チュートリアル: Microsoft Entra Domain Services マネージド ドメインを構成および管理するための管理 VM を作成する

Microsoft Entra Domain Services は、Windows Server Active Directory と完全に互換性のあるドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証などのマネージド ドメイン サービスを提供します。 このマネージド ドメインは、オンプレミスの Active Directory Domain Services ドメインと同じリモート サーバー管理ツール (RSAT) を使用して管理します。 Domain Services はマネージド サービスであるため、リモート デスクトップ プロトコル (RDP) を使用してドメイン コントローラーに接続するなど、実行できない管理タスクがいくつかあります。

このチュートリアルでは、Azure で Windows Server VM を構成し、Domain Services マネージド ドメインを管理するために必要なツールをインストールする方法について説明します。

このチュートリアルでは、以下の内容を学習します。

• マネージド ドメインで使用可能な管理タスクについて
• Windows Server VM に Active Directory 管理ツールをインストールする
• Active Directory 管理センターを使用して一般的なタスクを実行する

Azure サブスクリプションをお持ちでない場合は、開始 する前にアカウントを作成 してください。

[前提条件]

このチュートリアルを完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション。
  • Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
• ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
  • 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
• Microsoft Entra テナント内の Microsoft Entra Domain Services マネージド ドメインが有効化および構成されています。
  • 必要に応じて、 Microsoft Entra Domain Services マネージド ドメインを作成して構成する最初のチュートリアルを参照してください。
• マネージド ドメインに参加している Windows Server VM。
  • 必要に応じて、 Windows Server VM を作成してマネージド ドメインに参加させる前のチュートリアルを参照してください。
• Microsoft Entra テナントの Microsoft Entra DC 管理者グループのメンバーであるユーザー アカウント。
• Domain Services 仮想ネットワークにデプロイされた Azure Bastion ホスト。
  • 必要に応じて Azure Bastion ホストを作成してください。

Microsoft Entra 管理センターにサインインする

このチュートリアルでは、Microsoft Entra 管理センターを使用して管理 VM を作成して構成します。 まず、Microsoft Entra 管理センター にサインインします。

Domain Services で使用可能な管理タスク

Domain Services は、ユーザー、アプリケーション、およびサービスが使用するマネージド ドメインを提供します。 このようなアプローチにより、実行できる管理タスクや、マネージド ドメイン内で与えられる特権が一部変更されています。 これらのタスクとアクセス許可は、通常のオンプレミス Active Directory Domain Services 環境と異なる場合があります。 また、リモート デスクトップを使用してマネージド ドメイン上のドメイン コントローラーに接続することもできません。

マネージド ドメインで実行できる管理タスク

AAD DC Administrators グループのメンバーには、次のようなタスクを実行できるマネージド ドメインの特権が付与されます。

• マネージド ドメインの AADDC コンピューター と AADDC Users コンテナーの組み込みグループ ポリシー オブジェクト (GPO) を構成します。
• マネージド ドメイン上で DNS を管理する。
• マネージド ドメインでカスタム組織単位 (OU) を作成して管理します。
• マネージド ドメインに参加しているコンピューターへの管理アクセスを取得する。

マネージド ドメインに対して持っていない管理特権

マネージド ドメインはロックダウンされているため、ドメインで特定の管理タスクを実行する権限がありません。 次の例には、実行できないタスクがあります。

• マネージド ドメインのスキーマを拡張する。
• リモート デスクトップを使用してマネージド ドメインのドメイン コントローラーに接続する。
• マネージド ドメインにドメイン コントローラーを追加する。
• 管理対象ドメインに対するドメイン管理者またはエンタープライズ管理者特権を持っていません。

Windows Server VM にサインインする

前のチュートリアルでは、Windows Server VM が作成され、マネージド ドメインに参加しました。 その VM を使用して管理ツールをインストールします。 必要に応じて、 チュートリアルの手順に従って Windows Server VM を作成し、マネージド ドメインに参加させます。

注

このチュートリアルでは、マネージド ドメインに参加している Azure の Windows Server VM を使用します。 マネージド ドメインに参加している Windows クライアント (Windows 10 など) を使用することもできます。

Windows クライアントに管理ツールをインストールする方法の詳細については、「リモート サーバー管理ツール (RSAT) のインストール」を参照してください。

開始するには、次のように Windows Server VM に接続します。

1. Microsoft Entra 管理センターで、左側にある [リソース グループ ] を選択します。 myResourceGroup など、VM が作成されたリソース グループを選択し、myVM などの VM を選択します。

2. VM の [概要] ペインで [接続] を選択し、 [Bastion] を選択します。

   

3. VM の資格情報を入力し、[ 接続] を選択します。

   

必要に応じて、ポップアップの表示を Web ブラウザーに許可して、Bastion 接続を表示します。 VM への接続には数秒かかります。

Active Directory 管理ツールをインストールする

Active Directory 管理センター (ADAC) や AD PowerShell など、オンプレミスの AD DS 環境と同じ管理ツールをマネージド ドメインで使用します。 これらのツールは、Windows Server およびクライアント コンピューターのリモート サーバー管理ツール (RSAT) 機能の一部としてインストールできます。 その後、 AAD DC Administrators グループのメンバーは、マネージド ドメインに参加しているコンピューターからこれらの AD 管理ツールを使用して、マネージド ドメインをリモートで管理できます。

ドメインに参加している VM に Active Directory 管理ツールをインストールするには、次の手順を実行します。

1. VM にサインインするときに サーバー マネージャー が既定で開かない場合は、[ スタート ] メニューを選択し、[ サーバー マネージャー] を選択します。

2. [サーバー マネージャー] ウィンドウの [ダッシュボード] ウィンドウで、[役割と機能の追加] を選択します。

3. 役割と機能の追加ウィザードの [開始する前に] ページで、[次へ] を選択します。

4. [インストールの種類] で、[役割ベースまたは機能ベースのインストール] オプションをオンのままにして、[次へ] を選択します。

5. [ サーバーの選択] ページで、サーバー プールから現在の VM ( myvm.aaddscontoso.com など) を選択し、[ 次へ] を選択します。

6. [ サーバーの役割] ページで、[ 次へ] をクリックします。

7. [ 機能 ] ページで、[ リモート サーバー管理ツール ] ノードを展開し、[ 役割管理ツール ] ノードを展開します。

   役割管理ツールの一覧から AD DS と AD LDS ツール 機能を選択し、[ 次へ] を選択します。

   

8. [確認] ページで [インストール] を選択します。 管理ツールのインストールには 1 ~ 2 分かかる場合があります。

9. 機能のインストールが完了したら、[ 閉じる ] を選択して 役割と機能の追加 ウィザードを終了します。

Active Directory 管理ツールを使用する

管理ツールがインストールされたら、それらを使用してマネージド ドメインを管理する方法を見てみましょう。 AAD DC Administrators グループのメンバーであるユーザー アカウントを使用して VM にサインインしていることを確認します。

1. [スタート] メニューの [Windows 管理ツール] を選択します。 前の手順でインストールした AD 管理ツールが一覧表示されます。

   

2. Active Directory 管理センターを選択します。

3. マネージド ドメインを探索するには、左側のウィンドウでドメイン名 ( aaddscontoso など) を選択します。 AADDC コンピューターと AADDC ユーザーという名前の 2 つのコンテナーが一覧の一番上にあります。

   

4. マネージド ドメインに属しているユーザーとグループを表示するには、 AADDC Users コンテナーを選択します。 このコンテナーには、Microsoft Entra テナントのユーザー アカウントとグループが一覧表示されます。

   次の出力例では、 Contoso Admin という名前のユーザー アカウントと AAD DC 管理者 のグループがこのコンテナーに表示されます。

   

5. マネージド ドメインに参加しているコンピューターを表示するには、 AADDC Computers コンテナーを選択します。 myVM などの現在の仮想マシンのエントリが一覧表示されます。 マネージド ドメインに参加しているすべてのデバイスのコンピューター アカウントは、この AADDC Computers コンテナーに格納されます。

ユーザー アカウントのパスワードのリセットやグループ メンバーシップの管理など、Active Directory 管理センターの一般的なアクションを使用できます。 これらのアクションは、マネージド ドメインで直接作成されたユーザーとグループに対してのみ機能します。 ID 情報は、Microsoft Entra ID から Domain Services にのみ同期されます。 Domain Services から Microsoft Entra ID への書き戻しはありません。 Microsoft Entra ID から同期されたユーザーのパスワードまたはマネージド グループ メンバーシップを変更して、それらの変更を再同期することはできません。

管理ツールの一部としてインストールされている Windows PowerShell 用 Active Directory モジュールを使用して、マネージド ドメインの一般的なアクションを管理することもできます。

次のステップ

このチュートリアルでは、次の方法を学習しました。

• マネージド ドメインで使用可能な管理タスクについて
• Windows Server VM に Active Directory 管理ツールをインストールする
• Active Directory 管理センターを使用して一般的なタスクを実行する

他のアプリケーションからマネージド ドメインと安全に対話するには、セキュリティで保護されたライトウェイト ディレクトリ アクセス プロトコル (LDAPS) を有効にします。

マネージド ドメインのセキュリティで保護された LDAP を構成する