Microsoft Entra Domain Services 環境で Windows Server 2019 を管理する
Microsoft Entra Domain Services では、ユーザー、アプリケーション、サービスで使用するためのマネージド ドメインが提供されます。 このようなアプローチにより、実行できる管理タスクや、マネージド ドメイン内で与えられる特権が一部変更されています。 これらのタスクやアクセス許可は、通常のオンプレミス AD DS 環境で使用した場合とは異なることがあります。
Note
Microsoft Entra Domain Services マネージド ドメイン上のドメイン コントローラーには、Microsoft リモート デスクトップを使って接続することはできません。
概要
AAD DC Administrators グループのメンバーには、Microsoft Entra Domain Services マネージド ドメインの特権が付与されます。 このため、これらの管理者はドメインで次のタスクを実行できます。
- マネージド ドメイン内のコンテナー AADDC Computers と AADDC Users に対して組み込みの GPO を構成する。
- マネージド ドメイン上で DNS を管理する。
- マネージド ドメイン上でカスタム OU を作成し、管理する。
- マネージド ドメインに参加しているコンピューターへの管理アクセスを取得する。
ただし、Microsoft Entra Domain Services マネージド ドメインはロックダウンされており、ユーザーには特定の管理タスクをそのドメインで完了する特権がありません。 次の例のいくつかは、実行 "できない" タスクです。
- マネージド ドメインのスキーマを拡張する。
- リモート デスクトップを使用してマネージド ドメインのドメイン コントローラーに接続する。
- マネージド ドメインにドメイン コントローラーを追加する。
- マネージド ドメインに対してドメイン管理者特権やエンタープライズ管理者特権を使用する。
Microsoft Entra Domain Services インスタンスを作成した後、コンピューターを Microsoft Entra Doメイン Services マネージド ドメインに参加させる必要があります。 このコンピューターは、Microsoft Entra Domain Services マネージド ドメインへの接続を提供する Azure VNet に接続されています。 Microsoft Entra Domain Services マネージド ドメインに参加するプロセスは、通常のオンプレミスの AD DS ドメインに参加する場合と同じです。 コンピューターが参加したら、Microsoft Entra Domain Services インスタンスを管理するためのツールをインストールする必要があります。
ヒント
コンピューターに安全に接続するには、Azure Bastion ホストを使用することを検討してください。 Azure Bastion を使用すると、マネージド ホストが VNet にデプロイされ、VM への Web ベースのリモート デスクトップ プロトコル (RDP) 接続または Secure Shell (SSH) 接続が可能になります。 VM にパブリック IP アドレスは不要であり、外部のリモート トラフィック向けにネットワーク セキュリティ グループの規則を開放する必要もありません。 VM には、Azure portal を使用して接続します。
Microsoft Entra Domain Services ドメインは、Active Directory 管理センター (ADAC) や Active Directory PowerShell など、オンプレミス AD DS 環境と同じ管理ツールを使用して管理します。 これらのツールは、Windows Server およびクライアント コンピューターのリモート サーバー管理ツール (RSAT) 機能の一部としてインストールできます。 その後、AAD DC Administrators グループのメンバーは、マネージド ドメインに参加しているコンピューターから、それらの Active Directory 管理ツールを使用して Microsoft Entra Domain Services マネージド ドメインをリモートから管理することができます。
ADAC の一般的な操作 (ユーザー アカウント パスワードのリセット、グループ メンバーシップの管理など) が利用できます。 ただし、これらの操作は、Microsoft Entra Domain Services マネージド ドメインに直接作成されたユーザーとグループに対してのみ機能します。 ID 情報は Microsoft Entra ID から Microsoft Entra Domain Services にのみ同期されます。Microsoft Entra Domain Services から Microsoft Entra ID への書き戻しはありません。 結果として、Microsoft Entra ID から同期されたユーザーのパスワードまたは管理対象グループ メンバーシップを変更し、それらの変更を同期して戻すことはできません。
Microsoft Entra Domain Services マネージド ドメインにおける一般的な操作については、管理ツールの一部としてインストールされる Windows PowerShell 用 Active Directory モジュールを使用して管理することもできます。
Microsoft Entra Domain Services のユーザー アカウントを有効にする
Microsoft Entra Domain Services では、マネージド ドメインでユーザーを認証するために、NTLM および Kerberos 認証に適した形式のパスワード ハッシュが必要です。 テナントに対して Microsoft Entra Domain Services を有効にしない限り、Microsoft Entra ID により NTLM または Kerberos 認証に必要な形式のパスワード ハッシュが生成または保存されません。 また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Microsoft Entra ID に保存されることもありません。 そのため、Microsoft Entra ID では、ユーザーの既存の資格情報に基づいて、これらの NTLM やKerberos のパスワード ハッシュを自動的に生成することはできません。
適切に構成されれば、使用可能なパスワード ハッシュが Microsoft Entra Domain Services マネージド ドメインに保存されます。
注意事項
このドメインを削除した場合、その時点で保存されていたパスワード ハッシュがあればすべて削除されます。
後で Microsoft Entra Domain Services マネージド ドメインを作成する場合、Microsoft Entra ID の同期された資格情報を再利用することはできません。 そのため、パスワード ハッシュを再度保存するように、パスワード ハッシュ同期を再構成する必要があります。 その場合でも、既にドメイン参加済みの VM またはユーザーがすぐに認証を行うことはできません。Microsoft Entra ID が、新しい Microsoft Entra Domain Services マネージド ドメインにパスワード ハッシュを生成して保存する必要があるためです。
Microsoft Entra ID に作成されたユーザー アカウントがクラウド専用のアカウントであるか、オンプレミス ディレクトリとの間で Microsoft Entra Connect を使って同期されたアカウントであるかによって、パスワード ハッシュの生成と保存の手順は異なります。 "クラウド専用" ユーザー アカウントは、Azure portal または Microsoft Graph の PowerShell コマンドレットを使用して Microsoft Entra ディレクトリに作成されるアカウントです。 そのようなユーザー アカウントは、オンプレミス ディレクトリとの間で同期されません。
クラウド専用ユーザー アカウントの場合、ユーザーは Microsoft Entra Domain Services を使用する前に各自のパスワードを変更する必要があります。 このパスワード変更プロセスによって、Kerberos 認証と NTLM 認証の両方に使用されるパスワード ハッシュが Microsoft Entra ID に生成されて保存されます。 パスワードが変更されるまで、アカウントは Microsoft Entra ID から Microsoft Entra Domain Services に同期されません。 このため、テナント内のクラウド ユーザーのうち、Microsoft Entra Domain Services を使用する必要がある全ユーザーのパスワードを期限切れにして、次回のサインイン時にパスワードの変更を強制するか、または、各自のパスワードを手動で変更するようクラウド ユーザーに指示してください。 ただし、クラウド ユーザーがパスワードをリセットするには、セルフサービスによるパスワードのリセットを有効にすることが必要になる場合があります。