Active Directory Domain Services の新機能
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
Active Directory Domain Services (AD DS) の次の新機能により、組織が Active Directory 環境をセキュリティで保護する機能が向上し、クラウド専用のデプロイと、一部のアプリケーションやサービスがクラウドでホストされ、他のアプリケーションやサービスがオンプレミスでホストされているハイブリッド デプロイに移行できます。 WebJobs からの改善点は、以下のとおりです。
特権アクセス管理
特権アクセス管理 (PAM) は、pass-the-hash、スピア フィッシング、および同様のタイプの攻撃などの資格情報の盗難技術によって引き起こされる Active Directory 環境のセキュリティ上の懸念を軽減するのに役立ちます。 それにより、Microsoft Identity Manager (MIM) を使用して構成される新しい管理アクセス ソリューションが提供されます。 PAM によって導入されるものは、次のとおりです。
MIM によってプロビジョニングされる新しい bastion である Active Directory フォレスト。 その bastion フォレストは、既存のフォレストとの特別な PAM 信頼を持っています。 悪意のあるアクティビティが存在しないことがわかっている新しい Active Directory 環境と、特権アカウントを使用するために既存のフォレストからの分離を提供します。
管理特権を必要とする MIM の新しいプロセスと、要求の承認に基づく新しいワークフロー。
管理特権の要求に応じて MIM によって bastion フォレストにプロビジョニングされる、新しいシャドウ セキュリティ プリンシパル (グループ)。 シャドウ セキュリティ プリンシパルには、既存フォレスト内の管理グループの SID を参照する属性があります。 これにより、シャドウ グループは、アクセス制御リスト (ACL) を変更することなく、既存のフォレスト内のリソースにアクセスできます。
リンクを期限切れにする機能。シャドウ グループの期限付きメンバーシップを有効にします。 管理タスクの実行に必要な時間の間のみユーザーをグループに追加する、ということができます。 期限付きメンバーシップは Time to Live (TTL) 値で表され、Kerberos チケットの有効期間に反映されます。
注意
リンクの期限切れは、リンクされたすべての属性で使用できます。 ただし、グループとユーザーの間のリンクされた member または memberOf 属性リレーションシップは、PAM などの完全なソリューションがリンクの期限切れ機能を使用するように事前構成されている唯一の例です。
KDC の機能強化は Active Directory ドメイン コントローラーに組み込まれていて、ユーザーの管理グループに複数の期限付きメンバーシップが設定されている場合は、Kerberos チケットの有効期間を可能な最小の Time to Live (TTL) 値に制限します。 たとえば、ご自身が期限付きグループ A に追加されたとします。ログオンすると、Kerberos チケット保証チケット (TGT) の有効期間は、グループ A での残り時間と同じになります。グループ A よりも TTL が短い別の期限付きグループ B のメンバーでもある場合は、TGT 有効期間は、グループ B での残り時間と同じになります。
アクセスを要求したユーザー、付与されたアクセス許可、実行されたアクティビティを簡単に確認できる新しい監視機能。
必要条件
Microsoft Identity Manager
Windows Server 2012 R2 以上の Active Directory フォレスト機能レベル。
Azure AD Join
Azure Active Directory Join により、Enterprise、Business、EDU のお客様向け ID エクスペリエンスが向上し、会社と個人のデバイスの機能が強化されます。
利点:
会社所有の Windows デバイスでのモダン設定の可用性。 Oxygen Services に個人用 Microsoft アカウントは不要になりました: コンプライアンスを確保するためにユーザーの既存の職場アカウントから実行されます。 Oxygen Services は、オンプレミスの Windows ドメインに参加している PC と、Azure AD テナント ("クラウド ドメイン") に "参加" している PC およびデバイスで機能します。 これらの設定には、以下が含まれます。
ローミングまたは個人用設定、アクセシビリティ設定、資格情報
バックアップと復元
職場アカウントでの Microsoft Store へのアクセス
ライブ タイルと通知
会社所有か BYOD かにかかわらず、Windows ドメインに参加できないモバイル デバイス (携帯電話、タブレット) での組織のリソースへのアクセス
Office 365 およびその他の組織のアプリ、Web サイト、リソースへのシングルサインオン。
BYOD デバイスで、職場アカウントを (オンプレミス ドメインまたは Azure AD から) 個人で所有しているデバイスに追加し、SSO を利用してアプリおよび Web 経由で職場のリソースにアクセスできるため、条件付きアカウント制御やデバイス正常性構成証明などの新機能でのコンプライアンスを確保できます。
MDM 統合により、MDM (Intune またはサードパーティ) にデバイスを自動登録できます
組織内の複数のユーザーに対して "キオスク" モードと共有デバイスを設定する
開発者エクスペリエンスでは、共有プログラミング スタックを使用して会社と個人の両方のコンテキストに対応するアプリをビルドできます。
イメージング オプションを使用すると、イメージングか、ユーザーが最初の実行エクスペリエンスで会社所有のデバイスを直接構成することを許可するかを選択できます。
詳細については、「エンタープライズ向け Windows 10: 作業用のデバイスを使用する方法」を参照してください。
Windows Hello for Business
Windows Hello for Business は、組織およびコンシューマー向けの、パスワードを超える新しいキーベースの認証方法です。 この形式の認証には、侵害、盗難、フィッシングに抵抗できる資格情報が使用されます。
ユーザーは、証明書または非対称キー ペアにリンクされた生体認証または PIN ログオン情報を使用してデバイスにログオンします。 ID プロバイダー (IDP) は、ユーザーの公開キーを IDLocker にマッピングしてユーザーを検証し、ワンタイム パスワード (OTP)、Phonefactor、または別の通知メカニズムを使用してログオン情報を提供します。
詳細については、Windows Hello for Business を使用したパスワードなしの ID の認証に関するページを参照してください
ファイル レプリケーション サービス (FRS) と Windows Server 2003 の機能レベルの非推奨
ファイル レプリケーション サービス (FRS) と Windows Server 2003 の機能レベルは、以前のバージョンの Windows Server で非推奨になりました。繰り返しになりますが、Windows Server 2003 オペレーティング システムはサポートされなくなったことにご注意ください。 その結果として、Windows Server 2003 を実行するすべてのドメイン コントローラーを、ドメインから削除する必要があります。 以前のバージョンの Windows Server を実行するドメイン コントローラーが環境に追加されるのを防ぐために、ドメインとフォレストの機能レベルを少なくとも Windows Server 2008 に上げる必要があります。
Windows Server 2008 以上のドメイン機能レベルでは、分散ファイル サービス (DFS) レプリケーションを使用して、ドメイン コントローラー間で SYSVOL フォルダーの内容をレプリケートします。 Windows Server 2008 ドメイン機能レベル以上で新しいドメインを作成した場合、SYSVOL フォルダーのレプリケートには DFS レプリケーションが自動的に使用されます。 それより低い機能レベルでドメイン作成した場合は、SYSVOL フォルダーのレプリケーションを FRS から DFS に移行する必要があります。 移行手順については、TechNet の手順に従うか、ストレージ チームのファイル キャビネット ブログの合理化された一連の手順を参照してください。
Windows Server 2003 のドメインとフォレストの機能レベルは引き続きサポートされますが、組織は、今後の SYSVOL レプリケーションの互換性とサポートを確保するために、機能レベルを Windows Server 2008 (可能な場合はそれ以上) に上げる必要があります。 さらに、より高い機能レベルで使用できるその他の多くの利点と機能があります。 詳細については、次のリソースを参照してください。