アカウントは、オンプレミス ディレクトリとの間で同期されません。These user accounts aren't synchronized from an on-premises directory. このチュートリアルでは、基本的なクラウド専用ユーザー アカウントを使用することにします。In this tutorial, let's work with a basic cloud-only user account. Azure AD Connect を使用するために別途必要な手順の詳細については、オンプレミス AD からマネージド ドメインに同期されたユーザー アカウントのパスワード ハッシュを同期する方法に関するページを参照してください。For more information on the additional steps required to use Azure AD Connect, see Synchronize password hashes for user accounts synced from your on-premises AD to your managed domain.

Tip

Azure AD テナントにクラウド専用ユーザーとオンプレミス AD からのユーザーが混在している場合は、両方の手順を実行する必要があります。If your Azure AD tenant has a combination of cloud-only users and users from your on-premises AD, you need to complete both sets of steps.

クラウド専用ユーザー アカウントの場合、ユーザーは Azure AD DS を使用する前に各自のパスワードを変更する必要があります。For cloud-only user accounts, users must change their passwords before they can use Azure AD DS. このパスワード変更プロセスによって、Kerberos 認証と NTLM 認証に使用されるパスワード ハッシュが Azure AD に生成されて保存されます。This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. パスワードが変更されるまで、アカウントは Azure AD から Azure AD DS に同期されません。The account isn't synchronized from Azure AD to Azure AD DS until the password is changed. テナント内のクラウド ユーザーのうち、Azure AD DS を使用する必要がある全ユーザーのパスワードを期限切れにして、次回のサインイン時にパスワードの変更を強制するか、または、各自のパスワードを手動で変更するようクラウド ユーザーに指示してください。Either expire the passwords for all cloud users in the tenant who need to use Azure AD DS, which forces a password change on next sign-in, or instruct cloud users to manually change their passwords. このチュートリアルでは、ユーザー パスワードを手動で変更しましょう。For this tutorial, let's manually change a user password.

ユーザーが自分のパスワードをリセットできるように、あらかじめ Azure AD テナントをセルフサービス パスワード リセット 用に構成しておく必要があります。Before a user can reset their password, the Azure AD tenant must be configured for self-service password reset.

クラウド専用ユーザーのパスワードを変更するには、ユーザーが次の手順を実行する必要があります。To change the password for a cloud-only user, the user must complete the following steps:

  1. Azure AD アクセス パネルのページ (https://myapps.microsoft.com) に移動します。Go to the Azure AD Access Panel page at https://myapps.microsoft.com.

  2. 右上隅にあるご自身の名前を選択し、ドロップダウン メニューから [プロファイル] を選択します。In the top-right corner, select your name, then choose Profile from the drop-down menu.

    プロファイルの選択

  3. [プロファイル] ページの [パスワードの変更] を選択します。On the Profile page, select Change password.

  4. [パスワードの変更] ページで既存の (古い) パスワードを入力した後、新しいパスワードを入力して、それを確認します。On the Change password page, enter your existing (old) password, then enter and confirm a new password.

  5. [Submit](送信) をクリックします。Select Submit.

パスワードの変更後、Azure AD DS で新しいパスワードを使用したり、マネージド ドメインに参加しているコンピューターに正常にサインインしたりできるようになるまでには数分かかります。It takes a few minutes after you've changed your password for the new password to be usable in Azure AD DS and to successfully sign in to computers joined to the managed domain.

次のステップNext steps

このチュートリアルでは、以下の内容を学習しました。In this tutorial, you learned how to:

  • マネージド ドメインの DNS の要件を理解するUnderstand DNS requirements for a managed domain
  • マネージド ドメインの作成Create a managed domain
  • 管理ユーザーをドメイン管理に追加するAdd administrative users to domain management
  • Azure AD DS のユーザー アカウントを有効にしてパスワード ハッシュを生成するEnable user accounts for Azure AD DS and generate password hashes

VM をドメインに参加させて、マネージド ドメインを使用するアプリケーションをデプロイする前に、アプリケーション ワークロード用の Azure 仮想ネットワークを構成します。Before you domain-join VMs and deploy applications that use the managed domain, configure an Azure virtual network for application workloads.