Microsoft Entra Domain Services でのユーザー アカウント、パスワード、および管理の管理の概念
Microsoft Entra Domain Services のマネージド ドメインを作成して実行するときに、従来のオンプレミス AD DS 環境と比べていくつかの動作の違いがあります。 Domain Services でも自己管理型のドメインと同じ管理ツールを使用しますが、ドメイン コントローラー (DC) に直接アクセスすることはできません。 また、ユーザー アカウントの作成元よって、パスワード ポリシーとパスワード ハッシュの動作に違いがあります。
この概念に関する記事では、マネージド ドメインの管理方法と、ユーザー アカウントの作成方法に応じたさまざまな動作について説明します。
ドメインの管理
マネージド ドメインは、DNS 名前空間および対応するディレクトリです。 マネージド ドメインでは、ユーザーとグループ、資格情報、ポリシーなどのすべてのリソースを含むドメイン コントローラー (DC) は、マネージド サービスの一部です。 冗長性を確保するために、マネージド ドメインの一部として 2 つの DC が作成されます。 これらの DC にサインインして管理タスクを実行することはできません。 代わりに、マネージド ドメインに参加している管理 VM を作成してから、通常の AD DS 管理ツールをインストールします。 たとえば、DNS やグループ ポリシー オブジェクトなどの Active Directory 管理センターまたは Microsoft 管理コンソール (MMC) スナップインを使用できます。
ユーザー アカウントの作成
ユーザー アカウントは、複数の方法でマネージド ドメインに作成できます。 ほとんどのユーザー アカウントは Microsoft Entra ID から同期されます。これには、オンプレミスの AD DS 環境から同期されたユーザー アカウントも含まれます。 マネージド ドメインにアカウントを手動で直接作成することもできます。 初期パスワードの同期やパスワード ポリシーなどの一部の機能は、ユーザー アカウントの作成方法と作成場所に応じて異なる動作をします。
- ユーザー アカウントは Microsoft Entra ID から同期できます。 これには、Microsoft Entra ID で直接作成されたクラウド専用のユーザー アカウントと、Microsoft Entra Connect を使用してオンプレミスの AD DS 環境から同期されたハイブリッド ユーザー アカウントが含まれます。
- マネージド ドメインのほぼすべてのユーザー アカウントは、Microsoft Entra ID からの同期プロセスを通じて作成されます。
- ユーザー アカウントはマネージド ドメインに手動で作成することができ、Microsoft Entra ID には存在しません。
- マネージド ドメインでのみ実行されるアプリケーションのサービス アカウントを作成する必要がある場合は、マネージド ドメインに手動で作成できます。 同期は Microsoft Entra ID から一方向で行われるため、マネージド ドメインに作成されたユーザー アカウントは Microsoft Entra ID には同期されません。
パスワード ポリシー
Domain Services には、アカウントのロックアウト、パスワードの最大有効期間、パスワードの複雑さなどの設定を定義する既定のパスワード ポリシーが含まれています。 アカウントのロックアウト ポリシーなどの設定は、前のセクションで説明したように、ユーザーの作成方法に関係なく、マネージド ドメイン内のすべてのユーザーに適用されます。 パスワードの最小長やパスワードの複雑さなどの一部の設定は、マネージド ドメインに直接作成されたユーザーにのみ適用されます。
独自のカスタム パスワード ポリシーを作成して、マネージド ドメインの既定のポリシーを上書きすることができます。 これらのカスタム ポリシーは、必要に応じて特定のユーザー グループに適用できます。
ユーザーの作成元で異なるパスワード ポリシーの適用方法の詳細については、「マネージド ドメインに関するパスワードとアカウントのロックアウト ポリシー」を参照してください。
パスワード ハッシュ
Domain Services でマネージド ドメインのユーザーを認証するためには、NT LAN Manager (NTLM) 認証および Kerberos 認証に適した形式のパスワード ハッシュが必要となります。 NTLM 認証と Kerberos 認証に必要な形式のパスワード ハッシュは、ご利用のテナントに対して Domain Services を有効にするまで、Microsoft Entra ID で生成または保存されることはありません。 また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Microsoft Entra ID に保存されることもありません。 そのため、Microsoft Entra ID では、ユーザーの既存の資格情報に基づいて、これらの NTLM やKerberos のパスワード ハッシュを自動的に生成することはできません。
クラウド専用ユーザー アカウントの場合、ユーザーはマネージド ドメインを使用する前に各自のパスワードを変更する必要があります。 このパスワード変更プロセスによって、Kerberos 認証と NTLM 認証に使用されるパスワード ハッシュが Microsoft Entra ID に生成されて保存されます。 パスワードが変更されるまで、アカウントは Microsoft Entra ID から Domain Services に同期されません。
Microsoft Entra Connect を使用してオンプレミスの AD DS 環境から同期されたユーザーについては、パスワード ハッシュの同期を有効にします。
重要
Microsoft Entra Connect では、Microsoft Entra テナントに対して Domain Services を有効にしたときに、レガシ パスワード ハッシュのみが同期されます。 Microsoft Entra Connect を使用してオンプレミス AD DS 環境と Microsoft Entra ID の同期しか行わない場合、レガシ パスワード ハッシュは使用されません。
レガシ アプリケーションが NTLM 認証または LDAP simple bind を使用していない場合は、Domain Services の NTLM パスワード ハッシュ同期を無効にすることをお勧めします。 詳しくは、「弱い暗号スイートと NTLM 資格情報ハッシュの同期を無効にする」をご覧ください。
適切に構成されれば、使用可能なパスワード ハッシュがマネージド ドメインに保存されます。 マネージド ドメインを削除した場合、その時点で保存されていたパスワード ハッシュがあればすべて削除されます。 別のマネージド ドメインを後から作成した場合、Microsoft Entra ID にある同期済みの資格情報は再利用できません。パスワード ハッシュを再度保存するには、パスワード ハッシュ同期を再構成する必要があります。 既にドメイン参加済みの VM またはユーザーがすぐに認証を行うことはできません。Microsoft Entra ID が、新しいマネージド ドメインにパスワード ハッシュを生成して保存する必要があります。 詳細については、Domain Services と Microsoft Entra Connect のパスワード ハッシュ同期プロセスに関する記事を参照してください。
重要
Microsoft Entra Connect は、オンプレミスの AD DS 環境との同期のためにのみインストールおよび構成する必要があります。 マネージド ドメインに Microsoft Entra Connect をインストールしてオブジェクトを Microsoft Entra ID に同期することはサポートされていません。
フォレストと信頼
"フォレスト" は、Active Directory Domain Services (AD DS) で 1 つまたは複数の "ドメイン" をグループ化するために使われる論理構造です。 ドメインには、ユーザーまたはグループのオブジェクトが格納され、認証サービスが提供されます。
Domain Services では、フォレストにはドメインが 1 つだけ含まれます。 多くの場合、オンプレミスの AD DS フォレストには多数のドメインが含まれます。 大規模な組織では、特に合併や買収の後に、複数のオンプレミス フォレストが存在し、各フォレストにそれぞれ複数のドメインが含まれている場合があります。
既定では、マネージド ドメインは、オンプレミスの AD DS 環境で作成されたすべてのユーザー アカウントを含め、Microsoft Entra ID からすべてのオブジェクトを同期します。 ドメインに参加している VM へのサインインなどのために、マネージド ドメインに対してユーザー アカウントを直接認証できます。 この方法が機能するのは、パスワード ハッシュの同期が可能で、ユーザーがスマート カード認証などの専用サインイン方法を使用していない場合です。
Domain Services では、ユーザーがオンプレミスの AD DS からサインインできるように、一方向のフォレスト信頼を作成することもできます。 この方法では、ユーザー オブジェクトとパスワード ハッシュが Domain Services に同期されません。 ユーザー オブジェクトと資格情報は、オンプレミスの AD DS にのみ存在します。 このアプローチを使用すると、企業は、LDAPS、Kerberos、NTLM などの従来の認証に依存するリソースとアプリケーション プラットフォームを Azure でホストでき、一方で認証に関する問題や懸念事項が取り除かれます。
Domain Services の SKU
Domain Services では、使用可能なパフォーマンスと機能は SKU に基づいています。 マネージド ドメインを作成するときに SKU を選択する必要があり、マネージド ドメインのデプロイ後にビジネス要件が変更されたときに SKU を切り替えることができます。 次の表に、使用可能な SKU とそれらの違いを示します。
| SKU 名 | オブジェクトの最大数 | バックアップ頻度 |
|---|---|---|
| Standard | 無制限 | 5 日ごと |
| Enterprise | 無制限 | 3 日ごと |
| Premium | 無制限 | 毎日 |
これらの Domain Services SKU の前は、マネージド ドメイン内のオブジェクト (ユーザー アカウントとコンピューター アカウント) の数に基づく課金モデルが使用されていました。 ドメイン ドメイン内のオブジェクトの数に基づいて変化する価格設定はもう存在しません。
詳細については、Domain Services の価格ページを参照してください。
マネージド ドメインのパフォーマンス
ドメインのパフォーマンスは、アプリケーションに対する認証の実装方法によって異なります。 追加のコンピューティング リソースにより、クエリの応答時間が短縮され、同期操作にかかる時間が短縮される場合があります。 SKU レベルが増加すると、マネージド ドメインで使用できるコンピューティング リソースが増加します。 アプリケーションのパフォーマンスを監視し、必要なリソースを計画してください。
ビジネスまたはアプリケーションの需要が変化し、マネージド ドメイン用の追加のコンピューティング パワーが必要な場合は、別の SKU に切り替えることができます。
バックアップ頻度
バックアップの頻度によって、マネージド ドメインのスナップショットが取得される頻度が決まります。 バックアップは、Azure プラットフォームによって管理される自動化されたプロセスです。 マネージド ドメインに問題が発生した場合は、Azure サポートによるバックアップからの復元の支援を受けることができます。 同期は Microsoft Entra ID から一方向のみで行われるため、マネージド ドメインで問題が発生しても Microsoft Entra ID およびオンプレミスの AD DS の環境や機能には影響しません。
SKU レベルが増加するにつれて、それらのバックアップ スナップショットの頻度が増加します。 ビジネス要件と目標復旧時点 (RPO) を確認して、マネージド ドメインで必要なバックアップの頻度を決定します。 ビジネス要件やアプリケーション要件が変更され、頻繁にバックアップが必要になった場合は、別の SKU に切り替えることができます。
次のステップ
開始するには、Domain Services マネージド ドメインを作成します。