Windows Server 2016 の Active Directory Domain Services の新機能

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

Active Directory Domain Services (AD DS) の次の新機能により、組織が Active Directory 環境をセキュリティで保護する機能が向上し、クラウド専用のデプロイと、一部のアプリケーションやサービスがクラウドでホストされ、他のアプリケーションやサービスがオンプレミスでホストされているハイブリッド デプロイに移行できます。 WebJobs からの改善点は、以下のとおりです。

特権アクセス管理

特権アクセス管理 (PAM) は、pass-the-hash、スピア フィッシング、および同様のタイプの攻撃などの資格情報の盗難技術によって引き起こされる Active Directory 環境のセキュリティ上の懸念を軽減するのに役立ちます。 それにより、Microsoft Identity Manager (MIM) を使用して構成される新しい管理アクセス ソリューションが提供されます。 PAM によって導入されるものは、次のとおりです。

  • MIM によってプロビジョニングされる新しい bastion である Active Directory フォレスト。 その bastion フォレストは、既存のフォレストとの特別な PAM 信頼を持っています。 悪意のあるアクティビティが存在しないことがわかっている新しい Active Directory 環境と、特権アカウントを使用するために既存のフォレストからの分離を提供します。

  • 管理特権を必要とする MIM の新しいプロセスと、要求の承認に基づく新しいワークフロー。

  • 管理特権の要求に応じて MIM によって bastion フォレストにプロビジョニングされる、新しいシャドウ セキュリティ プリンシパル (グループ)。 シャドウ セキュリティ プリンシパルには、既存フォレスト内の管理グループの SID を参照する属性があります。 これにより、シャドウ グループは、アクセス制御リスト (ACL) を変更することなく、既存のフォレスト内のリソースにアクセスできます。

  • リンクを期限切れにする機能。シャドウ グループの期限付きメンバーシップを有効にします。 管理タスクの実行に必要な時間の間のみユーザーをグループに追加する、ということができます。 期限付きメンバーシップは Time to Live (TTL) 値で表され、Kerberos チケットの有効期間に反映されます。

    注意

    リンクの期限切れは、リンクされたすべての属性で使用できます。 ただし、グループとユーザーの間のリンクされた member または memberOf 属性リレーションシップは、PAM などの完全なソリューションがリンクの期限切れ機能を使用するように事前構成されている唯一の例です。

  • KDC の機能強化は Active Directory ドメイン コントローラーに組み込まれていて、ユーザーの管理グループに複数の期限付きメンバーシップが設定されている場合は、Kerberos チケットの有効期間を可能な最小の Time to Live (TTL) 値に制限します。 たとえば、期限付きグループ A に追加された場合、ログオンすると、Kerberos Ticket Granting Ticket (TGT) の有効期間は、グループ A の残り時間と等しくなります。グループ A よりも TTL が短い別の期限付きグループ B のメンバーでもある場合、TGT の有効期間はグループ B の残り時間と等しくなります。

  • アクセスを要求したユーザー、付与されたアクセス許可、実行されたアクティビティを簡単に確認できる新しい監視機能。

特権アクセス管理の要件

  • Microsoft Identity Manager

  • Windows Server 2012 R2 以上の Active Directory フォレスト機能レベル。

Microsoft Entra 参加

Microsoft Entra 参加は、企業、ビジネス、教育機関のお客様の ID エクスペリエンスを強化し、会社のデバイスと個人のデバイスの機能も強化します。

利点:

  • 会社所有の Windows デバイスでのモダン設定の可用性。 Windows のコア機能では個人用の Microsoft アカウントが必要なくなり、ユーザーの既存の職場アカウントから実行してコンプライアンスを確保できるようになりました。 これらのサービスは、オンプレミスの Windows ドメインに参加している PC、および Microsoft Entra に "参加" している PC とデバイスで機能します。 これらの設定には、以下が含まれます。

    • ローミングまたは個人用設定、アクセシビリティ設定、資格情報
    • バックアップと復元
    • 職場アカウントでの Microsoft Store へのアクセス
    • ライブ タイルと通知

  • 会社が所有するのもか BYOD かを問わず、Windows ドメインに参加できないモバイル デバイス (電話、タブレット) で組織のリソースにアクセスできます。

  • Office 365 およびその他の組織のアプリ、Web サイト、リソースへのシングルサインオン

  • BYOD デバイスで、職場アカウントを (オンプレミス ドメインまたは Azure AD から) 個人で所有しているデバイスに追加し、SSO を利用してアプリおよび Web 経由で職場のリソースにアクセスできるため、条件付きアカウント制御やデバイス正常性構成証明などの新機能でのコンプライアンスを確保できます。

  • MDM 統合を使用すると、モバイル デバイス管理 (MDM) ツール (Microsoft Intune またはサード パーティ製) にデバイスを自動登録できます。

  • 組織内の複数のユーザーに対して "キオスク" モードと共有デバイスを設定する

  • 開発者エクスペリエンスでは、共有プログラミング スタックを使用して会社と個人の両方のコンテキストに対応するアプリをビルドできます。

  • イメージング オプションを使用すると、イメージングか、ユーザーが最初の実行エクスペリエンスで会社所有のデバイスを直接構成することを許可するかを選択できます。

詳しくは、「Azure Active Directory のデバイス管理の概要」を参照してください。

Windows Hello for Business

Windows Hello for Business は、組織およびコンシューマー向けの、パスワードを超えるキーベースの認証方法です。 この形式の認証には、侵害、盗難、フィッシングに抵抗できる資格情報が使用されます。

ユーザーは、証明書または非対称キー ペアにリンクされた生体認証または PIN ログオン情報を使用してデバイスにログオンします。 ID プロバイダー (IDP) は、ユーザーの公開キーを IDLocker にマッピングしてユーザーを検証し、ワンタイム パスワード (OTP)、電話、または別の通知メカニズムを使用してログオン情報を提供します。

詳細については、「Windows Hello for Business」を参照してください。

ファイル レプリケーション サービス (FRS) と Windows Server 2003 の機能レベルの非推奨

ファイル レプリケーション サービス (FRS) と Windows Server 2003 の機能レベルは、以前のバージョンの Windows Server で非推奨になりました。繰り返しになりますが、Windows Server 2003 オペレーティング システムはサポートされなくなったことにご注意ください。 その結果として、Windows Server 2003 を実行するすべてのドメイン コントローラーを、ドメインから削除する必要があります。 以前のバージョンの Windows Server を実行するドメイン コントローラーが環境に追加されるのを防ぐために、ドメインとフォレストの機能レベルを少なくとも Windows Server 2008 に上げる必要があります。

Windows Server 2008 以上のドメイン機能レベルでは、分散ファイル サービス (DFS) レプリケーションを使用して、ドメイン コントローラー間で SYSVOL フォルダーの内容をレプリケートします。 Windows Server 2008 ドメイン機能レベル以上で新しいドメインを作成した場合、SYSVOL フォルダーのレプリケートには DFS レプリケーションが自動的に使用されます。 それより低い機能レベルでドメイン作成した場合は、SYSVOL フォルダーのレプリケーションを FRS から DFS に移行する必要があります。 移行手順については、こちらの手順に従うか、ストレージ チームのファイル キャビネット ブログの合理化された一連の手順を参照してください。

詳細については、次のリソースを参照してください。