次の方法で共有


Microsoft Entra Domain Services マネージド ドメインに組織単位 (OU) を作成する

Active Directory Domain Services (AD DS) マネージド ドメインの組織単位 (OU) を使用すると、ユーザー アカウント、サービス アカウント、コンピューター アカウントなどのオブジェクトを論理的にグループ化できます。 その後、特定の OU に管理者を割り当て、グループ ポリシーを適用して対象の構成設定を適用できます。

Domain Services マネージド ドメインには、次の 2 つの組み込み OU が含まれます。

  • AADDC コンピューター - マネージド ドメインに参加しているすべてのコンピューターのコンピューター オブジェクトが含まれます。
  • AADDC ユーザー - Microsoft Entra テナントから同期されたユーザーとグループが含まれます。

Domain Services を使用するワークロードを作成して実行する際に、アプリケーションが自身を認証するためのサービス アカウントを作成することが必要になる場合があります。 これらのサービス アカウントを整理するには、多くの場合、マネージド ドメインにカスタム OU を作成し、その OU 内にサービス アカウントを作成します。

ハイブリッド環境では、オンプレミスの AD DS 環境で作成された OU はマネージド ドメインに同期されません。 マネージド ドメインでは、フラットな OU 構造が使用されます。 階層的な OU 構造を構成した場合でも、異なるオンプレミスドメインまたはフォレストから同期されているにもかかわらず、すべてのユーザー アカウントとグループは AADDC Users コンテナーに格納されます。

この記事では、マネージド ドメインに OU を作成する方法について説明します。

開始する前に

この記事を完了するには、以下のリソースと特権が必要です。

カスタム OU の考慮事項と制限事項

マネージド ドメインでカスタム OU を作成すると、ユーザー管理とグループ ポリシーの適用に対する管理の柔軟性が向上します。 オンプレミスの AD DS 環境と比較して、マネージド ドメインでカスタム OU 構造を作成および管理する際には、いくつかの制限事項と考慮事項があります。

  • カスタム OU を作成するには、ユーザーが AAD DC Administrators グループのメンバーである必要があります。
  • カスタム OU を作成するユーザーには、その OU に対する管理特権 (フル コントロール) が付与され、リソース所有者になります。
    • 既定では、 AAD DC Administrators グループもカスタム OU を完全に制御できます。
  • AADDC ユーザーの既定の OU が作成され、Microsoft Entra テナントから同期されたすべてのユーザー アカウントが含まれます。
    • AADDC Users OU から作成したカスタム OU にユーザーまたはグループを移動することはできません。 カスタム OU に移動できるのは、マネージド ドメインで作成されたユーザー アカウントまたはリソースだけです。
  • カスタム OU で作成したユーザー アカウント、グループ、サービス アカウント、およびコンピューター オブジェクトは、Microsoft Entra テナントでは使用できません。
    • これらのオブジェクトは、Microsoft Graph API または Microsoft Entra UI を使用して表示されません。これらはマネージド ドメインでのみ使用できます。

カスタム OU を作成する

カスタム OU を作成するには、ドメインに参加している VM から Active Directory 管理ツールを使用します。 Active Directory 管理センターを使用すると、OU を含むマネージド ドメイン内のリソースを表示、編集、作成できます。

マネージド ドメインにカスタム OU を作成するには、 AAD DC Administrators グループのメンバーであるユーザー アカウントにサインインする必要があります。

  1. 管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する手順については、「 Windows Server VM への接続」を参照してください。

  2. [スタート] 画面で、[管理ツール] 選択します。 使用可能な管理ツールの一覧は、 管理 VM を作成するためのチュートリアルにインストールされています。

  3. OU を作成して管理するには、管理ツールの一覧から Active Directory 管理センター を選択します。

  4. 左側のウィンドウで、マネージド ドメイン ( aaddscontoso.com など) を選択します。 既存の OU とリソースの一覧が表示されます。

    Active Directory 管理センターでマネージド ドメインを選択する

  5. [タスク] ウィンドウが Active Directory 管理センターの右側に表示されます。 aaddscontoso.com などのドメインで、[ 新しい > 組織単位] を選択します。

    Active Directory 管理センターで新しい OU を作成するオプションを選択します

  6. [組織単位の作成] ダイアログで、MyCustomOu などの新しい OU の名前を指定します。 サービス アカウントのカスタム OU など、OU の簡単な説明を入力します。 必要に応じて、OU の [管理対象 ] フィールドを設定することもできます。 カスタム OU を作成するには、[ OK] を選択します

    Active Directory 管理センターからカスタム OU を作成する

  7. Active Directory 管理センターに戻ると、カスタム OU が一覧表示され、使用できるようになります。

    Active Directory 管理センターで使用できるカスタム OU

次のステップ

管理ツールの使用またはサービス アカウントの作成と使用の詳細については、次の記事を参照してください。