Azure Active Directory Domain Services の仮想ネットワーク設計の考慮事項と構成オプション

Azure Active Directory Domain Services (Azure AD DS) から他のアプリケーションおよびワークロードに認証および管理サービスが提供されます。 ネットワーク接続は重要なコンポーネントです。 仮想ネットワークリソースが正しく構成されていないと、アプリケーションとワークロードは、Azure AD DS によって提供される機能と通信して使用することができません。 仮想ネットワークの要件を計画し、Azure AD DS が必要に応じてアプリケーションとワークロードにサービスを提供できることを確認します。

この記事では、Azure AD DS をサポートするための Azure 仮想ネットワークの設計の考慮事項と要件について説明します。

Azure 仮想ネットワークの設計

ネットワーク接続を提供し、アプリケーションとサービスが Azure AD DS マネージド ドメインに対して認証できるようにするには、Azure 仮想ネットワークとサブネットを使用します。 マネージド ドメインを独自の仮想ネットワークにデプロイするのが理想的です。

同じ仮想ネットワーク内に別のアプリケーション サブネットを追加して、管理 VM または軽量なアプリケーション ワークロードをホストすることができます。 Azure AD DS 仮想ネットワークとピアリングされた大規模または複雑なアプリケーション ワークロードの場合は、通常、別の仮想ネットワークが最適な設計です。

以下のセクションに記載されている仮想ネットワークとサブネットの要件を満たしている場合は、その他の設計の選択肢が有効です。

Azure AD DS の仮想ネットワークを設計する際には、次の考慮事項が適用されます。

  • Azure AD DS は、仮想ネットワークと同じ Azure リージョンにデプロイする必要があります。
    • 現時点では、Azure AD テナントごとにデプロイできるマネージド ドメインは 1 つのみです。 マネージド ドメインは、1 つのリージョンにデプロイされます。 仮想ネットワークは、必ず Azure AD DS をサポートするリージョンで作成または選択します。
  • 他の Azure リージョンとアプリケーション ワークロードをホストする仮想ネットワークの距離を考慮します。
    • 待機時間を最小限に抑えるには、マネージド ドメインの仮想ネットワーク サブネットの近く、または同じリージョンにコア アプリケーションを保持します。 Azure 仮想ネットワーク間には、仮想ネットワーク ピアリングまたは仮想プライベート ネットワーク (VPN) 接続を使用できます。 以下のセクションでは、これらの接続オプションについて説明します。
  • 仮想ネットワークは、マネージド ドメインが提供するサービス以外の DNS サービスに依存することはできません。
    • Azure AD DS は独自の DNS サービスを提供しています。 これらの DNS サービス アドレスを使用するように仮想ネットワークを構成する必要があります。 追加の名前空間の名前解決は、条件付きフォワーダーを使用して実現できます。
    • カスタム DNS サーバーの設定を使用して、VM などの他の DNS サーバーからのクエリを送信することはできません。 仮想ネットワーク内のリソースでは、マネージド ドメインから提供される DNS サービスを使用する必要があります。

重要

サービスを有効にした後、Azure AD DS を別の仮想ネットワークに移行することはできません。

マネージド ドメインは、Azure 仮想ネットワーク内のサブネットに接続します。 次の点を考慮して、Azure AD DS 用にこのサブネットを設計します。

  • マネージド ドメインは、独自のサブネットにデプロイする必要があります。 仮想ネットワーク ピアリングで既存のサブネット、ゲートウェイ サブネット、またはリモート ゲートウェイの設定を使用することはサポートされていません。
  • マネージド ドメインのデプロイ時に、ネットワーク セキュリティ グループが作成されます。 このネットワーク セキュリティ グループには、サービス通信を正しく行うために必要な規則が含まれています。
    • 独自のカスタム規則を持つ既存のネットワーク セキュリティ グループを作成または使用しないでください。
  • マネージド ドメインには、3 ~ 5 個の IP アドレスが必要です。 サブネットの IP アドレス範囲でこの数のアドレスを提供できることを確認してください。
    • 使用可能な IP アドレスを制限すると、マネージド ドメインで 2 つのドメイン コントローラーを維持できなくなる可能性があります。

次の図の例は、マネージド ドメインに独自のサブネットがあり、外部接続用にゲートウェイ サブネットがあり、アプリケーション ワークロードが仮想ネットワーク内の接続されたサブネットにある有効な設計を示しています。

Recommended subnet design

Azure AD DS 仮想ネットワークへの接続

前のセクションで説明したように、マネージド ドメインは、Azure の 1 つの仮想ネットワークにのみ作成できます。また、Azure AD テナントごとに作成できるマネージド ドメインは 1 つのみです。 このアーキテクチャに基づいて、アプリケーション ワークロードをホストする 1 つ以上の仮想ネットワークをマネージド ドメインの仮想ネットワークに接続することが必要になる場合があります。

次のいずれかの方法を使用して、他の Azure 仮想ネットワークでホストされているアプリケーション ワークロードを接続できます。

  • 仮想ネットワーク ピアリング
  • 仮想プライベート ネットワーク (VPN)

仮想ネットワーク ピアリング

仮想ネットワーク ピアリングとは、同じリージョンに存在する 2 つの仮想ネットワークを Azure のバックボーン ネットワークを介して接続する機構です。 グローバル仮想ネットワーク ピアリングで、Azure リージョン間の仮想ネットワークを接続できます。 ピアリングされると、2 つの仮想ネットワークでは、VM などのリソースでプライベート IP アドレスを使用して相互に直接通信できるようになります。 仮想ネットワーク ピアリングを使用すると、他の仮想ネットワークにデプロイされたアプリケーション ワークロードでマネージド ドメインをデプロイできます。

Virtual network connectivity using peering

詳細については、Azure 仮想ネットワークのピアリングの概要に関するページを参照してください。

仮想プライベート ネットワーク (VPN)

仮想ネットワークをオンプレミス サイトの場所に構成する場合と同じ方法で、仮想ネットワークを別の仮想ネットワークに (VNet 間) 接続することができます。 どちらの接続でも、VPN ゲートウェイを使用して、IPsec/IKE を使用してセキュリティで保護されたトンネルを作成します。 この接続モデルを使用すると、マネージド ドメインを Azure 仮想ネットワークにデプロイし、オンプレミスの場所または他のクラウドに接続することができます。

VPN Gateway を使用した仮想ネットワーク接続

仮想プライベート ネットワークの使用方法の詳細については、「Azure ポータルを使用して VNet 間 VPN ゲートウェイ接続を構成する」を参照してください。

仮想ネットワークを接続するときの名前解決

マネージド ドメインの仮想ネットワークに接続される仮想ネットワークには、通常、独自の DNS 設定があります。 仮想ネットワークに接続しても、接続中の仮想ネットワークがマネージド ドメインから提供されるサービスを解決するための名前解決は自動的に構成されません。 アプリケーション ワークロードがマネージド ドメインを見つけられるように、接続している仮想ネットワークの名前解決を構成する必要があります。

名前解決を有効にするには、接続している仮想ネットワークをサポートする DNS サーバー上で条件付き DNS フォワーダーを使用するか、マネージド ドメインの仮想ネットワークと同じ DNS IP アドレスを使用します。

Azure AD DS によって使用されるネットワーク リソース

マネージド ドメインでは、デプロイ時にいくつかのネットワーク リソースが作成されます。 これらのリソースは、マネージド ドメインの正常な運用と管理のために必要であり、手動で構成することはできません。

Azure AD DS によって使用されるネットワーク リソースをロックしないでください。 ネットワーク リソースがロックされている場合は、そのリソースを削除できません。 その場合にドメイン コントローラーを再構築する必要があるとき、IP アドレスの異なる新しいネットワーク リソースを作成する必要があります。

Azure リソース 説明
ネットワーク インターフェイス カード Azure AD DS は、Windows Server 上で Azure VM として実行されている 2 つのドメイン コントローラー (DC) 上でマネージド ドメインをホストします。 各 VM には、仮想ネットワークのサブネットに接続する仮想ネットワーク インターフェイスがあります。
動的標準パブリック IP アドレス Azure AD DS は、Standard SKU のパブリック IP アドレスを使用して同期および管理サービスと通信します。 パブリック IP アドレスの詳細については、「Azure における IP アドレスの種類と割り当て方法」を参照してください。
Azure Standard Load Balancer Azure AD DS では、ネットワーク アドレス変換 (NAT) および負荷分散 (セキュリティで保護された LDAP と共に使用する場合) に Standard SKU のロード バランサーを使用します。 Azure Load Balancer の詳細については、Azure Load Balancer の概要に関する記事を参照してください。
ネットワーク アドレス変換 (NAT) 規則 Azure AD DS は、安全な PowerShell リモート処理のために、ロード バランサーで 2 つのインバウンド NAT 規則を作成して使用します。 Standard SKU ロード バランサーが使用されている場合は、アウトバウンド NAT 規則もあります。 Basic SKU ロードバランサーでは、アウトバウンド NAT 規則は必要ありません。
負荷分散規則 マネージド ドメインが TCP ポート 636 上のセキュリティで保護された LDAP 用に構成されている場合、トラフィックを分散する 3 つの規則がロード バランサーに対して作成され、使用されます。

警告

ロード バランサーやルールの手動での構成など、Azure AD DS によって作成されたネットワーク リソースは削除または変更しないでください。 ネットワーク リソースのいずれかを削除または変更すると、Azure AD DS サービスの停止が発生することがあります。

ネットワーク セキュリティ グループと必要なポート

ネットワーク セキュリティ グループ (NSG) には、Azure 仮想ネットワーク内のネットワーク トラフィックを許可または拒否するルールの一覧が含まれています。 マネージド ドメインを展開すると、サービスが認証および管理機能を提供できるようにする一連の規則を含むネットワーク セキュリティ グループが作成されます。 この既定のネットワーク セキュリティ グループは、マネージド ドメインがデプロイされる仮想ネットワーク サブネットに関連付けられています。

次のセクションでは、ネットワーク セキュリティ グループと、受信ポートおよび送信ポートの要件について説明します。

受信接続

マネージド ドメインで認証と管理サービスを提供するには、次のネットワーク セキュリティ グループの受信規則が必要です。 マネージド ドメインの仮想ネットワーク サブネットのネットワーク セキュリティ グループ規則は編集も削除もしないでください。

受信ポート番号 プロトコル ソース 宛先 アクション 必須 目的
5986 TCP AzureActiveDirectoryDomainServices Any Allow はい ドメインの管理。
3389 TCP CorpNetSaw Any Allow 省略可能 サポートのためのデバッグ。

Azure AD DS は、既定のセキュリティ規則である AllowVnetInBound と AllowAzureLoadBalancerInBound にも依存しています。

ネットワーク セキュリティ グループ規則のスクリーンショット。

AllowVnetInBound 規則により、VNet 内のすべてのトラフィックが許可され、DC で適切に通信およびレプリケートできるほか、ドメイン参加やその他のドメイン サービスをドメイン メンバーに許可できます。 Windows の必須のポート範囲の詳細については、「Windows のサービス概要およびネットワーク ポート要件」を参照してください。

サービスがロードバランスを介して適切に通信して DC を管理できるように AllowAzureLoadBalancerInBound 規則も必須となります。 このネットワーク セキュリティ グループは Azure AD DS を保護し、マネージド ドメインが正しく機能するために必要です。 このネットワーク セキュリティ グループを削除しないでください。 これがないと、ロード バランサーは正常に機能しません。

必要に応じて、Azure PowerShell を使用して必要なネットワーク セキュリティ グループとルールを作成することができます。

警告

正しく構成されていないネットワーク セキュリティ グループまたはユーザー定義のルート テーブルを、マネージド ドメインが展開されているサブネットに関連付けると、Microsoft のドメインのサービスと管理の機能が中断する可能性があります。 Azure AD テナントとマネージド ドメインの間の同期も中断されます。 同期、修正プログラムの適用、または管理を中断する可能性のあるサポートされていない構成を回避するために、リストされているすべての要件に従います。

Secure LDAP を使用する場合は、必要な TCP ポート 636 の規則を適宜追加することで、外部トラフィックを許可することができます。 この規則を追加しても、ネットワーク セキュリティ グループの規則がサポート対象外の状態に設定されることはありません。 詳細については、「インターネット経由での Secure LDAP アクセスをロック ダウンする」を参照してください。

Azure SLA は、不適切に構成されたネットワーク セキュリティ グループまたはユーザー定義のルート テーブルによって更新または管理がブロックされているデプロイには適用されません。 ネットワーク構成が壊れていると、セキュリティ パッチの適用が妨げられる可能性もあります。

送信接続

送信接続の場合、AllowVnetOutbound および AllowInternetOutBound を維持するか、次の表にリストされている ServiceTag を使用して送信トラフィックを制限できます。 AzureUpdateDelivery の ServiceTag は、PowerShell を介して追加する必要があります。

フィルター処理された送信トラフィックは、クラシック デプロイではサポートされていません。

送信ポート番号 プロトコル ソース 宛先 アクション 必須 目的
443 TCP Any AzureActiveDirectoryDomainServices Allow はい Azure AD Domain Services 管理サービスとの通信。
443 TCP Any AzureMonitor Allow はい 仮想マシンの監視。
443 TCP Any 記憶域 Allow はい Azure Storage との通信。
443 TCP Any AzureActiveDirectory Allow はい Azure Active Directory との通信。
443 TCP Any AzureUpdateDelivery Allow はい Windows Update との通信。
80 TCP Any AzureFrontDoor.FirstParty Allow はい Windows Update からのパッチのダウンロード。
443 TCP Any GuestAndHybridManagement Allow はい セキュリティ パッチの自動管理。

ポート 5986 - PowerShell リモート処理を使用した管理

  • PowerShell のリモート処理を使用してマネージド ドメインの管理タスクを実行するために使用されます。

  • このポートにアクセスできない場合、マネージド ドメインの更新、構成、バックアップおよび監視は行えません。

  • Resource Manager ベースの仮想ネットワークを使用するマネージド ドメインでは、このポートへの受信アクセスを AzureActiveDirectoryDomainServices サービス タグに制限することができます。

    • クラシックベースの仮想ネットワークを使用する従来のマネージド ドメインでは、このポートへの受信アクセスを次の発信元 IP アドレスに制限することができます。52.180.183.823.101.0.7052.225.184.19852.179.126.22313.74.249.15652.187.117.8352.161.13.95104.40.156.18104.40.87.209

    注意

    2017 年に、Azure AD Domain Services は、Azure Resource Manager ネットワークでホストするために使用できるようになりました。 それ以後、Azure Resource Manager の最新機能を使用して、より安全なサービスを構築できるようになっています。 Azure Resource Manager デプロイによってクラシック デプロイは完全に置き換えられるため、Azure AD DS のクラシック仮想ネットワークのデプロイは 2023 年 3 月 1 日に廃止されます。

    詳細については、公式の非推奨に関する通知を参照してください

ポート 3389 - リモート デスクトップを使用した管理

  • マネージド ドメインのドメイン コントローラーへのリモート デスクトップ接続に使用されます。
  • 既定のネットワーク セキュリティ グループの規則では、CorpNetSaw サービス タグを使用してトラフィックがさらに制限されます。
    • このサービス タグでは、Microsoft 企業ネットワーク上のセキュリティで保護されたアクセス ワークステーションのみが、マネージド ドメインへのリモート デスクトップを使用できます。
    • アクセスは、管理やトラブルシューティングのシナリオなど、業務上の正当な理由でのみ許可されます。
  • この規則を [拒否] に設定し、必要な場合にのみ [許可] に設定することができます。 ほとんどの管理タスクと監視タスクは、PowerShell リモート処理を使用して実行されます。 RDP は、Microsoft が高度なトラブルシューティングのためにマネージド ドメインへのリモート接続が必要になるような頻度の低いイベントでのみ使用されます。

このネットワーク セキュリティ グループの規則を編集しようとすると、ポータルから CorpNetSaw サービス タグを手動で選択することはできません。 CorpNetSaw サービス タグを使用する規則を手動で構成するには、Azure PowerShell または Azure CLI を使用する必要があります。

たとえば、次のスクリプトを使用して、RDP を許可する規則を作成できます。

Get-AzNetworkSecurityGroup -Name "nsg-name" -ResourceGroupName "resource-group-name" | Add-AzNetworkSecurityRuleConfig -Name "new-rule-name" -Access "Allow" -Protocol "TCP" -Direction "Inbound" -Priority "priority-number" -SourceAddressPrefix "CorpNetSaw" -SourcePortRange "*" -DestinationPortRange "3389" -DestinationAddressPrefix "*" | Set-AzNetworkSecurityGroup

ユーザー定義のルート

ユーザー定義ルートは、既定では作成されず、Azure AD DS が正しく機能するためには必要ありません。 ルート テーブルを使用する必要がある場合は、0.0.0.0 ルートに変更を加えないようにしてください。 このルートを変更すると、Azure AD DS が中断され、マネージド ドメインがサポートされない状態になります。

また、それぞれの Azure サービス タグに含まれる IP アドレスからの受信トラフィックをマネージド ドメインのサブネットにルーティングする必要があります。 サービス タグとそれに関連付けられている IP アドレスの詳細については、「Azure の IP 範囲とサービス タグ - パブリック クラウド」を参照してください。

注意事項

これらの Azure データセンターの IP 範囲は、予告なしに変わる可能性があります。 最新の IP アドレスを取得していることを検証するプロセスを用意してください。

次のステップ

Azure AD DS で使用されるネットワーク リソースと接続オプションの詳細については、次の記事を参照してください。