次の方法で共有


Active Directory オンデマンド アセスメントの概要

Active Directory Assessment では、オンプレミス、Azure VM、または Amazon Web Services (AWS) VM で実行されているドメイン コントローラーを使用して Active Directory 環境の評価を取得できます。 Active Directory インフラストラクチャと、アプリケーション、ソフトウェア更新プログラム、オペレーティング システムを展開するなどの機能のパフォーマンスを向上させるために、分析によって、修復に関するガイダンスとベスト プラスティスで対処する問題の一覧が生成されます。 評価はサービス ハブを通じて利用できます。これにより、Microsoft テクノロジーの可用性、セキュリティ、パフォーマンスを最適化できます。 これらの評価は、Microsoft Azure Log Analytics を使用します。Azure Log Analytics は、ご使用の環境全体における IT とセキュリティの管理を簡素化するよう設計されています。

このアセスメントは、Active Directory および組織のリスクを軽減するために、重点分野の具体的で実践的なガイダンスをグループ化して提示するように設計されています。

Active Directory アセスメントでは、次のようにいくつかの重要な柱に焦点を当てています。

  • 運用プロセス
  • Active Directory のレプリケーション
  • サイトのトポロジとサブネット
  • 名前解決 (DNS)
  • ドメイン コントローラーの正常性
  • Active Directory データベース
  • SYSVOL とグループ ポリシーの正常性
  • アカウント情報とトークン サイズ
  • OS 情報とネットワーク
  • Windows Time の構成

Active Directory アセスメントの実行

前提条件

サービス ハブを通じて使用できるオンデマンド評価のメリットを最大限に活かすためには、次のことを行う必要があります。

  1. アクティブな Azure サブスクリプションをServices Hubにリンクさせて、AD アセスメントを追加する。 詳細については、『オンデマンド評価の概要』 を参照するか、『動画をリンクする方法』をご覧ください。

  2. 次の権限を持つドメイン アカウント (ユーザーまたは 管理されたサービス アカウント) を持つ:

    • Enterprise 管理者
    • フォレスト内のすべてのドメイン コントローラーへの管理アクセス
    • ドメイン コントローラーが参加しているすべての Microsoft ドメイン ネーム システム (DNS) サーバーへの管理アクセス
    • データ収集マシンへの管理アクセス
    • データ収集マシンに対するバッチ ジョブ特権でのログオン
  3. AD 評価については、前提条件ドキュメントを確認してください。 このドキュメントは、AD アセスメントの詳細な技術文書と、アセスメントの実行に必要なサーバーの準備について説明します。 また、評価によって収集される異なる種類のデータについても説明しています。

注: ご使用の環境の初期構成を行ってオンデマンド評価を実行するには、平均で 2 時間かかります。 評価を実行した後、Azure Log Analytics でデータを確認できます。 これにより、推奨事項の優先順位付けられたリストが提供されます。これは 6 つの重点分野にまたがって分類されます。 これにより、ユーザーとユーザーのチームが、リスク レベル、ご使用の環境の正常性、リスクを軽減する行為をすばやく理解し、IT 全体の正常性を向上できます。

データ収集マシンでの AD Assessment のセットアップ

注: Azure サブスクリプションを Services Hub にリンクし、Services Hub で [IT 正常性 -> オンデマンド評価] から AD 評価を追加するだけで、評価を正常にセットアップすることができます。

  1. データ収集マシン上に C:\OMS\AD フォルダー (またはシステムによって予約されている C:\ODA 以外の他のフォルダー) を作成します

  2. 管理者モードで通常の PowerShell (ISE ではない) を開いて以下のコマンドレットを実行します。

Add-ADAssessmentTask -WorkingDirectory' command

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

  1. この記事の前半で説明されている要件を満たす、必要なユーザー アカウントの資格情報を提供します

  2. データ収集は、前回のスクリプトの実行から 1 時間以内に、そしてその後は 7 日ごとに、ADAssessment の名前の付いたスケジュール化されたタスクによってトリガーされます。 [タスク スケジューラ ライブラリ]、Microsoft フォルダー、[Operations Management Suite]、[AOI***]、[評価]、[ADAssessment] から、タスクを変更して別の日付/時刻に実行することや、即時実行を強制することができます。

  3. 収集および分析している間に、セットアップ時に構成された作業ディレクトリ フォルダー下にデータが一時的に保存されます。

  4. 数時間後に、評価結果が Log Analytics とサービス ハブ ダッシュボードに掲載されます。 [Services Hub -> 正常性 -> 評価] に移動し、アクティブな評価に対して [すべての推奨事項を表示] をクリックすると結果を確認できます。

  5. AD 環境に関する問題に Microsoft 認定エンジニアとともに対応したい場合は、Microsoft 担当者に連絡し、リモートまたはオンサイト CE 主導デリバリーについて問い合わせてください。

    契約 リモート エンジニア オンサイト エンジニア
    Premier AD リモート データシート AD オンサイト データシート
    ユニファイド AD リモート データシート AD オンサイト データシート