Microsoft Entra Domain Services のマネージド ドメインに組織単位 (OU) を作成する

Active Directory Domain Services (AD DS) マネージド ドメインの組織単位 (OU) を使用すると、ユーザー アカウント、サービス アカウント、コンピューター アカウントなどのオブジェクトを論理的にグループ化できます。 その後、特定の OU に管理者を割り当て、グループ ポリシーを適用して対象となる構成設定を強制できます。

Domain Services マネージド ドメインには、次の 2 つの組み込み OU が含まれています。

• AADDC Computers - マネージド ドメインに参加しているすべてのコンピューターに関するコンピューター オブジェクトが含まれています。
• AADDC Users - Microsoft Entra テナントから同期されたユーザーとグループが含まれています。

Domain Services を使用するワークロードを作成して実行するときは、各アプリケーションが自身を認証するためのサービス アカウントを作成することが必要になる場合があります。 これらのサービス アカウントを整理するために、多くの場合は、マネージド ドメインにカスタム OU を作成した後、その OU 内にサービス アカウントを作成します。

ハイブリッド環境では、オンプレミスの AD DS 環境で作成された OU は、マネージド ドメインに同期されません。 マネージド ドメインでは、フラットな OU 構造が使用されます。 そこで階層的な OU 構造を構成した場合、ユーザー アカウントとグループは、異なるオンプレミス ドメインまたはフォレストから同期されても、すべて AADDC Users コンテナー内に格納されます。

この記事では、マネージド ドメインに OU を作成する方法を説明します。

開始する前に

この記事を完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション
  • Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
• ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
  • 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
• Microsoft Entra テナントで有効にされていて、構成されている Microsoft Entra Domain Services マネージド ドメイン。
  • 必要に応じて、Microsoft Entra Domain Services マネージド ドメインを作成して構成するチュートリアルを完了します。
• Domain Services マネージド ドメインに参加している Windows Server 管理 VM。
  • 必要に応じて、管理 VM を作成するチュートリアルを完了します。
• Microsoft Entra テナントの Microsoft Entra DC 管理者グループのメンバーであるユーザー アカウント。

カスタム OU に関する考慮事項と制限

マネージド ドメインにカスタム OU を作成すると、ユーザー管理やグループ ポリシーの適用のための管理の柔軟性が向上します。 オンプレミスの AD DS 環境と比較して、マネージド ドメインにカスタムの OU 構造を作成して管理する場合にはいくつかの制限と考慮事項があります。

• カスタム OU を作成するには、ユーザーが AAD DC 管理者グループのメンバーである必要があります。
• カスタム OU を作成するユーザーにはその OU に対する管理者特権 (フル コントロール) が付与され、そのユーザーがリソース所有者になります。
  • 既定では、AAD DC 管理者グループにもカスタム OU のフル コントロールが与えられます。
• Microsoft Entra テナントから同期されたすべてのユーザー アカウントが含まれている、AADDC Users の既定の OU が作成されます。
  • AADDC Users OU から、作成したカスタム OU にユーザーまたはグループを移動することはできません。 カスタム OU に移動できるのは、マネージド ドメインに作成されたユーザー アカウントまたはリソースだけです。
• カスタム OU に作成したユーザー アカウント、グループ、サービス アカウント、およびコンピューター オブジェクトは Microsoft Entra テナントでは使用できません。
  • これらのオブジェクトは Microsoft Graph API を使用した場合も、あるいは Microsoft Entra UI にも表示されず、お使いのマネージド ドメインでのみ使用できます。

カスタム OU を作成する

カスタム OU を作成するには、ドメインに参加している VM から Active Directory 管理ツールを使用します。 Active Directory 管理センターを使用すると、マネージド ドメイン内のリソース (OU を含む) を表示、編集、および作成できます。

注意

マネージド ドメインにカスタム OU を作成するには、AAD DC 管理者グループのメンバーであるユーザー アカウントにサインインする必要があります。

1. 管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する方法については、「Windows Server VM に接続する」を参照してください。

2. スタート画面で [管理ツール] を選択します。 管理 VM を作成するためのチュートリアルでインストールされた使用可能な管理ツールの一覧が表示されます。

3. OU を作成して管理するには、管理ツールの一覧から [Active Directory 管理センター] を選択します。

4. 左側のペインで、マネージド ドメイン (例: aaddscontoso.com) を選択します。 既存の OU とリソースの一覧が表示されます。

   

5. Active Directory 管理センターの右側に [タスク] ウィンドウが表示されます。 ドメイン (例: aaddscontoso.com) で、[新規] > [組織単位] を選択します。

   

6. [Create Organizational Unit] (組織単位の作成) ダイアログで、新しい OU の [名前] (MyCustomOu など) を指定します。 OU の簡単な説明 (サービス アカウント用のカスタム OU など) を指定します。 必要に応じて、OU の [Managed By] (管理者) フィールドを設定することもできます。 カスタム OU を作成するには、 [OK] を選択します。

   

7. Active Directory 管理センターに戻ると、カスタム OU が一覧表示され、使用可能になっています。

   

次のステップ

管理ツールの使用またはサービス アカウントの作成と使用の詳細については、次の記事を参照してください。

• Active Directory 管理センター: はじめに
• サービス アカウントのステップ バイ ステップ ガイド