Azure PowerShell を使用して、オンプレミス ドメインに対する Microsoft Entra Domain Services のフォレスト トラストを作成する。

パスワード ハッシュを同期できない環境や、スマート カードを使用して排他的にサインインしてパスワードを知らないユーザーがいる環境では、Microsoft Entra Domain Services から 1 つ以上のオンプレミス AD DS 環境への一方向の送信信頼を作成できます。 この信頼関係により、ユーザー、アプリケーション、およびコンピューターは、Domain Services マネージド ドメインからオンプレミス ドメインに対して認証を行うことができます。 この場合、オンプレミスのパスワード ハッシュは同期されません。

この記事では、次の方法について説明します。

• Azure PowerShell を使用して Domain Services フォレストを作成する
• Azure PowerShell を使用してマネージド ドメインで一方向の外部フォレスト トラストを作成する
• マネージド ドメイン接続をサポートするようにオンプレミスの AD DS 環境で DNS を構成する
• オンプレミスの AD DS 環境で一方向の受信フォレストの信頼を作成する
• 認証とリソース アクセスの信頼関係をテストして検証する

Azure サブスクリプションをお持ちでない場合は、開始する前にアカウント を作成。

重要

マネージド ドメイン フォレストは現在、Azure HDInsight または Azure Files をサポートしていません。 既定のマネージド ドメイン フォレストでは、これらの追加サービスの両方がサポートされます。

前提 条件

この記事を完了するには、次のリソースと特権が必要です。

• アクティブな Azure サブスクリプション。

  • Azure サブスクリプションをお持ちでない場合は、アカウント を作成。

• サブスクリプションに関連付けられている Microsoft Entra テナント。オンプレミスディレクトリまたはクラウド専用ディレクトリと同期されます。

  • 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。

• Azure PowerShell をインストールして構成します。

  • 必要に応じて、指示に従って Azure PowerShell モジュール インストールし、Azure サブスクリプションに接続します。
  • Connect-AzAccount コマンドレットを使用して、Azure サブスクリプションにサインインしていることを確認します。

• MS Graph PowerShell をインストールして構成します。

  • 必要に応じて、指示に従って MS Graph PowerShell モジュール インストールし、Microsoft Entra IDに接続します。
  • Connect-MgGraph コマンドレットを使用して、Microsoft Entra テナントにサインインしていることを確認します。

• ドメイン サービスを有効にするには、テナントの Microsoft Entra ロールとして アプリケーション管理者 と グループ管理者 が必要です。

• 必須の Domain Services リソースを作成するには、ドメインサービス共同作成者の Azure ロールが必要です。

Microsoft Entra 管理センターにサインインする

この記事では、Microsoft Entra 管理センターを使用して、マネージド ドメインを通じてアウトバウンド フォレスト トラストを作成および構成します。 まず、Microsoft Entra 管理センター にサインインします。

デプロイ プロセス

これは、マネージド ドメイン フォレストとオンプレミスの AD DS との信頼関係を作成するためのマルチパート プロセスです。 次の大まかな手順では、信頼できるハイブリッド環境を構築します。

1. マネージド ドメイン サービス プリンシパルを作成します。
2. マネージド ドメイン フォレストを作成します。
3. サイト間 VPN または Express Route を使用してハイブリッド ネットワーク接続を作成します。
4. 信頼関係のマネージド ドメイン側を作成します。
5. オンプレミス環境の AD DS 側の信頼関係を作成します。

開始する前に、ネットワークに関する考慮事項、フォレストの名前付け、DNS の要件理解していることを確認してください。 デプロイ後にマネージド ドメイン フォレスト名を変更することはできません。

Microsoft Entra サービス プリンシパルを作成する

Domain Services には、Microsoft Entra ID からのデータを同期するサービス プリンシパルが必要です。 マネージド ドメイン フォレストを作成する前に、このプリンシパルを Microsoft Entra テナントに作成する必要があります。

Domain Services が通信でき、かつ自身を認証できるように Microsoft Entra サービス プリンシパルを作成します。 特定のアプリケーション ID は、名前が ドメイン コントローラー サービス で、ID が 6ba9a5d4-8456-4118-b521-9c5ca10cdf84です。 このアプリケーション ID は変更しないでください。

New-MgServicePrincipal コマンドレットを使用して、Microsoft Entra サービス プリンシパルを作成します。

New-MgServicePrincipal

マネージド ドメインを作成する

マネージド ドメインを作成するには、New-AaddsResourceForest スクリプトを使用します。 このスクリプトは、マネージド ドメインをサポートする幅広いコマンド セットの一部です。 これらは、PowerShell ギャラリーから入手できます。 Microsoft Entra エンジニアリング チームによってデジタル署名されています。

1. まず、New-AzResourceGroup コマンドレットを使用してリソース グループを作成します。 次の例では、リソース グループは myResourceGroup 名前が付けられ、westus リージョンに作成されます。 独自の名前と目的のリージョンを使用します。

   New-AzResourceGroup `
     -Name "myResourceGroup" `
     -Location "WestUS"
   

2. Install-Script コマンドレットを使用して、PowerShell ギャラリー から New-AaddsResourceForest スクリプトをインストールします。

   Install-Script -Name New-AaddsResourceForest
   

3. New-AaddsResourceForest スクリプトに必要な次のパラメーターを確認します。 前提条件となっている Azure PowerShell モジュールと Microsoft Graph PowerShell モジュールがあることも確認します。 アプリケーションとオンプレミスの接続を提供するための仮想ネットワーク要件が計画されていることを確認します。

   名前	スクリプト パラメーター	説明
   予約	-azureSubscriptionId	Domain Services の課金に使用されるサブスクリプション ID。 Get-AzureRMSubscription コマンドレットを使用して、サブスクリプションの一覧を取得できます。
   リソース グループ	-aaddsResourceGroupName	マネージド ドメインと関連付けられているリソースのリソース グループの名前。
   場所	-aaddsLocation	マネージド ドメインをホストする Azure リージョン。 使用可能なリージョンについては、Domain Services でサポートされているリージョン 参照してください。
   Domain Services 管理者	-aaddsAdminUser	最初のマネージドドメイン管理者のユーザープリンシパルネーム。 このアカウントは、Microsoft Entra ID の既存のクラウド ユーザー アカウントである必要があります。 ユーザーとスクリプトを実行しているユーザーは、AAD DC Administrators グループに追加されます。
   Domain Services のドメイン名	-aaddsDomainName	マネージド ドメインの FQDNは、フォレスト名の選び方についての以前のガイダンスに基づいています。

   New-AaddsResourceForest スクリプトでは、これらのリソースがまだ存在しない場合は、Azure 仮想ネットワークと Domain Services サブネットを作成できます。 指定された場合、スクリプトはオプションでワークロードサブネットを作成できます。

   名前	スクリプトパラメーター	説明
   仮想ネットワーク名	-aaddsVnetName	マネージド ドメインの仮想ネットワークの名前。
   アドレス空間	-aaddsVnetCIDRAddressSpace	CIDR 表記の仮想ネットワークのアドレス範囲 (仮想ネットワークを作成する場合)。
   Domain Services サブネット名	-aaddsSubnetName	マネージド ドメインをホストする仮想ネットワーク aaddsVnetName のサブネットの名前。 独自の VM とワークロードをこのサブネットにデプロイしないでください。
   Domain Services のアドレス範囲	-aaddsSubnetCIDRAddressRange	ドメイン サービス インスタンスの CIDR 表記のサブネット アドレス範囲 (192.168.1.0/24など)。 アドレス範囲は、仮想ネットワークのアドレス範囲に含まれている必要があり、他のサブネットとは異なります。
   ワークロード サブネット名 (省略可能)	-workloadSubnetName	独自のアプリケーション ワークロード用に作成する仮想ネットワーク aaddsVnetName のサブネットの省略可能な名前。 VM とアプリケーションは、代わりにピアリングされた Azure 仮想ネットワークに接続することもできます。
   ワークロードのアドレス範囲 (省略可能)	-workloadSubnetCIDRAddressRange	192.168.2.0/24など、アプリケーション ワークロードの CIDR 表記の省略可能なサブネット アドレス範囲。 アドレス範囲は、仮想ネットワークのアドレス範囲に含まれている必要があり、他のサブネットとは異なります。

4. 次に、New-AaddsResourceForest スクリプトを使用してマネージド ドメイン フォレストを作成します。 次の例では、addscontoso.com という名前のフォレストを作成し、ワークロード サブネットを作成します。 独自のパラメーター名と IP アドレス範囲、または既存の仮想ネットワークを指定します。

   New-AaddsResourceForest `
       -azureSubscriptionId <subscriptionId> `
       -aaddsResourceGroupName "myResourceGroup" `
       -aaddsLocation "WestUS" `
       -aaddsAdminUser "contosoadmin@contoso.com" `
       -aaddsDomainName "aaddscontoso.com" `
       -aaddsVnetName "myVnet" `
       -aaddsVnetCIDRAddressSpace "192.168.0.0/16" `
       -aaddsSubnetName "AzureADDS" `
       -aaddsSubnetCIDRAddressRange "192.168.1.0/24" `
       -workloadSubnetName "myWorkloads" `
       -workloadSubnetCIDRAddressRange "192.168.2.0/24"
   

   マネージド ドメイン フォレストとサポート リソースの作成にはかなりの時間がかかります。 スクリプトの完了を許可します。 次のセクションに進み、Microsoft Entra フォレストがバックグラウンドでプロビジョニングされている間に、オンプレミスのネットワーク接続を構成します。

ネットワーク設定の構成と検証

マネージド ドメインのデプロイが続行されたら、オンプレミスのデータセンターへのハイブリッド ネットワーク接続を構成して検証します。 また、定期的なメンテナンスのためにマネージド ドメインで使用する管理 VM も必要です。 ハイブリッド接続の一部が環境内に既に存在している場合や、チーム内の他のユーザーと連携して接続を構成する必要がある場合があります。

開始する前に、ネットワークに関する考慮事項と推奨事項理解していることを確認してください。

1. Azure VPN または Azure ExpressRoute 接続を使用して、オンプレミス ネットワークから Azure へのハイブリッド接続を作成します。 ハイブリッド ネットワーク構成は、このドキュメントの範囲外であり、環境内に既に存在している可能性があります。 特定のシナリオの詳細については、次の記事を参照してください。

   • Azure サイト間 VPN に関する記事。
   • Azure ExpressRoute の概要

   重要

   マネージド ドメインの仮想ネットワークへの直接接続を作成する場合は、別のゲートウェイ サブネットを使用します。 マネージド ドメインのサブネットにゲートウェイを作成しないでください。

2. マネージド ドメインを管理するには、管理 VM を作成し、それをマネージド ドメインに参加させ、必要な AD DS 管理ツールをインストールします。

   マネージド ドメインの展開中に、Windows Server VM を作成、必要な管理ツールをインストール 、コア AD DS 管理ツールをインストール。 ドメインが正常にデプロイされた後、次のいずれかの手順が実行されるまで、管理 VM をマネージド ドメインに参加させるのを待ちます。

3. オンプレミス ネットワークと Azure 仮想ネットワークの間のネットワーク接続を検証します。

   • たとえば、オンプレミスのドメイン コントローラーが、ping またはリモート デスクトップを使用してマネージド VM に接続できることを確認します。
   • pingなどのユーティリティを使用して、管理 VM がオンプレミスのドメイン コントローラーに再度接続できることを確認します。

4. Microsoft Entra 管理センターで、Microsoft Entra Domain Services 検索して選択します。 使用するマネージド ドメイン (aaddscontoso.com など) を選択し、状態のレポートが [実行中] になるまで待ちます。

   実行中に、Azure 仮想ネットワーク の DNS 設定を更新 し、Domain Services のユーザー アカウントを有効にして、マネージド ドメインの構成を完了。

5. 概要ページに表示される DNS アドレスをメモしておきます。 これらのアドレスは、次のセクションで信頼関係のオンプレミス Active Directory 側を構成するときに必要です。

6. 新しい DNS 設定を受け取るために管理 VM を再起動し、その後、VM をマネージド ドメイン に参加させてください。

7. 管理 VM がマネージド ドメインに参加したら、リモート デスクトップを使用してもう一度接続します。

   コマンド プロンプトで、nslookup とマネージド ドメイン名を使用して、フォレストの名前解決を検証します。

   nslookup aaddscontoso.com
   

   このコマンドは、フォレストの 2 つの IP アドレスを返す必要があります。

フォレストの信頼を作成する

フォレストの信頼には、マネージド ドメインでの一方向の送信フォレストの信頼と、オンプレミスの AD DS フォレストでの一方向の受信フォレスト信頼の 2 つの部分があります。 この信頼関係の両側を手動で作成します。 両方の側が作成されると、ユーザーとリソースはフォレストの信頼を使用して正常に認証できます。 マネージド ドメインでは、オンプレミスのフォレストに対する一方向の送信フォレストの信頼が最大 5 つサポートされます。

信頼関係のマネージド ドメイン側を作成する

Add-AaddsResourceForestTrust スクリプトを使用して、信頼関係のマネージド ドメイン側を作成します。 まず、Install-Script コマンドレットを使用して、PowerShell ギャラリー から Add-AaddsResourceForestTrust スクリプトをインストールします。

Install-Script -Name Add-AaddsResourceForestTrust

次に、スクリプトに次の情報を指定します。

名前	スクリプトのパラメータ	説明
Domain Services のドメイン名	-ManagedDomainFqdn	マネージド ドメインの FQDN (aaddscontoso.com など)
オンプレミスの AD DS ドメイン名	-TrustFqdn	信頼済みフォレストの FQDN (onprem.contoso.com など)
信頼済みフレンドリーネーム	-TrustFriendlyName	信頼関係のフレンドリ名。
オンプレミスの AD DS DNS IP アドレス	-TrustDnsIPs	一覧表示されている信頼されたドメインの DNS サーバー IPv4 アドレスのコンマ区切りの一覧。
パスワードを信頼する	-TrustPassword	信頼関係の複雑なパスワード。 このパスワードは、オンプレミスの AD DS で一方向の受信信頼を作成するときにも入力されます。
認証情報	-認証情報	Azure に対する認証に使用される資格情報。 ユーザーは、AAD DC Administrators グループに含まれている必要があります。 指定しない場合、スクリプトは認証を求めます。

次の例では、myAzureADDSTrust という名前の信頼関係を onprem.contoso.comに作成します。 独自のパラメーター名とパスワードを使用します。

Add-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust" `
    -TrustDnsIPs "10.0.1.10,10.0.1.11" `
    -TrustPassword <complexPassword>

重要

信頼パスワードを覚えておいてください。 信頼のオンプレミス側を作成するときは、同じパスワードを使用する必要があります。

オンプレミス ドメインで DNS を構成する

オンプレミス環境からマネージド ドメインを正しく解決するには、フォワーダーを既存の DNS サーバーに追加することが必要な場合があります。 マネージド ドメインと通信するようにオンプレミス環境を構成していない場合は、オンプレミス AD DS ドメインの管理ワークステーションから次の手順を実行します。

1. [スタート] | [管理ツール] | [DNS] の順に選択します。
2. myAD01などの DNS サーバーを右選択し、[プロパティ] 選択
3. [フォワーダー]、[編集] の順に選択して、他のフォワーダーを追加します。
4. 10.0.1.4 や 10.0.1.5など、マネージド ドメインの IP アドレスを追加します。
5. ローカル コマンド プロンプトで、マネージド ドメイン名 nslookup を使用して名前解決を検証します。 たとえば、Nslookup aaddscontoso.com はマネージド ドメインの 2 つの IP アドレスを返す必要があります。

オンプレミス ドメインに受信フォレストの信頼を作成する

オンプレミスの AD DS ドメインには、マネージド ドメインに対する受信フォレストの信頼が必要です。 この信頼は、オンプレミスの AD DS ドメインに手動で作成する必要があります。Microsoft Entra 管理センターから作成することはできません。

オンプレミスの AD DS ドメインで受信信頼を構成するには、オンプレミス AD DS ドメインの管理ワークステーションから次の手順を実行します。

1. [スタート] | [管理ツール] | [Active Directory Active Directory ドメインと信頼関係] の順に選択します。
2. onprem.contoso.comなどのドメインを右選択し、[プロパティ] 選択します
3. [信頼] タブ、[新しい信頼] の順に選択します。
4. マネージド ドメインの名前 (aaddscontoso.comなど) を入力し、[次へ] 選択
5. フォレストの信頼を作成するオプションを選択して、一方向: 受信の信頼を作成します。
6. の信頼を作成することを選択します。このドメインはだけです。 次の手順では、マネージド ドメインの Microsoft Entra 管理センターで信頼を作成します。
7. フォレスト全体 認証を使用することを選択し、信頼パスワードを入力して確認します。 この同じパスワードは、次のセクションの Microsoft Entra 管理センターにも入力されます。
8. 既定のオプションを使用して次のいくつかのウィンドウをステップ実行し、オプションの [確認しない] を選択します。 マネージド ドメインに委任された管理者アカウントに必要なアクセス許可がないため、信頼関係を検証できません。 この動作は仕様です。
9. [完了] を選択します。

リソース認証を検証する

次の一般的なシナリオでは、フォレストの信頼がユーザーとリソースへのアクセスを正しく認証することを検証できます。

• Domain Services フォレストからのオンプレミスのユーザー認証
• オンプレミス ユーザー として Domain Services フォレスト内のリソースにアクセスする
  • ファイルとプリンターの共有 を有効にする
  • セキュリティ グループを作成し、メンバーを追加
  • フォレスト間アクセス 用のファイル共有を作成する
  • リソース に対するフォレスト間認証を検証する

Domain Services フォレストからのオンプレミス ユーザー認証

Windows Server 仮想マシンがマネージド ドメイン リソース ドメインに参加している必要があります。 この仮想マシンを使用して、オンプレミスユーザーが仮想マシンで認証できることをテストします。

1. リモート デスクトップとマネージド ドメイン管理者の資格情報を使用して、マネージド ドメインに参加している Windows Server VM に接続します。 ネットワーク レベル認証 (NLA) エラーが発生した場合は、使用したユーザー アカウントがドメイン ユーザー アカウントではないことを確認します。

   アドバイス

   Microsoft Entra Domain Services に参加している VM に安全に接続するには、サポートされている Azure リージョンで Azure Bastion Host Service を使用できます。

2. コマンド プロンプトを開き、whoami コマンドを使用して、現在認証されているユーザーの識別名を表示します。

   whoami /fqdn
   

3. runas コマンドを使用して、オンプレミス ドメインのユーザーとして認証します。 次のコマンドでは、userUpn@trusteddomain.com を、信頼されたオンプレミス ドメインのユーザーの UPN に置き換えます。 コマンドによって、ユーザーのパスワードの入力が求められます。

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. 認証が成功すると、新しいコマンド プロンプトが開きます。 新しいコマンド プロンプトのタイトルには、running as userUpn@trusteddomain.comが含まれています。

5. 新しいコマンド プロンプトで whoami /fqdn を使用して、認証されたユーザーの識別名をオンプレミスの Active Directory から表示します。

オンプレミス ユーザーとして Domain Services のリソースにアクセスする

マネージド ドメインに参加している Windows Server VM を使用して、ユーザーがオンプレミス ドメインのユーザーを使用してオンプレミス ドメイン内のコンピューターから認証するときに、フォレストでホストされているリソースにアクセスできるシナリオをテストできます。 次の例では、さまざまな一般的なシナリオを作成してテストする方法を示します。

ファイルとプリンターの共有を有効にする

1. リモート デスクトップとマネージド ドメイン管理者の資格情報を使用して、マネージド ドメインに参加している Windows Server VM に接続します。 ネットワーク レベル認証 (NLA) エラーが発生した場合は、使用したユーザー アカウントがドメイン ユーザー アカウントではないことを確認します。

   アドバイス

   Microsoft Entra Domain Services に参加している VM に安全に接続するには、サポートされている Azure リージョンで Azure Bastion Host Service を使用できます。

2. Windows 設定を開き、「ネットワークと共有センター」を検索して選択します。

3. [共有の詳細設定の変更] のオプションを選択します。

4. ドメイン プロファイルで、[ファイルとプリンターの共有を有効にする] を選択し、[変更を保存] をします。

5. ネットワークと共有センターのを閉じます。

セキュリティ グループを作成してメンバーを追加する

1. Active Directory ユーザーとコンピューターを開きます。

2. ドメイン名を右クリックし、[新しい ] を選択し、[組織単位] 選択します。

3. [名前] ボックスに「LocalObjects 」と入力し、[OK] 選択します。

4. ナビゲーション ウィンドウ LocalObjects を選択して右クリックします。 を選択して、新しい を選び、その後 グループを選択します。

5. 「FileServerAccess」をグループ名 ボックスに入力します。 [グループ スコープ] で、[ドメイン ローカル] を選択し、[OK] を選択します。

6. コンテンツ ウィンドウで FileServerAccessをダブルクリックします。 [メンバー]、[追加]、[場所] の順に選択します。

7. オンプレミスの Active Directory を [の場所] ビューから選択し、[OK] を選択します。

8. [選択するオブジェクト名を入力してください] ボックスに「Domain Users」と入力します。 [名前の確認]を選択し、オンプレミスの Active Directory の資格情報を入力して、[OK] を選択します。

   手記

   信頼関係は 1 つの方法に過ぎないため、資格情報を指定する必要があります。 つまり、マネージド ドメインのユーザーは、リソースにアクセスしたり、信頼された (オンプレミス) ドメイン内のユーザーまたはグループを検索したりできません。

9. オンプレミスの Active Directory の Domain Users グループは、FileServerAccess グループのメンバーである必要があります。 [OK] 選択してグループを保存し、ウィンドウを閉じます。

フォレスト間アクセス用のファイル共有を作成する

1. マネージド ドメインに参加している Windows Server VM で、フォルダーを作成し、CrossForestShareなどの名前を指定します。
2. フォルダーを右クリックし、[プロパティ] 選択します。
3. [セキュリティ] タブを選択し、[編集] を選択します。
4. [CrossForestShare のアクセス許可] ダイアログ ボックスで [追加] を選択します。
5. [選択するオブジェクト名を入力してください] に、「FileServerAccess」と入力し、[OK] を選択します。
6. グループまたはユーザー名 の一覧から FileServerAccess を選択します。 [FileServerAccess のアクセス許可] 一覧で、[変更] アクセス許可と [書き込み] アクセス許可に対して [許可] を選択し、[OK] を選択します。
7. [共有] タブを選択し、[高度な共有…] を選択します。
8. [フォルダー 共有] を選択し、[ファイル共有の覚えやすい名前を 共有名 に入力します。例: CrossForestShare]。
9. [アクセス許可] を選択します。 [全員のアクセス許可] 一覧で、[変更] アクセス許可に対して [許可] を選択します。
10. [OK] を 2 回選択して、[閉じる] を選択します。

リソースに対するフォレスト間認証を検証する

1. オンプレミスの Active Directory のユーザー アカウントを使用して、オンプレミスの Active Directory に参加している Windows コンピューターにサインインします。

2. Windows Explorer 使用して、完全修飾ホスト名と共有 (\\fs1.aaddscontoso.com\CrossforestShare など) を使用して作成した共有に接続します。

3. 書き込みアクセス許可を検証するには、フォルダーを右クリックして、[新しい] を選択し、次に [テキスト ドキュメント] を選択します。 既定の名前 [新しいテキスト ドキュメント] を使用します。

   書き込みアクセス許可が正しく設定されている場合は、新しいテキスト ドキュメントが作成されます。 次の手順では、必要に応じてファイルを開き、編集し、削除します。

4. 読み取りアクセス許可を検証するには、新しいテキスト ドキュメント 開きます。

5. 変更アクセス許可を検証するには、ファイルにテキストを追加して、メモ帳を閉じます。 変更を保存するように求められたら、[「保存」]を選択します。

6. 削除アクセス許可を検証するには、[新しいテキスト ドキュメント] を右クリックし、[削除] を選択します。 [はい] 選択して、ファイルの削除を確認します。

送信フォレストの信頼を更新または削除する

マネージド ドメインから既存の一方向の送信フォレストを更新する必要がある場合は、Get-AaddsResourceForestTrusts スクリプトと Set-AaddsResourceForestTrust スクリプトを使用できます。 これらのスクリプトは、フォレストの信頼フレンドリ名または信頼パスワードを更新するシナリオで役立ちます。 マネージド ドメインから一方向の送信信頼を削除するには、Remove-AaddsResourceForestTrust スクリプトを使用できます。 関連付けられているオンプレミス AD DS フォレスト内の一方向の受信フォレストの信頼を手動で削除する必要があります。

フォレストの信頼を更新する

通常の操作では、マネージド ドメインとオンプレミス フォレストは、それ自体の間で通常のパスワード更新プロセスをネゴシエートします。 これは、通常の AD DS 信頼関係セキュリティ プロセスの一部です。 信頼関係で問題が発生し、既知のパスワードに手動でリセットする場合を除き、信頼パスワードを手動でローテーションする必要はありません。 詳細については、信頼されたドメイン オブジェクトのパスワード変更 を参照してください。

次の手順の例では、送信信頼パスワードを手動でリセットする必要がある場合に、既存の信頼関係を更新する方法を示します。

1. Install-Script コマンドレットを使用して、PowerShell ギャラリー から Get-AaddsResourceForestTrusts スクリプトと Set-AaddsResourceForestTrust スクリプトをインストールします。

   Install-Script -Name Get-AaddsResourceForestTrusts,Set-AaddsResourceForestTrust
   

2. 既存の信頼を更新する前に、まず、Get-AaddsResourceForestTrusts スクリプトを使用して信頼リソースを取得します。 次の例では、既存の信頼が existingTrust という名前のオブジェクトに割り当てられます。 更新する独自のマネージド ドメイン フォレスト名とオンプレミス フォレスト名を指定します。

   $existingTrust = Get-AaddsResourceForestTrust `
       -ManagedDomainFqdn "aaddscontoso.com" `
       -TrustFqdn "onprem.contoso.com" `
       -TrustFriendlyName "myAzureADDSTrust"
   

3. 既存の信頼パスワードを更新するには、Set-AaddsResourceForestTrust スクリプトを使用します。 前の手順の既存の信頼オブジェクトを指定し、新しい信頼関係のパスワードを指定します。 PowerShell ではパスワードの複雑さが強制されないため、環境に安全なパスワードを生成して使用してください。

   Set-AaddsResourceForestTrust `
       -Trust $existingTrust `
       -TrustPassword <newComplexPassword>
   

フォレストの信頼を削除する

マネージド ドメインからオンプレミスの AD DS フォレストへの一方向の送信フォレスト信頼が不要になった場合は、それを削除できます。 信頼を削除する前に、オンプレミスの AD DS フォレストに対して認証する必要があるアプリケーションやサービスがないことを確認します。 オンプレミスの AD DS フォレストでも、一方向の受信信頼を手動で削除する必要があります。

1. Install-Script コマンドレットを使用して、PowerShell ギャラリー から Remove-AaddsResourceForestTrust スクリプトをインストールします。

   Install-Script -Name Remove-AaddsResourceForestTrust
   

2. 次に、Remove-AaddsResourceForestTrust スクリプトを使用してフォレストトラストを削除します。 次の例では、マネージド ドメイン フォレスト aaddscontoso.com とオンプレミス フォレスト onprem.contoso.com の間の信頼 myAzureADDSTrust が削除されます。 削除する独自のマネージド ドメイン フォレスト名とオンプレミス フォレスト名を指定します。

   Remove-AaddsResourceForestTrust `
       -ManagedDomainFqdn "aaddscontoso.com" `
       -TrustFqdn "onprem.contoso.com" `
       -TrustFriendlyName "myAzureADDSTrust"
   

オンプレミスの AD DS フォレストから一方向の受信信頼を削除するには、オンプレミスの AD DS フォレストにアクセスできる管理コンピューターに接続し、次の手順を実行します。

1. [スタート] | [管理ツール] | [Active Directory Active Directory ドメインと信頼関係] の順に選択します。
2. onprem.contoso.comなどのドメインを右選択し、[プロパティ] 選択します。
3. [信頼] タブを選択し、マネージド ドメイン フォレストからの既存の受信の信頼を選択します。
4. の「を削除」を選択して、受信トラスを削除したいことを確認します。

次の手順

この記事では、次の方法を学習しました。

• Azure PowerShell を使用してマネージド ドメインを作成する
• Azure PowerShell を使用して、マネージド ドメインで一方向の送信フォレストの信頼を作成する
• マネージド ドメイン接続をサポートするようにオンプレミスの AD DS 環境で DNS を構成する
• オンプレミスの AD DS 環境で一方向の受信フォレストの信頼を作成する
• 認証とリソース アクセスの信頼関係をテストして検証する

Domain Services のフォレストタイプに関する概念の詳細については、ドメイン サービスにおけるフォレストの信頼のしくみ を参照してください。

Connect-MgGraph: /powershell/microsoftgraph/authentication-commands

New-MgServicePrincipal: /powershell/module/microsoft.graph.applications/new-mgserviceprincipal