Azure ローカルデプロイ用に Active Directory を準備する

[アーティクル]
2025-05-05

適用対象: Azure Local 2311.2 以降

この記事では、Azure Local をデプロイする前に Active Directory 環境を準備する方法について説明します。

Azure Local の Active Directory の要件は次のとおりです。

専用の組織単位 (OU)。
該当するグループポリシーオブジェクト (GPO) に対してブロックされているグループポリシーの継承。
Active Directory 内の OU に対するすべての権限を持つユーザーアカウント。
展開前に、マシンを Active Directory に参加させる必要はありません。

注

既存のプロセスを使用して、上記の要件を満たすことができます。この記事で使用するスクリプトは省略可能であり、準備を簡略化するために用意されています。
OU レベルでグループポリシーの継承がブロックされている場合、適用されたオプションが有効になっている GPO はブロックされません。該当する場合は、別の方法を使用して、例えば Windows Management Instrumentation (WMI) フィルターを使用して、これらの GPO がブロックされていることを確認してください。適用されている GPO に WMI フィルターを適用して、Azure ローカルインスタンスのコンピューターアカウントが GPO の適用から除外されるようにします。フィルターが適用されると、WMI フィルターで定義されているロジックに基づいて、適用された GPO は適用されません。

Active Directory に必要なアクセス許可を手動で割り当て、OU を作成し、GPO の継承をブロックするには、「 Azure Local のカスタム Active Directory 構成」を参照してください。

前提条件

Azure Local の新しいデプロイの前提条件を完了します。
'AsHciADArtifactsPreCreationTool' モジュールのバージョン 2402 をインストールします。次のコマンドを実行して、PowerShell ギャラリーからモジュールをインストールします。
```
Install-Module AsHciADArtifactsPreCreationTool -Repository PSGallery -Force
```
注

新しいバージョンをインストールする前に、モジュールの以前のバージョンをアンインストールしてください。
OU を作成するにはアクセス許可が必要です。アクセス許可がない場合は、Active Directory 管理者に問い合わせてください。
Azure ローカルシステムと Active Directory の間にファイアウォールがある場合は、適切なファイアウォール規則が構成されていることを確認します。具体的なガイダンスについては、「 Active Directory Web サービスと Active Directory ゲートウェイ管理サービスのファイアウォール要件を参照してください。「 Active Directory ドメインと信頼のファイアウォールを構成する方法も参照してください。

Active Directory 準備モジュール

AsHciADArtifactsPreCreationTool PowerShell モジュールの New-HciAdObjectsPreCreation コマンドレットは、Azure ローカルデプロイ用に Active Directory を準備するために使用されます。コマンドレットに関連付けられている必須パラメーターを次に示します。

パラメーター説明

-AzureStackLCMUserCredential デプロイに適したアクセス許可で作成された新しいユーザーオブジェクト。このアカウントは、Azure ローカルデプロイで使用されるユーザーアカウントと同じです。
ユーザー名のみが指定されていることを確認します。 contoso\usernameなど、ドメイン名を名前に含めることはできません。
パスワードは、長さと複雑さの要件に準拠している必要があります。 12 文字以上のパスワードを使用します。パスワードには、小文字、大文字、数字、特殊文字の 4 つの要件のうち 3 つも含まれている必要があります。
詳細については、 password の複雑さの要件を参照してください。
名前をローカル管理者ユーザーとまったく同じにすることはできません。
名前はユーザー名として admin を使用できます。

-AsHciOUName Azure ローカルデプロイのすべてのオブジェクトを格納する新しい組織単位 (OU)。設定の競合がないように、この OU では既存のグループポリシーと継承がブロックされます。 OU は識別名 (DN) として指定する必要があります。詳細については、区別された名前の形式を参照してください。

パラメーター	説明
`-AzureStackLCMUserCredential`	デプロイに適したアクセス許可で作成された新しいユーザーオブジェクト。このアカウントは、Azure ローカルデプロイで使用されるユーザーアカウントと同じです。ユーザー名のみが指定されていることを確認します。 `contoso\username`など、ドメイン名を名前に含めることはできません。パスワードは、長さと複雑さの要件に準拠している必要があります。 12 文字以上のパスワードを使用します。パスワードには、小文字、大文字、数字、特殊文字の 4 つの要件のうち 3 つも含まれている必要があります。詳細については、 password の複雑さの要件を参照してください。名前をローカル管理者ユーザーとまったく同じにすることはできません。名前はユーザー名として admin を使用できます。
`-AsHciOUName`	Azure ローカルデプロイのすべてのオブジェクトを格納する新しい組織単位 (OU)。設定の競合がないように、この OU では既存のグループポリシーと継承がブロックされます。 OU は識別名 (DN) として指定する必要があります。詳細については、区別された名前の形式を参照してください。

注

-AsHciOUName パスでは、パス内の任意の場所で次の特殊文字をサポートしていません: &,",',<,>。
展開が完了した後、コンピューターオブジェクトを別の OU に移動することはできません。

Active Directory の準備

Active Directory を準備するときは、デプロイユーザーなどの Azure ローカル関連オブジェクトを配置する専用の組織単位 (OU) を作成します。

専用 OU を作成するには、次の手順に従います。

Active Directory ドメインに参加しているコンピューターにサインインします。
PowerShell を管理者として実行します。

次のコマンドを実行して、専用 OU を作成します。

New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

メッセージが表示されたら、デプロイのユーザー名とパスワードを指定します。
1. ユーザー名のみが指定されていることを確認します。 contoso\usernameなど、ドメイン名を名前に含めることはできません。ユーザー名は 1 ~ 64 文字にする必要があり、文字、数字、ハイフン、アンダースコアのみを含む必要があり、ハイフンまたは数字で始まる場合はありません。
2. パスワードが複雑さと長さの要件を満たしていることを確認します。 12 文字以上で、小文字、大文字、数字、特殊文字を含むパスワードを使用します。
スクリプトが正常に完了した場合の出力例を次に示します。
```
PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>
```
OU が作成されていることを確認します。 Windows Server クライアントを使用している場合は、サーバーマネージャー > Tools > Active Directory ユーザーとコンピューターに移動します。
指定した名前の OU が作成されます。この OU には、新しいライフサイクルマネージャー (LCM) デプロイユーザーアカウントが含まれています。

注

1 台のコンピューターを修復する場合は、既存の OU を削除しないでください。マシンボリュームが暗号化されている場合、OU を削除すると、BitLocker 回復キーが削除されます。

大規模なデプロイに関する考慮事項

LCM ユーザーアカウントは、PowerShell による更新プログラムの適用などのサービス操作中に使用されます。このアカウントは、ノードの修復やノードの追加など、AD に対してドメイン参加アクションを実行するときにも使用されます。これには、オンプレミスドメイン内のターゲット OU にコンピューターアカウントを追加するための委任されたアクセス許可を持つ LCM ユーザー ID が必要です。

Azure Local のクラウドデプロイ中に、LCM ユーザーアカウントが物理ノードのローカル管理者グループに追加されます。 LCM ユーザーアカウントが侵害されるリスクを軽減するには、 Azure ローカルインスタンスごとに一意のパスワードを持つ専用の LCM ユーザーアカウントを用意することをお勧めします。 この推奨事項では、侵害された LCM アカウントのスコープと影響を 1 つのインスタンスに制限します。

OU の作成については、次のベストプラクティスに従うことをお勧めします。これらの推奨事項は、 New-HciAdObjectsPreCreation コマンドレットを使用して Active Directory を準備するときに自動化されます。

Azure ローカルインスタンスごとに、Active Directory 内に個別の OU を作成します。この方法は、LCM ユーザーアカウント、物理マシンのコンピューターアカウント、およびインスタンスごとに 1 つの OU のスコープ内のクラスター名オブジェクト (CNO) を管理するのに役立ちます。
管理を容易にするために、複数のインスタンスを大規模にデプロイする場合:
- インスタンスごとに、単一の親 OU の下に OU を作成します。
- 親 OU レベルとサブ OU レベルの両方で [継承のブロック ] オプションを有効にします。
- ローカル管理者グループ内のドメイングループの入れ子など、すべての Azure ローカルインスタンスに GPO を適用するには、GPO を親 OU にリンクし、[ 適用] オプションを有効にします。これにより、 ブロック継承 が有効になっている場合でも、すべてのサブ OU に構成を適用します。

組織のプロセスと手順でこれらの推奨事項からの逸脱が必要な場合は、許可されます。ただし、これらの要素を考慮して、設計のセキュリティと管理容易性への影響を考慮することが重要です。

次のステップ

システム内の各マシンに Azure ローカルデプロイ用のオペレーティングシステムをダウンロードします。

次の方法で共有

Azure ローカル デプロイ用に Active Directory を準備する