Active Directory Domain Services (AD DS) マネージド ドメインの組織単位 (OU) を使用すると、ユーザー アカウント、サービス アカウント、コンピューター アカウントなどのオブジェクトを論理的にグループ化できます。 その後、特定の OU に管理者を割り当て、グループ ポリシーを適用して対象の構成設定を適用できます。
Domain Services マネージド ドメインには、次の 2 つの組み込み OU が含まれます。
- AADDC コンピューター - マネージド ドメインに参加しているすべてのコンピューターのコンピューター オブジェクトが含まれます。
- AADDC ユーザー - Microsoft Entra テナントから同期されたユーザーとグループが含まれます。
Domain Services を使用するワークロードを作成して実行する際に、アプリケーションが自身を認証するためのサービス アカウントを作成することが必要になる場合があります。 これらのサービス アカウントを整理するには、多くの場合、マネージド ドメインにカスタム OU を作成し、その OU 内にサービス アカウントを作成します。
ハイブリッド環境では、オンプレミスの AD DS 環境で作成された OU はマネージド ドメインに同期されません。 マネージド ドメインでは、フラットな OU 構造が使用されます。 階層的な OU 構造を構成した場合でも、異なるオンプレミスドメインまたはフォレストから同期されているにもかかわらず、すべてのユーザー アカウントとグループは AADDC Users コンテナーに格納されます。
この記事では、マネージド ドメインに OU を作成する方法について説明します。
開始する前に
この記事を完了するには、以下のリソースと特権が必要です。
- 有効な Azure サブスクリプション。
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
- ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
- Microsoft Entra テナント内の Microsoft Entra Domain Services マネージド ドメインが有効化および構成されています。
- 必要に応じて、Microsoft Entra Domain Services マネージド ドメインを作成して構成するチュートリアルを完了します。
- Domain Services マネージド ドメインに参加している Windows Server 管理 VM。
- 必要に応じて、チュートリアルを完了して 管理 VM を作成します。
- Microsoft Entra テナントの Microsoft Entra DC 管理者グループのメンバーであるユーザー アカウント。
カスタム OU の考慮事項と制限事項
マネージド ドメインでカスタム OU を作成すると、ユーザー管理とグループ ポリシーの適用に対する管理の柔軟性が向上します。 オンプレミスの AD DS 環境と比較して、マネージド ドメインでカスタム OU 構造を作成および管理する際には、いくつかの制限事項と考慮事項があります。
- カスタム OU を作成するには、ユーザーが AAD DC Administrators グループのメンバーである必要があります。
- カスタム OU を作成するユーザーには、その OU に対する管理特権 (フル コントロール) が付与され、リソース所有者になります。
- 既定では、 AAD DC Administrators グループもカスタム OU を完全に制御できます。
-
AADDC ユーザーの既定の OU が作成され、Microsoft Entra テナントから同期されたすべてのユーザー アカウントが含まれます。
- AADDC Users OU から作成したカスタム OU にユーザーまたはグループを移動することはできません。 カスタム OU に移動できるのは、マネージド ドメインで作成されたユーザー アカウントまたはリソースだけです。
- カスタム OU で作成したユーザー アカウント、グループ、サービス アカウント、およびコンピューター オブジェクトは、Microsoft Entra テナントでは使用できません。
- これらのオブジェクトは、Microsoft Graph API または Microsoft Entra UI を使用して表示されません。これらはマネージド ドメインでのみ使用できます。
カスタム OU を作成する
カスタム OU を作成するには、ドメインに参加している VM から Active Directory 管理ツールを使用します。 Active Directory 管理センターを使用すると、OU を含むマネージド ドメイン内のリソースを表示、編集、作成できます。
注
マネージド ドメインにカスタム OU を作成するには、 AAD DC Administrators グループのメンバーであるユーザー アカウントにサインインする必要があります。
管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する手順については、「 Windows Server VM への接続」を参照してください。
[スタート] 画面で、[管理ツール] 選択します。 使用可能な管理ツールの一覧は、 管理 VM を作成するためのチュートリアルにインストールされています。
OU を作成して管理するには、管理ツールの一覧から Active Directory 管理センター を選択します。
左側のウィンドウで、マネージド ドメイン ( aaddscontoso.com など) を選択します。 既存の OU とリソースの一覧が表示されます。
[タスク] ウィンドウが Active Directory 管理センターの右側に表示されます。 aaddscontoso.com などのドメインで、[ 新しい > 組織単位] を選択します。
[組織単位の作成] ダイアログで、MyCustomOu などの新しい OU の名前を指定します。 サービス アカウントのカスタム OU など、OU の簡単な説明を入力します。 必要に応じて、OU の [管理対象 ] フィールドを設定することもできます。 カスタム OU を作成するには、[ OK] を選択します。
Active Directory 管理センターに戻ると、カスタム OU が一覧表示され、使用できるようになります。
次のステップ
管理ツールの使用またはサービス アカウントの作成と使用の詳細については、次の記事を参照してください。