編集

次の方法で共有


Microsoft Entra Domain Services に関するよくあるご質問 (FAQ)

このページでは、Microsoft Entra Domain Services に関するよくあるご質問にお答えします。

構成

1 つの Microsoft Entra ディレクトリに対して複数のマネージド ドメインを作成することはできますか?

いいえ。 Microsoft Entra Domain Services によって提供されるマネージド ドメインは、1 つの Microsoft Entra ディレクトリに対して 1 つのみ作成できます。

従来の仮想ネットワークで Microsoft Entra Domain Services を有効にすることはできますか?

従来の仮想ネットワークはサポートされていません。

詳細については、公式の非推奨に関する通知を参照してください。

Azure Resource Manager 仮想ネットワークで Microsoft Entra Domain Services を有効にすることはできますか?

はい。 Microsoft Entra Domain Services は、Azure Resource Manager 仮想ネットワークで有効にできます。 マネージド ドメインを作成する際に、従来の Azure 仮想ネットワークが使用できなくなりました。

Azure CSP (クラウド ソリューション プロバイダー) サブスクリプションで Microsoft Entra Domain Services を有効にすることはできますか?

はい。 詳しくは、Azure CSP サブスクリプションで Microsoft Entra Domain Services を有効にする方法に関する記事をご覧ください。

Microsoft Entra Domain Services をサブスクリプション内の複数の仮想ネットワークで利用することはできますか?

サービス自体は、このシナリオを直接サポートしていません。 マネージド ドメインは一度に 1 つの仮想ネットワークでのみ利用できます。 ただし、複数の仮想ネットワーク間で接続を構成して、Microsoft Entra Domain Services を他の仮想ネットワークに公開することはできます。 詳細については、VPN ゲートウェイを使用して Azure の仮想ネットワークを接続する方法または仮想ネットワーク ピアリングに関する記事を参照してください。

Microsoft Entra Domain Services マネージド ドメインにドメイン コントローラーを追加することはできますか?

いいえ。 Microsoft Entra Domain Services によって提供されるドメインは、マネージド ドメインです。 このドメインに対してドメイン コントローラーをプロビジョニング、構成、管理する必要はありません。 これらの管理アクティビティは、Microsoft からサービスとして提供されています。 そのため、マネージド ドメインにドメイン コントローラー (読み取り/書き込みまたは読み取り専用) をさらに追加することはできません。

Azure リージョンがオフラインになった場合、アプリケーションの回復のためにマネージド ドメインを別の Azure リージョンに拡張することはできますか?

はい。 同じ名前空間および構成をマネージド ドメインと共有するレプリカ セットを作成できます。 レプリカ セットは、Domain Services がサポートされている任意の Azure リージョンの、ピアリングされた任意の仮想ネットワークに追加できます。
詳細については、「Microsoft Entra Domain Services のレプリカ セットの概念と機能」を参照してください。

フェデレーション Microsoft Entra ディレクトリで、パスワード ハッシュ同期なしで Microsoft Entra Domain Services を有効にすることはできますか?

いいえ。 NTLM または Kerberos を使ってユーザーの認証を行うには、Microsoft Entra Domain Services でユーザー アカウントのパスワード ハッシュにアクセスする必要があります。 フェデレーション ディレクトリでは、パスワード ハッシュは Microsoft Entra ディレクトリに格納されません。 したがって、Microsoft Entra Domain Services は、このような Microsoft Entra ディレクトリでは機能しません。

ただし、パスワード ハッシュ同期に Microsoft Entra Connect を使用している場合は、パスワード ハッシュ値が Microsoft Entra ID に保存されるため、Microsoft Entra Domain Services を使用できます。

PowerShell を使用して Microsoft Entra Domain Services を有効にすることはできますか?

はい。 詳しくは、PowerShell を使って Microsoft Entra Domain Services を有効にする方法に関する記事をご覧ください。

Resource Manager テンプレートを使用して Microsoft Entra Domain Services を有効にすることはできますか?

はい。Resource Manager テンプレートを使用して Microsoft Entra Domain Services マネージド ドメインを作成できます。 テンプレートをデプロイする前に、Microsoft Entra 管理センターまたは PowerShell を使用して、管理用のサービス プリンシパルと Microsoft Entra グループを作成する必要があります。 Microsoft Entra 管理センターで Microsoft Entra Domain Services マネージド ドメインを作成する際は、他のデプロイでの使用のためテンプレートをエクスポートするオプションもあります。 詳しくは、Azure Resource Manager テンプレートを使用した Domain Services マネージド ドメインの作成に関する記事をご覧ください。

自分のディレクトリに招待したゲスト ユーザーが、Microsoft Entra Domain Services を使用することはできますか?

いいえ。 Microsoft Entra B2B 招待プロセスを使用して自身の Microsoft Entra ディレクトリに招待したゲスト ユーザーは、自身の Microsoft Entra Domain Services マネージド ドメインに同期されます。 ただし、これらのユーザーのパスワードが自身の Microsoft Entra ディレクトリに格納されることはありません。 そのため、Microsoft Entra Domain Services では、これらのユーザーの NTLM と Kerberos のハッシュを自身のマネージド ドメインに同期することはできません。 このようなユーザーは、サインインすることも、マネージド ドメインにコンピューターを参加させることもできません。

Domain Services とオンプレミス フォレストの間に、双方向のフォレストの信頼を作成することはできますか?

はい。双方向の信頼を作成できます。 また、一方向の送信信頼または一方向の受信信頼を作成して、ユーザーの認証とアクセスにおけるさまざまなシナリオをサポートすることもできます。 詳細については、「フォレスト信頼の作成」を参照してください。

Domain Services で、オンプレミスの子ドメインとの外部信頼の作成はサポートされていますか?

現在、Domain Services でサポートされているのはフォレストの信頼のみであり、外部ドメインの信頼はサポートされていません。

マネージド ドメインを移動することはできますか?

Domain Services マネージド ドメインを作成した後、それを別のサブスクリプション、リソース グループ、またはリージョンに移動することはできません。 リージョンを変更するには、回避策として移行先のリージョンに新しいレプリカ セットをデプロイすることが考えられます。 完了したら、不要なリージョンのレプリカ セットを削除します。 残りの設定の回避策として、PowerShell または Microsoft Entra 管理センターを使用してマネージド ドメインを削除し、必要な設定で再作成することができます。 マネージド ドメインの再作成中は、復元操作を実行できません。

Microsoft Entra Domain Services の既存のドメイン名を変更することはできますか?

いいえ。 Microsoft Entra Domain Services のマネージド ドメインを作成した後に、DNS ドメイン名を変更することはできません。 マネージド ドメインを作成する際は、DNS ドメイン名を慎重に選択してください。 DNS ドメイン名を選ぶ際の考慮事項については、Microsoft Entra Domain Services のマネージド ドメインの作成と構成に関するチュートリアルの記事をご覧ください。

Microsoft Entra Domain Services には高可用性オプションが含まれていますか?

はい。 Microsoft Entra Domain Services の各マネージド ドメインには、2 つのドメイン コントローラーが含まれています。 これらのドメイン コントローラーについては、お客様が管理または接続することはありません。これらはマネージド サービスの一部です。 Availability Zones をサポートするリージョンに Microsoft Entra Domain Services をデプロイすると、ドメイン コントローラーはゾーン間に分散されます。 Availability Zones をサポートしていないリージョンの場合、ドメイン コントローラーは可用性セット間に分散されます。 この分散に対する構成オプションや管理制御はありません。 詳細については、「Azure の仮想マシンの可用性オプション」を参照してください。

管理と操作

リモート デスクトップを使用してマネージド ドメインのドメイン コントローラーに接続することはできますか?

いいえ。 リモート デスクトップを使用してマネージド ドメインのドメイン コントローラーに接続するアクセス許可はありません。 Microsoft Entra DC 管理者グループのメンバーは、Active Directory 管理センター (ADAC) や AD PowerShell などの AD 管理ツールを使用して、マネージド ドメインを管理できます。 これらのツールは、リモート サーバー管理ツール機能を使用して、マネージド ドメインに参加している Windows サーバーにインストールされます。 詳しくは、「Microsoft Entra Domain Services のマネージド ドメインを構成および管理するための管理 VM を作成する」をご覧ください。

Microsoft Entra Domain Services を有効にしました。 このドメインに参加しているマシンでは、どのユーザー アカウントを使用できますか?

マネージド ドメインの一部であるすべてのユーザー アカウントを VM に参加させることができます。 Microsoft Entra DC 管理者グループのメンバーは、マネージド ドメインに参加しているマシンへのリモート デスクトップ アクセスが許可されています。

ドメインに参加できるマシンの数に対するクォータはありますか?

Domain Services にドメイン参加済みのマシン用のクォータがありません。

マネージド ドメインに参加している仮想マシン (VM) の時刻はどのように同期されますか?

高精度の時刻の実現のため、Azure 上で実行される VM は Azure ホストと同期されます。 オンプレミスで実行される Azure 以外の VM では、ドメインに参加している VM と同様に、外部 NTP タイム ソースと同期するように Windows タイム サービスを構成する必要があります。 詳細については、「Azure で Active Directory Windows Virtual Machines の時間メカニズムを構成する」を参照してください。

Microsoft Entra Domain Services によって提供されるマネージド ドメインに対するドメイン管理者特権はありますか?

いいえ。 マネージド ドメインの管理特権は付与されません。 ドメイン管理者特権とエンタープライズ管理者特権は、ドメイン内では使用できません。 また、オンプレミスの Active Directory 内のドメイン管理者グループまたはエンタープライズ管理者グループのメンバーにも、マネージド ドメインのドメイン/エンタープライズ管理者特権は付与されません。

マネージド ドメインで LDAP または他の AD 管理ツールを使用してグループ メンバーシップを変更することはできますか?

Microsoft Entra ID から Microsoft Entra Domain Services に同期されるユーザーとグループは、元のソースが Microsoft Entra ID であるため変更できません。 これには、AADDC Users マネージド組織単位からカスタム組織単位へのユーザーまたはグループの移動が含まれます。 マネージド ドメインがソースのユーザーまたはグループは変更できます。

マネージド ドメイン内の DHCP サーバーを承認することはできますか?

いいえ。 マネージド ドメインでは使用できない DHCP サーバーを承認するためにドメイン管理者メンバーシップが必要です。

Microsoft Entra ディレクトリに対して行った変更がマネージド ドメインに反映されるまで、どのくらいの時間がかかりますか?

Microsoft Entra UI または PowerShell を使って Microsoft Entra ディレクトリで行った変更は、マネージド ドメインに自動的に同期されます。 この同期プロセスはバックグラウンドで実行されます。 この同期ですべてのオブジェクトの変更を完了するための期間は定義されていません。

Microsoft Entra Domain Services によって提供されるマネージド ドメインのスキーマを拡張することはできますか?

いいえ。 スキーマは、Microsoft がマネージド ドメインを管理することで管理されます。 Microsoft Entra Domain Services では、スキーマの拡張はサポートされていません。

マネージド ドメインの DNS レコードを変更または追加することはできますか?

はい。 Microsoft Entra DC 管理者グループのメンバーには、マネージド ドメインの DNS レコードを変更するための DNS 管理者特権が付与されています。 これらのユーザーは、マネージド ドメインに参加している Windows Server を実行しているマシン上で DNS マネージャー コンソールを使用して、DNS を管理できます。 DNS マネージャー コンソールを使用するには、リモート サーバー管理ツールオプション機能の一部であるDNS サーバー ツールをサーバーにインストールします。 詳しくは、Microsoft Entra Domain Services のマネージド ドメインでの DNS の管理に関する記事をご覧ください。

マネージド ドメインのパスワード有効期間ポリシーとはどのようなものですか。

Microsoft Entra Domain Services マネージド ドメインでのパスワードの既定の有効期間は 90 日です。 このパスワードの有効期間は、Microsoft Entra ID で構成されているパスワードの有効期間とは同期されません。 そのため、マネージド ドメインでユーザーのパスワードの期限が切れても、Microsoft Entra ID ではまだ有効である場合があります。 このような場合、ユーザーは Microsoft Entra ID のパスワードを変更する必要があり、新しいパスワードはマネージド ドメインに同期されます。 マネージド ドメインでパスワードの既定の有効期間を変更する場合は、カスタム パスワード ポリシーを作成して構成できます。

さらに DisablePasswordExpiration の Microsoft Entra パスワード ポリシーは、マネージド ドメインに同期されます。 DisablePasswordExpiration が Microsoft Entra ID のユーザーに適用されると、マネージド ドメインの同期されたユーザーの UserAccountControl の値に DONT_EXPIRE_PASSWORD が適用されます。

ユーザーが Microsoft Entra ID でパスワードをリセットすると、forceChangePasswordNextSignIn=True 属性が適用されます。 マネージド ドメインでは、この属性が Microsoft Entra ID から同期されます。 マネージド ドメインで、Microsoft Entra ID から同期されたユーザーに forceChangePasswordNextSignIn が設定されていることが検出されると、マネージド ドメインの pwdLastSet 属性は 0 に設定され、これにより現在設定されているパスワードが無効になります。

Microsoft Entra Domain Services では、AD アカウントのロックアウト保護は行われますか?

はい。 管理対象ドメインに、2 分以内に無効なパスワードの試行が 5 回行われると、ユーザーのアカウントは 30 分間ロックアウトされます。 30 分後、ユーザー アカウントは自動的にロック解除されます。 マネージド ドメインで無効なパスワードが試されても、Microsoft Entra ID のユーザー アカウントはロックアウトされません。 ユーザー アカウントは、Microsoft Entra Domain Services のマネージド ドメイン内でのみロックアウトされます。 詳細については、「マネージド ドメインに関するパスワードとアカウントのロックアウト ポリシー」を参照してください。

Microsoft Entra Domain Services 内で分散ファイル システムとレプリケーションを構成することはできますか?

いいえ。 Microsoft Entra Domain Services を使用する場合、分散ファイル システム (DFS) とレプリケーションは使用できません。

Windows の更新プログラムは Microsoft Entra Domain Services でどのように適用されますか?

マネージド ドメインのドメイン コントローラーにより、必須の Windows 更新プログラムが自動的に適用されます。 ここでは、ユーザー側で構成や管理を行う必要はありません。 Windows 更新プログラムへの送信トラフィックをブロックするネットワーク セキュリティ グループ規則を作成しないようにしてください。 独自の VM がマネージド ドメインに参加しており、OS やアプリケーションに必須の更新プログラムがある場合、それを構成したり適用するのはユーザー側の責任となります。

送信ネットワーク セキュリティ グループ (NSG) の AzureUpdateDelivery タグおよび AzureFrontDoor.FirstParty タグを削除する必要はありますか?

AzureUpdateDelivery タグおよび AzureFrontDoor.FirstParty タグの廃止に伴い、Microsoft Entra Domain Services では、これらのタグの送信インターネット トラフィックへの追加は推奨されなくなりました。 既定の AllowInternetOutBound 規則 (優先度 65001) を使用する場合、変更は必要ありません (AzureUpdateDelivery タグおよび AzureFrontDoor.FirstParty タグの有無にかかわらず)。 既定の AllowInternetOutBound 規則 (優先度 65001) を削除するか、それを拒否された InternetOutBound 規則の前に置く場合は、InternetOutBound を制限するのではなく、WindowsUpdate FQDN を使用して、ファイアウォールを使って送信 Windows Update トラフィックをフィルター処理します。 この手順は、Microsoft Entra Domain Services が Windows 更新プログラムを引き続き受信するために重要です。 詳細については、AzureUpdateDelivery サービス タグに追加される変更に関する記事を参照してください。

Microsoft Entra Domain Services では、どこに顧客データが格納されますか?

Microsoft Entra Domain Services では、顧客データが保存されます。 既定では、顧客データはサービス インスタンスがデプロイされているリージョン内にとどまります。 お客様が他のリージョンにデータを保存するには、レプリカ セットを使用できます。

マネージド ドメインの一部であるドメイン コントローラーで、パッチの適用はどのように実行されますか?

パッチは、利用可能になるとすぐにインストールされます (毎月第 2 火曜日)。 これらは、利用可能になる週に、火曜日から段階的にインストールされます。

ドメイン コントローラーで名前が変更される理由

ドメイン コントローラーのメンテナンス中に、名前が変更される可能性があります。 この種類の変更に関する問題を回避するには、アプリケーションや他のドメイン リソースでハードコーディングされたドメイン コントローラーの名前を使用せず、ドメインの FQDN を使用することをお勧めします。 この方法では、ドメイン コントローラーの名前が何であっても、名前の変更後に再構成を行う必要はありません。

マネージド ドメイン内の KRBTGT アカウントのパスワードは定期的にロールオーバーされますか? その場合、頻度はどれくらいですか?

マネージド ドメイン内の KRBTGT アカウントのパスワードは、7 日ごとにロールオーバーされます。

課金と可用性

Microsoft Entra Domain Services は有料サービスですか?

はい。 詳細については、価格に関するページを参照してください。

サービスの無料試用版はありますか?

Microsoft Entra Domain Services は Azure の無料試用版に含まれています。 1 か月間の無料試用版にサインアップできます。

Microsoft Entra Domain Services のマネージド ドメインを一時停止することはできますか?

いいえ。 Microsoft Entra Domain Services のマネージド ドメインを有効にすると、マネージド ドメインを削除するまで、選択した仮想ネットワーク内でサービスを利用できます。 サービスを一時停止する方法はありません。 課金は、マネージド ドメインを削除するまで 1 時間ごとに続行されます。

DR イベント時に Microsoft Entra Domain Services を別のリージョンにフェールオーバーすることはできますか?

はい。マネージド ドメインの地理的な回復性を実現するため、Domain Services をサポートする任意の Azure リージョン内のピアリングされた仮想ネットワークに対して、別のレプリカ セットを作成できます。 レプリカ セットとマネージド ドメインとで、同じ名前空間および構成が共有されます。

Enterprise Mobility Suite (EMS) の一部として Microsoft Entra Domain Services を入手することはできますか? Microsoft Entra Domain Services を使用するには、Microsoft Entra ID P1 または P2 が必要ですか?

いいえ。 Microsoft Entra Domain Services は従量課金制の Azure サービスであり、EMS の一部ではありません。 Microsoft Entra Domain Services は、Microsoft Entra ID のすべてのエディション (Free および Premium) で使用できます。 使用量に応じて、時間単位で課金されます。

マネージド ドメインの下に子ドメインを作成することはできますか?

いいえ。 Microsoft Entra Domain Services の設計は単一ドメインの単一フォレストであり、子ドメインを作成することはできません。

サービスを利用できる Azure リージョンはどれですか?

Microsoft Entra Domain Services を利用できる Azure リージョンの一覧については、リージョン別の Azure サービスに関するページをご覧ください。

トラブルシューティング

Azure AD Domain Services を 構成または管理する際に生じる一般的な問題の解決策については、「トラブルシューティングガイド」を参照してください。

次のステップ

Microsoft Entra Domain Services の詳細については、「Microsoft Entra Domain Services とは」を参照してください。

使用を開始するには、「Microsoft Entra Domain Services のマネージド ドメインを作成して構成する」を参照してください。