チュートリアル: Microsoft Entra Domain Services のマネージド ドメインを構成および管理するための管理 VM を作成する
Microsoft Entra Domain Services では、Windows Server Active Directory と完全に互換性のあるマネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、および Kerberos または NTLM 認証など) が提供されます。 このマネージド ドメインは、オンプレミスの Active Directory Domain Services ドメインの場合と同じリモート サーバー管理ツール (RSAT) を使用して管理します。 Domain Services はマネージド サービスであるため、リモート デスクトップ プロトコル (RDP) を使用してドメイン コントローラーに接続するなど、ユーザーが実行できない管理タスクもいくつか存在します。
このチュートリアルでは、Windows Server VM を Azure に構成し、Domain Services のマネージド ドメインを管理するために必要なツールをインストールする方法を示します。
このチュートリアルでは、次の作業を行う方法について説明します。
- マネージド ドメインで利用できる管理タスクを理解する
- Windows Server VM に Active Directory 管理ツールをインストールする
- Active Directory 管理センターを使用して一般的なタスクを実行する
Azure サブスクリプションをお持ちでない場合は、始める前にアカウントを作成してください。
前提条件
このチュートリアルを完了するには、以下のリソースと特権が必要です。
- 有効な Azure サブスクリプション
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
- ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
- Microsoft Entra テナントで有効にされていて、構成されている Microsoft Entra Domain Services マネージド ドメイン。
- 必要に応じて、Microsoft Entra Domain Services マネージド ドメインを作成して構成するための 1 つ目のチュートリアルを参照してください。
- マネージド ドメインに参加している Windows Server VM。
- 必要に応じて、前のチュートリアルを参照し、Windows Server VM を作成してマネージド ドメインに参加させてください。
- Microsoft Entra テナントの Microsoft Entra DC 管理者グループのメンバーであるユーザー アカウント。
- Domain Services 仮想ネットワークにデプロイされた Azure Bastion ホスト。
- 必要に応じて Azure Bastion ホストを作成してください。
Microsoft Entra 管理センターにサインインする
このチュートリアルでは、Microsoft Entra 管理センターを使って管理 VM を作成および構成します。 作業開始するには、まず Microsoft Entra 管理センターにサインインします。
Domain Services で利用できる管理タスク
Domain Services では、ユーザー、アプリケーション、サービスで使用するためのマネージド ドメインが提供されます。 このようなアプローチにより、実行できる管理タスクや、マネージド ドメイン内で与えられる特権が一部変更されています。 これらのタスクと権限は、通常のオンプレミス Active Directory Domain Services 環境で利用できるものとは異なる場合があります。 また、マネージド ドメイン上のドメイン コントローラーには、リモート デスクトップを使って接続することはできません。
マネージド ドメインで実行できる管理タスク
AAD DC Administrators グループのメンバーには、マネージド ドメインで以下のようなタスクを実行できる権限が付与されます。
- マネージド ドメイン内の AADDC Computers と AADDC Users のコンテナーに対して組み込みのグループ ポリシー オブジェクト (GPO) を構成する。
- マネージド ドメイン上で DNS を管理する。
- マネージド ドメイン上でカスタム組織単位 (OU) を作成し、管理する。
- マネージド ドメインに参加しているコンピューターへの管理アクセスを取得する。
マネージド ドメインに対して付与されていない管理者特権
マネージド ドメインはロックダウンされており、ユーザーには特定の管理タスクをそのドメインで実行する特権がありません。 ユーザーが実行できないタスクの例を次に示します。
- マネージド ドメインのスキーマを拡張する。
- リモート デスクトップを使用してマネージド ドメインのドメイン コントローラーに接続する。
- マネージド ドメインにドメイン コントローラーを追加する。
- マネージド ドメインに対する "ドメイン管理者" 特権や "エンタープライズ管理者" 特権はありません。
Windows Server VM にサインインする
前のチュートリアルでは、Windows Server VM を作成してマネージド ドメインに参加させました。 その VM を使用して管理ツールをインストールします。 必要であれば、チュートリアルの手順に従って Windows Server VM を作成し、マネージド ドメインに参加させてください。
Note
このチュートリアルでは、マネージド ドメインに参加している Azure の Windows Server VM を使用します。 マネージド ドメインに参加している Windows クライアント (Windows 10 など) を使用することもできます。
Windows クライアントに管理ツールをインストールする方法の詳細については、リモート サーバー管理ツール (RSAT) のインストールに関するページを参照してください。
まず、次の手順に従って Windows Server VM に接続します。
Microsoft Entra 管理センターの左側にある [リソース グループ] を選びます。 VM の作成先となったリソース グループ (例: myResourceGroup) を選択し、VM (例: myVM) を選択します。
VM の [概要] ペインで [接続] を選択し、 [Bastion] を選択します。
VM の資格情報を入力し、 [接続] を選択します。
必要に応じて、ポップアップの表示を Web ブラウザーに許可して、Bastion 接続を表示します。 VM への接続には数秒かかります。
Active Directory 管理ツールをインストールする
Active Directory 管理センター (ADAC) や AD PowerShell など、オンプレミス AD DS 環境と同じ管理ツールをマネージド ドメイン内で使用して管理します。 Windows Server コンピューターとクライアント コンピューターには、リモート サーバー管理ツール (RSAT) 機能の一部としてこれらのツールをインストールできます。 その後、AAD DC Administrators グループのメンバーは、マネージド ドメインに参加しているコンピューターから、それらの AD 管理ツールを使用してマネージド ドメインをリモートから管理することができます。
ドメイン参加済み VM に Active Directory 管理ツールをインストールするには、次の手順を実行します。
VM にサインインしたときにサーバー マネージャーが既定で開かない場合は、 [スタート] メニューを選択し、 [サーバー マネージャー] を選択します。
[サーバー マネージャー] ウィンドウの [ダッシュボード] ウィンドウで [役割と機能の追加] を選択します。
[役割と機能の追加] ウィザードの [開始する前に] ページで [次へ] を選択します。
[インストールの種類] で、[役割ベースまたは機能ベースのインストール] オプションが選択された状態にして [次へ] を選択します。
[サーバーの選択] ページで、サーバー プールから現在の VM (例: myvm.aaddscontoso.com) を選択し、[次へ] を選択します。
[サーバーの役割] ページで、 [次へ] をクリックします。
[機能] ページで、 [リモート サーバー管理ツール] ノードを展開し、次に [役割管理ツール] ノードを展開します。
役割管理ツールの一覧から [AD DS および AD LDS ツール] 機能を選択し、 [次へ] を選択します。
[確認] ページで [インストール] を選択します。 管理ツールのインストールには 1 分から 2 分かかる場合があります。
機能のインストールが完了したら、 [閉じる] を選択して [役割と機能の追加] ウィザードを終了します。
Active Directory 管理ツールを使用する
管理ツールがインストールされている状態で、それらを使用してマネージド ドメインを管理する方法を見ていきましょう。 AAD DC Administrators グループのメンバーであるユーザー アカウントで VM にサインインしていることを確認してください。
[スタート] メニューから [Windows 管理ツール] を選択します。 前の手順でインストールした AD 管理ツールが一覧表示されます。
[Active Directory 管理センター] を選択します。
マネージド ドメインの詳細を確認するために、左ペインでドメイン名を選択します (例: aaddscontoso)。 一覧の先頭に AADDC Computers および AADDC Users という名前の 2 つのコンテナーがあります。
マネージド ドメインに属しているユーザーとグループを表示するには、 [AADDC Users] コンテナーを選択します。 このコンテナーには、Microsoft Entra テナントのユーザー アカウントとグループがリストされています。
次の出力例では、Contoso Admin という名前のユーザー アカウントと AAD DC Administrators のグループがこのコンテナーに表示されています。
マネージド ドメインに参加しているコンピューターを表示するには、 [AADDC Computers] コンテナーを選択します。 現在の仮想マシンのエントリ (例: myVM) が表示されます。 マネージド ドメインに参加しているすべてのデバイスのコンピューター アカウントが、この AADDC Computers コンテナーに格納されます。
Active Directory 管理センターの一般的な操作 (ユーザー アカウント パスワードのリセット、グループ メンバーシップの管理など) が利用できます。 これらの操作は、マネージド ドメインに直接作成されたユーザーとグループに対してのみ機能します。 ID 情報は、Microsoft Entra ID から Domain Services にのみ同期されます。 Domain Services から Microsoft Entra ID への書き戻しはありません。 Microsoft Entra ID から同期されたユーザーのパスワードや管理対象グループ メンバーシップを変更し、それらの変更を同期して戻すことはできません。
マネージド ドメインにおける一般的な操作については、管理ツールの一部としてインストールされる "Windows PowerShell 用 Active Directory モジュール" を使用して管理することもできます。
次のステップ
このチュートリアルでは、以下の内容を学習しました。
- マネージド ドメインで利用できる管理タスクを理解する
- Windows Server VM に Active Directory 管理ツールをインストールする
- Active Directory 管理センターを使用して一般的なタスクを実行する
他のアプリケーションからマネージド ドメインを安全に操作するには、セキュリティで保護されたライトウェイト ディレクトリ アクセス プロトコル (LDAPS) を有効にしてください。