チュートリアル: 詳細構成オプションを使用して Microsoft Entra Domain Services のマネージド ドメインを作成して構成する
Microsoft Entra Domain Services では、Windows Server Active Directory と完全に互換性のあるマネージド ドメイン サービス (ドメイン参加、グループ ポリシー、LDAP、Kerberos または NTLM 認証など) が提供されます。 ドメイン コントローラーのデプロイ、管理、パッチの適用を自分で行わなくても、これらのドメイン サービスを使用することができます。 Domain Services は、既存の Microsoft Entra テナントと統合されます。 この統合により、ユーザーは、各自の会社の資格情報を使用してサインインすることができます。また管理者は、既存のグループとユーザー アカウントを使用してリソースへのアクセスをセキュリティで保護することができます。
ネットワークと同期に関して既定の構成オプションを使用してマネージド ドメインを作成するか、それらの設定を手動で定義することができます。 このチュートリアルでは、Microsoft Entra 管理センターを使用して、Domain Services のマネージド ドメインを作成して構成するためのこれらの詳細構成オプションを定義する方法について説明します。
このチュートリアルでは、次の作業を行う方法について説明します。
- マネージド ドメイン用に DNS と仮想ネットワークの設定を構成する
- マネージド ドメインの作成
- 管理ユーザーをドメイン管理に追加する
- パスワード ハッシュ同期を有効にする
Azure サブスクリプションをお持ちでない場合は、始める前にアカウントを作成してください。
前提条件
このチュートリアルを完了するには、以下のリソースと特権が必要です。
- 有効な Azure サブスクリプション
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
- ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
- Domain Services を有効にするには、テナントでアプリケーション管理者とグループ管理者 の Microsoft Entra ロールが必要です。
- 必須の Domain Services リソースを作成するには、ドメインサービス共同作成者の Azure ロールが必要です。
Domain Services では必須ではありませんが、Microsoft Entra テナントには、セルフサービス パスワード リセット (SSPR) を構成することをお勧めします。 SSPR がなくても、ユーザーは自分のパスワードを変更できます。しかし、ユーザーがパスワードを紛失してしまってリセットする必要が生じた場合には SSPR が役立ちます。
重要
マネージド ドメインを作成した後、これを別のサブスクリプション、リソース グループ、リージョンに移動することはできません。 マネージド ドメインをデプロイするときに、最適なサブスクリプション、リソース グループ、リージョンを慎重に選択してください。
Microsoft Entra 管理センターにサインインする
このチュートリアルでは、Microsoft Entra 管理センターを使用してマネージド ドメインを作成して構成します。 作業開始するには、まず Microsoft Entra 管理センターにサインインします。
マネージド ドメインを作成して基本的な設定を構成する
[Microsoft Entra Domain Services の有効化] ウィザードを起動するには、次の手順を実行します。
- [Microsoft Entra 管理センター] メニュー上または [ホーム] ページから、[リソースの作成] を選択します。
- 検索バーに "Domain Services"と入力し、検索候補から [Microsoft Entra Domain Services] を選択します。
- [Microsoft Entra Domain Services] ページで、[作成] を選択します。 [Microsoft Entra Domain Services の有効化] ウィザードが起動します。
- マネージド ドメインを作成する Azure サブスクリプションを選択します。
- マネージド ドメインが属するリソース グループを選択します。 リソース グループを新規作成するか、既存のリソース グループを選択してください。
マネージド ドメインを作成する際は、DNS 名を指定します。 この DNS 名を選ぶ際のいくつかの考慮事項を次に示します。
- 組み込みドメイン名: 既定では、ディレクトリの組み込みドメイン名が使用されます ( .onmicrosoft.com サフィックス)。 マネージド ドメインに対するインターネット経由での Secure LDAP アクセスを有効にしたい場合、デジタル証明書を作成して、この既定のドメインとの接続をセキュリティで保護することはできません。 .onmicrosoft.com ドメインを所有するのは Microsoft であるため、証明機関 (CA) からは証明書が発行されません。
- カスタム ドメイン名: 最も一般的な方法は、カスタム ドメイン名を指定することです。一般に、貴社が既に所有していて、なおかつルーティング可能なものを指定します。 ルーティング可能なカスタム ドメインを使用すれば、ご利用のアプリケーションをサポートするために必要なトラフィックを正しく送信することができます。
- ルーティング不可能なドメインのサフィックス: 一般に、ルーティング不可能なドメイン名サフィックス (contoso.local など) は避けることをお勧めします。 .local サフィックスはルーティングできないため、DNS 解決で問題の原因となることがあります。
ヒント
カスタム ドメイン名を作成する場合は、既存の DNS 名前空間に注意してください。 Azure およびオンプレミスの既存の DNS 名前空間とは別のドメイン名を使用することをお勧めします。
たとえば、contoso.com の既存の DNS 名前空間がある場合、aaddscontoso.com というカスタム ドメイン名を使用してマネージド ドメインを作成します。 Secure LDAP を使用する必要がある場合は、このカスタム ドメイン名を登録して所有し、必要な証明書を生成する必要があります。
場合によっては、環境内の他のサービス用に追加で DNS レコードを作成したり、環境内に既に存在する 2 つの DNS 名前空間の間に条件付き DNS フォワーダーを作成したりする必要があります。 たとえば、ルート DNS 名を使用するサイトをホストする Web サーバーを実行する場合、名前の競合が発生して、追加の DNS エントリが必要になる可能性があります。
これらのチュートリアルとハウツー記事では、簡略な例として aaddscontoso.com というカスタム ドメインを使用しています。 すべてのコマンドで、独自のドメイン名を指定してください。
DNS 名には、次の制限も適用されます。
- ドメインのプレフィックスの制限: プレフィックスが 15 文字より長いマネージド ドメインを作成できません。 指定するドメイン名のプレフィックス (たとえば、ドメイン名 aaddscontoso.com の aaddscontoso など) は、15 文字以内に収める必要があります。
- ネットワーク名の競合: マネージド ドメインの DNS ドメイン名は、まだ仮想ネットワークに存在していない必要があります。 具体的には、名前の競合につながる次のシナリオをチェックしてください。
- 同じ DNS ドメイン名の Active Directory ドメインが Azure 仮想ネットワーク上に既にあるかどうか。
- マネージド ドメインを有効にする仮想ネットワークに、オンプレミス ネットワークとの VPN 接続があるかどうか。 このシナリオでは、オンプレミス ネットワークに同じ DNS ドメイン名のドメインがないことを確認します。
- その名前の付いた Azure クラウド サービスが Azure 仮想ネットワーク上に既にあるかどうか。
次のように Microsoft Entra 管理センターの [基本] ウィンドウのフィールドに入力して、マネージド ドメインを作成します。
前述のポイントを考慮しながらマネージド ドメインの DNS ドメイン名を入力します。
マネージド ドメインを作成する Azure の場所を選択します。 Availability Zones がサポートされているリージョンを選択すると、Domain Services リソースが、冗長性強化のために複数のゾーンに分散されます。
ヒント
Availability Zones は、Azure リージョン内の一意の物理的な場所です。 それぞれのゾーンは、独立した電源、冷却手段、ネットワークを備えた 1 つまたは複数のデータセンターで構成されています。 回復性を確保するため、有効になっているリージョンにはいずれも最低 3 つのゾーンが別個に存在しています。
Domain Services を複数のゾーンに分散するために、ご自身で構成するものは何もありません。 Azure プラットフォームでは、ゾーンへのリソース分散が自動的に処理されます。 詳細情報および利用可能なリージョンについては、「Azure の Availability Zones の概要」を参照してください。
パフォーマンスとバックアップの頻度は SKU によって決まります。 マネージド ドメインの作成後、ビジネス上の需要や要件に変化が生じた場合は SKU を変更できます。 詳細については、「Domain Services SKU の概念」を参照してください。
このチュートリアルでは、Standard SKU を選択します。
"フォレスト" は、Active Directory Domain Services が 1 つまたは複数のドメインをグループ化するために使用する論理上の構成体です。
追加のオプションを手動で構成するには、 [Next - Networking](次へ - ネットワーク) を選択します。 それ以外の場合は、 [確認および作成] を選択して既定の構成オプションをそのまま使用し、「マネージド ドメインのデプロイ」セクションに進みます。 この作成オプションを選択した場合は、次の既定値が構成されます。
- IP アドレス範囲 10.0.1.0/24 を使用する aadds-vnet という名前の仮想ネットワークを作成します。
- IP アドレス範囲 10.0.1.0/24 を使用して、aadds-subnet という名前のサブネットを作成します。
- Microsoft Entra ID の "すべて" のユーザーをマネージド ドメインに同期させます。
仮想ネットワークを作成して構成する
接続を提供するには、Azure 仮想ネットワークと専用サブネットが必要となります。 Domain Services は、この仮想ネットワーク サブネットの中で有効になります。 このチュートリアルでは仮想ネットワークを作成しますが、既存の仮想ネットワークを使用することもできます。 どちらのアプローチでも、Domain Services が使用するための専用のサブネットを作成する必要があります。
この専用仮想ネットワーク サブネットに関するいくつかの考慮事項を次に示します。
- サブネットは、Domain Services のリソースをサポートするために、そのアドレス範囲に、使用できる IP アドレスを少なくとも 3 から 5 個持っている必要があります。
- Domain Services のデプロイ用に "ゲートウェイ" サブネットは選択しないでください。 Domain Services を "ゲートウェイ" サブネットにデプロイすることはサポートされていません。
- このサブネットに他の仮想マシンをデプロイしないでください。 アプリケーションと VM は、接続をセキュリティで保護するためにネットワーク セキュリティ グループを使用することがよくあります。 これらのワークロードを個別のサブネットで実行することによって、マネージド ドメインへの接続に支障をきたすことなく、それらのネットワーク セキュリティ グループを適用することができます。
仮想ネットワークを計画および構成する方法の詳細については、Microsoft Entra Domain Services のネットワークに関する考慮事項の記事を参照してください。
[ネットワーク] ウィンドウのフィールドに次のように入力します。
[ネットワーク] ページで、Domain Services のデプロイ先となる仮想ネットワークをドロップダウン メニューから選択するか、[新規作成] を選択します。
- 仮想ネットワークを作成するように選択した場合は、仮想ネットワークの名前 (例: myVnet) を入力し、アドレスの範囲 (例: 10.0.1.0/24) を指定します。
- わかりやすい名前 (例: DomainServices) で専用サブネットを作成します。 アドレス範囲 (例: 10.0.1.0/24) を指定します。
必ずプライベート IP アドレスの範囲内にあるアドレスの範囲を選んでください。 自身が所有していないパブリック アドレス空間内の IP アドレス範囲は、Domain Services 内でのエラーを引き起こします。
仮想ネットワーク サブネットを選択します (例: DomainServices)。
準備ができたら、 [Next - Administration](次へ - 管理) を選択します。
管理グループを構成する
Domain Services ドメインの管理には、"AAD DC 管理者" という名前の特殊な管理グループを使用します。 このグループのメンバーには、マネージド ドメインに参加している VM の管理権限が付与されます。 ドメインに参加している VM では、このグループがローカル管理者グループに追加されます。 このグループのメンバーは、リモート デスクトップを使用して、ドメインに参加している VM にリモートで接続することもできます。
重要
あなたは Domain Services を使用するマネージド ドメイン上の "ドメイン管理者" または "エンタープライズ管理者" アクセス許可を持っていません。 これらのアクセス許可はサービスによって予約されており、テナント内でユーザーが使用することはできません。
特権を要する一部の操作については、代わりに AAD DC Administrators グループを使用して実行できます。 これらの操作には、ドメインに参加している VM での管理グループへの所属、グループ ポリシーの構成などが含まれます。
ウィザードによって "AAD DC 管理者" が Microsoft Entra ディレクトリ内に自動的に作成されます。 Microsoft Entra ディレクトリ内にこの名前を持つ既存のグループが存在している場合、ウィザードはそのグループを選択します。 この AAD DC Administrators グループには、デプロイ プロセス中、必要に応じてさらにユーザーを追加することもできます。 これらの手順は後から行うこともできます。
この AAD DC Administrators グループにさらにユーザーを追加するには、 [グループ メンバーシップの管理] を選択します。
[メンバーの追加] ボタンを選択した後、Microsoft Entra ディレクトリからユーザーを検索して選択します。 たとえば、ご自身のアカウントを検索して AAD DC Administrators グループに追加します。
必要に応じて、マネージド ドメインで注意を要するアラートが発生したときの通知の受信者を変更するか追加します。
準備ができたら、 [Next - Synchronization](次へ - 同期) を選択します。
同期の構成
Domain Services では、Microsoft Entra ID に存在する "すべて" のユーザーとグループを同期できるほか、特定のグループのみを "範囲指定" して同期することもできます。 今すぐ同期スコープを変更することも、マネージド ドメインをデプロイすることもできます。 詳細については、「Microsoft Entra Domain Services の範囲指定された同期」を参照してください。
このチュートリアルでは、すべてのユーザーとグループを同期するように選択します。 この同期が既定のオプションとなります。
[Review + create](レビュー + 作成) を選択します。
マネージド ドメインをデプロイする
ウィザードの [概要] ページで、マネージド ドメインの構成設定を確認します。 ウィザードの任意の手順に戻り、変更を加えることができます。 これらの構成オプションを使用し、マネージド ドメインを一貫した方法で別の Microsoft Entra テナントに再デプロイするには、Automation のテンプレートをダウンロードすることもできます。
マネージド ドメインを作成するには、 [作成] を選択します。 Domain Services のマネージド ドメインの作成後は、DNS 名や仮想ネットワークなど、特定の構成オプションは変更できないという注意が表示されます。 続行するには、 [OK] を選択します。
マネージド ドメインのプロビジョニングのプロセスは、最大で 1 時間かかることがあります。 Domain Services のデプロイの進行状況を示す通知がポータルに表示されます。 通知を選択すると、デプロイの詳細な進行状況が表示されます。
リソース グループ (例: myResourceGroup) を選択し、Azure リソースの一覧からマネージド ドメイン (例: aaddscontoso.com) を選択します。 [概要] タブでは、マネージド ドメインが現在 "デプロイ中" であることが示されます。 完全にプロビジョニングされるまで、マネージド ドメインを構成することはできません。
マネージド ドメインが完全にプロビジョニングされると、 [概要] タブには、ドメインの状態が [実行中] であることが示されます。
重要
マネージド ドメインは、Microsoft Entra テナントに関連付けられています。 プロビジョニング プロセスの間に、"Domain Controller Services" と "AzureActiveDirectoryDomainControllerServices" という 2 つのエンタープライズ アプリケーションが、Domain Services によって Microsoft Entra テナントに作成されます。 これらのエンタープライズ アプリケーションは、マネージド ドメインのサービスを提供するために使用されます。 これらのアプリケーションは削除しないでください。
Azure 仮想ネットワークの DNS 設定を更新する
Domain Services のデプロイに成功したら、接続された他の VM やアプリケーションがマネージド ドメインを使用できるように仮想ネットワークを構成します。 この接続性を確保するには、マネージド ドメインのデプロイ先である 2 つの IP アドレスを指すように仮想ネットワークの DNS サーバー設定を更新します。
マネージド ドメインの [概要] タブに、必要な構成手順がいくつか表示されます。 最初の構成手順は、仮想ネットワークの DNS サーバー設定を更新することです。 DNS 設定が正しく構成されると、この手順は表示されなくなります。
列挙されているアドレスは、仮想ネットワークで使用するためのドメイン コントローラーです。 この例では、10.0.1.4 と 10.0.1.5 がそれらのアドレスに該当します。 これらの IP アドレスは、後から [プロパティ] タブで確認できます。
仮想ネットワークの DNS サーバー設定を更新するには、 [構成] ボタンを選択します。 仮想ネットワークの DNS 設定が自動的に構成されます。
ヒント
前の手順で既存の仮想ネットワークを選択した場合、ネットワークに接続された VM が新しい DNS 設定を取得するのは、再起動後となります。 VM は、Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Azure CLI を使用して再起動できます。
Domain Services のユーザー アカウントを有効にする
Domain Services でマネージド ドメインのユーザーを認証するためには、NT LAN Manager (NTLM) 認証および Kerberos 認証に適した形式のパスワード ハッシュが必要となります。 NTLM 認証と Kerberos 認証に必要な形式のパスワード ハッシュは、ご利用のテナントに対して Domain Services を有効にするまで、Microsoft Entra ID で生成または保存されることはありません。 また、セキュリティ上の理由から、クリアテキスト形式のパスワード資格情報が Microsoft Entra ID に保存されることもありません。 そのため、Microsoft Entra ID では、ユーザーの既存の資格情報に基づいて、これらの NTLM やKerberos のパスワード ハッシュを自動的に生成することはできません。
Note
適切に構成されれば、使用可能なパスワード ハッシュがマネージド ドメインに保存されます。 マネージド ドメインを削除した場合、その時点で保存されていたパスワード ハッシュがあればすべて削除されます。
別のマネージド ドメインを後から作成した場合、Microsoft Entra ID にある同期済みの資格情報は再利用できません。パスワード ハッシュを再度保存するには、パスワード ハッシュ同期を再構成する必要があります。 既にドメイン参加済みの VM またはユーザーがすぐに認証を行うことはできません。Microsoft Entra ID が、新しいマネージド ドメインにパスワード ハッシュを生成して保存する必要があります。
詳細については、Domain Services と Microsoft Entra Connect のパスワード ハッシュ同期プロセスに関する記事を参照してください。
Microsoft Entra ID に作成されたユーザー アカウントがクラウド専用のアカウントであるか、オンプレミス ディレクトリとの間で Microsoft Entra Connect を使って同期されたアカウントであるかによって、パスワード ハッシュの生成と保存の手順は異なります。
クラウド専用ユーザー アカウントとは、Microsoft Entra 管理センターまたは Microsoft Graph PowerShell コマンドレットを使用して Microsoft Entra ディレクトリに作成されたアカウントです。 そのようなユーザー アカウントは、オンプレミス ディレクトリとの間で同期されません。
このチュートリアルでは、基本的なクラウド専用ユーザー アカウントを使用することにします。 Microsoft Entra Connect を使用するために別途必要な手順の詳細については、「オンプレミス AD との間で同期されたユーザー アカウントのパスワード ハッシュをマネージド ドメインとの間で同期する」を参照してください。
ヒント
Microsoft Entra テナントにクラウド専用ユーザーとオンプレミス AD からのユーザーが混在している場合は、両方の手順を実行する必要があります。
クラウド専用ユーザー アカウントの場合、ユーザーは Domain Services を使用する前に各自のパスワードを変更する必要があります。 このパスワード変更プロセスによって、Kerberos 認証と NTLM 認証に使用されるパスワード ハッシュが Microsoft Entra ID に生成されて保存されます。 パスワードが変更されるまで、アカウントは Microsoft Entra ID から Domain Services に同期されません。 テナント内のクラウド ユーザーのうち、Domain Services を使用する必要がある全ユーザーのパスワードを期限切れにして、次回のサインイン時にパスワードの変更を強制するか、または、各自のパスワードを手動で変更するようクラウド ユーザーに指示してください。 このチュートリアルでは、ユーザー パスワードを手動で変更しましょう。
ユーザーが自分のパスワードをリセットできるように、あらかじめ Microsoft Entra テナントをセルフサービス パスワード リセット用に構成しておく必要があります。
クラウド専用ユーザーのパスワードを変更するには、ユーザーが次の手順を実行する必要があります。
https://myapps.microsoft.com で [Microsoft Entra ID アクセス パネル] ページに移動します。
右上隅にあるご自身の名前を選択し、ドロップダウン メニューから [プロファイル] を選択します。
[プロファイル] ページの [パスワードの変更] を選択します。
[パスワードの変更] ページで既存の (古い) パスワードを入力した後、新しいパスワードを入力して、それを確認します。
送信を選択します。
パスワードの変更後、Domain Services で新しいパスワードを使用したり、マネージド ドメインに参加しているコンピューターに正常にサインインしたりできるようになるまでには数分かかります。
次のステップ
このチュートリアルでは、以下の内容を学習しました。
- マネージド ドメイン用に DNS と仮想ネットワークの設定を構成する
- マネージド ドメインの作成
- 管理ユーザーをドメイン管理に追加する
- Domain Services のユーザー アカウントを有効にしてパスワード ハッシュを生成する
このマネージド ドメインの動作を確認するために、仮想マシンを作成してドメインに参加させます。