Microsoft Entra Domain Services を実装して構成する
クラウド専用の Microsoft Entra ID を使用する組織は、Azure VNet に対して Microsoft Entra Domain Services を有効にした後に、新しいマネージド ドメインを取得できます。 Microsoft Entra ID のユーザーとグループは、新しく作成されたドメインで使用でき、このドメインには、グループ ポリシー、Kerberos プロトコル、LDAP サポートを含め、オンプレミスの AD DS と同様のディレクトリ サービスがあります。
Windows を実行している Azure VM を新しく作成したドメインに参加させることができます。また、基本的なグループ ポリシー設定を使用して、それらの VM を管理することができます。 Microsoft Entra Domain Services を有効にすることで、NTLM および Kerberos 認証に必要な資格情報ハッシュが Microsoft Entra ID 内に保存されます。
Contoso はハイブリッド組織であるため、Microsoft Entra Connect を使用することで、オンプレミスの AD DS の ID を Microsoft Entra Domain Services と統合することができます。 ハイブリッド組織内のユーザーは、オンプレミス インフラストラクチャ内のドメインベース リソースにアクセスする場合や、Microsoft Entra Domain Services と統合される Azure 仮想ネットワークで実行される VM からリソースにアクセスする場合に、同じエクスペリエンスを実現できます。
Microsoft Entra Domain Services を実装する
Microsoft Entra Domain Services を実装して構成し使用するには、Microsoft Entra サブスクリプション上に Microsoft Entra テナントを作成する必要があります。 さらに、Microsoft Entra Domain Services を使用するには、Microsoft Entra Connect でパスワード ハッシュ同期をデプロイする必要があります。 これが必要なのは、Microsoft Entra Domain Services が NTLM と Kerberos 認証を提供するためにユーザーの資格情報が必要になるためです。
テナントに対して Microsoft Entra Domain Services を有効にする場合は、このサービスに対して使用する DNS ドメイン名を選択する必要があります。 オンプレミス環境と同期するドメインも選択する必要があります。
注意事項
既存の Azure またはオンプレミスの DNS ドメイン名空間は使用しないでください。
次の表では、使用可能な DNS ドメイン名オプションについて説明します。
| オプション | 説明 |
|---|---|
| 組み込みドメイン名 | 既定では、ディレクトリの組み込みドメイン名が使用されます (.onmicrosoft.com サフィックス)。 マネージド ドメインに対するインターネット経由での Secure LDAP アクセスを有効にしたい場合、デジタル証明書を作成して、この既定のドメインとの接続をセキュリティで保護することはできません。 .onmicrosoft.com ドメインを所有するのは Microsoft であるため、証明機関 (CA) からは証明書が発行されません。 |
| カスタム ドメイン名 | 最も一般的な方法は、カスタム ドメイン名を指定することです。一般に、貴社が既に所有していて、なおかつルーティング可能なものを指定します。 ルーティング可能なカスタム ドメインを使用すれば、ご利用のアプリケーションをサポートするために必要なトラフィックを正しく送信することができます。 |
| ルーティング不可能なドメインのサフィックス | 一般に、ルーティング不可能なドメイン名サフィックス (contoso.local など) は避けることをお勧めします。 .local サフィックスはルーティング可能ではないため、DNS 解決で問題が発生することがあります。 |
ヒント
場合によっては、環境内の他のサービス用に追加で DNS レコードを作成したり、環境内に既に存在する 2 つの DNS 名前空間の間に条件付き DNS フォワーダーを作成したりすることが必要な場合があります。
![Azure portal の Microsoft Entra Domain Services ウィザードの [基本情報] タブのスクリーンショット。設定は次のように定義されています。リソース グループは ContosoResourceGroup、DNS ドメイン名は ContosoDemo.com、SKU は Enterprise です。](../../wwl-azure/implement-hybrid-identity-windows-server/media/m12-create-azure-adds.png)
実装時には、プロビジョニングするフォレストの種類も選択する必要があります。 "フォレスト" は、AD DS が 1 つまたは複数のドメインをグループ化するために使用する論理上の構成体です。 フォレストには、次の表に示すように、2 つの種類があります。
| フォレストの種類 | 説明 |
|---|---|
| User | このタイプのフォレストでは、オンプレミスの AD DS 環境で作成されたユーザー アカウントも含め、Microsoft Entra ID 内のすべてのオブジェクトが同期されます。 |
| リソース | この種類のフォレストは、Microsoft Entra ID 内に直接作成されたユーザーとグループだけを同期します。 |
次に、マネージド ドメインを作成する Azure の場所を選択する必要があります。 可用性ゾーンがサポートされているリージョンを選択すると、Microsoft Entra Domain Services リソースは、冗長性強化のために複数のゾーンに分散されます。
Note
Microsoft Entra Domain Services を複数のゾーンにわたって分散するように構成する必要はありません。 Azure プラットフォームでは、リソースのゾーン分散が自動的に管理されます。
このサービスを接続する VNet も選択する必要があります。 Microsoft Entra Domain Services はオンプレミスのリソースに対する機能を提供するため、ローカル環境と Azure 環境の間の VNet が必要です。
![Azure portal の Microsoft Entra Domain Services の作成ウィザードの [ネットワーク] タブのスクリーンショット。管理者が仮想ネットワークとサブネットの詳細を入力しました。](../../wwl-azure/implement-hybrid-identity-windows-server/media/m12-create-azure-adds-2.png)
プロビジョニング時に、Microsoft Entra Domain Services は Microsoft Entra テナントに 2 つのエンタープライズ アプリケーションを作成します。 これらのアプリケーションは、マネージド ドメインをサービスするために必要なため、これらのアプリケーションを削除しないでください。 エンタープライズ アプリケーションには次のものがあります。
- ドメイン コントローラー サービス。
- AzureActiveDirectoryDomainControllerServices。
Microsoft Entra Domain Services インスタンスをデプロイした後、他の接続された VM とアプリケーションがマネージド ドメインを使用できるように VNet を構成する必要があります。 この接続性を提供するには、Microsoft Entra Domain Services インスタンスに関連付けられた IP アドレスを指すように VNet の DNS サーバー設定を更新する必要があります。
マネージド ドメインでユーザーを認証するために、Microsoft Entra Domain Services では、NTLM および Kerberos 認証に適した形式のパスワード ハッシュが必要です。 テナントに対して Microsoft Entra Domain Services を有効にしない限り、Microsoft Entra ID により NTLM または Kerberos 認証に必要な形式のパスワード ハッシュが生成または保存されません。 また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Microsoft Entra ID に保存されることもありません。 そのため、Microsoft Entra ID では、ユーザーの既存の資格情報に基づいて、これらの NTLM やKerberos のパスワード ハッシュを自動的に生成することはできません。 使用可能なパスワード ハッシュが構成されると、それらが Microsoft Entra Domain Services マネージド ドメインに保存されます。
Note
Microsoft Entra Domain Services マネージド ドメインを削除した場合、その時点で保存されていたパスワード ハッシュもすべて削除されます。
Microsoft Entra Domain Services マネージド ドメインを後から作成した場合、Microsoft Entra ID 内の同期済みの資格情報は再利用できません。パスワード ハッシュを再度保存するためには、パスワード ハッシュ同期を再構成する必要があります。 それ以前にドメイン参加済みの VM またはユーザーがすぐに認証を行うことはできません。Microsoft Entra ID が、新しい Microsoft Entra Domain Services マネージド ドメインにパスワード ハッシュを生成して保存する必要があるためです。
Microsoft Entra ID に作成されたユーザー アカウントがクラウド専用のアカウントであるか、オンプレミス ディレクトリとの間で Microsoft Entra Connect を使って同期されたアカウントであるかによって、パスワード ハッシュの生成と保存の手順は異なります。 クラウド専用ユーザー アカウントは、Azure portal または Microsoft Graph の PowerShell コマンドレットを使用して Microsoft Entra ディレクトリに作成されたアカウントです。 そのようなユーザー アカウントは、オンプレミス ディレクトリとの間で同期されません。
クラウド専用ユーザー アカウントの場合、ユーザーは Microsoft Entra Domain Services を使用する前に自分のパスワードを変更する必要があります。 このパスワード変更プロセスによって、Kerberos 認証と NTLM 認証のためのパスワード ハッシュが Microsoft Entra ID 内で生成されて保存されます。 パスワードが変更されるまで、アカウントは Microsoft Entra ID から Microsoft Entra Domain Services に同期されません。 Microsoft Entra Domain Services を使用する必要があるテナント内の全クラウド ユーザーのパスワードを期限切れにして、次回のサインイン時にパスワードの変更を強制するか、自分のパスワードを手動で変更するようクラウド ユーザーに指示します。
ヒント
ユーザーが自分のパスワードをリセットできるように、あらかじめ Microsoft Entra テナントをセルフサービス パスワード リセット用に構成する必要があります。
追加の参考資料
さらに学習するには、次のドキュメントを参照してください。
- チュートリアル:詳細構成オプションを使用して Microsoft Entra Domain Services マネージド ドメインを作成して構成する。
- チュートリアル:Microsoft Entra Domain Services で、オンプレミス ドメインへの送信フォレスト信頼を作成する (プレビュー)
- Microsoft Entra Connect 同期を使用してパスワード ハッシュ同期を実装する。