RDS 展開と Azure AD Domain Services との統合
Windows Server Active Directory の代わりに、リモート デスクトップ サービス展開で Azure AD Domain Services (Azure AD DS) を使用できます。 Azure AD DS を使用すると、既存の Azure AD ID を 従来の Windows ワークロードと一緒に使用できます。
Azure AD DS では、次のことができます。
- クラウド生まれの組織のためにローカル ドメインで Azure 環境を作成する。
- サイト間 VPN や ExpressRoute の作成を必要とせずに、オンプレミスおよびオンライン環境用に使用されているものと同じ ID で、分離された Azure 環境を作成する。
リモート デスクトップ展開への Azure AD DS の統合が完了したら、アーキテクチャは次のようになります。
このアーキテクチャを他の RDS の展開シナリオと比較する方法については、「リモート デスクトップ サービスのアーキテクチャ」を確認してください。
Azure AD DS の理解を深めるためには、Azure AD DS の概要およびAzure AD DS がユースケースに適しているかを判断する方法に関するページを参照してください。
次の情報を使用して、Azure AD DS を RDS と一緒に展開します。
前提条件
Azure AD から ID を取得して RDS 展開内で使用する前に、ユーザーの ID に対してハッシュされたパスワードを保存するように Azure AD を構成します。 クラウド生まれの組織では、自分の組織のディレクトリに追加の変更を加える必要はありませんが、オンプレミス組織では、パスワードハッシュが同期されて Azure AD に格納されることを許可する必要があり、このことは組織によっては許されない場合もあります。 ユーザーはこの構成変更の後、パスワードを再設定する必要があります。
Azure AD DS および RDSを展開する
次の手順を使用して、Azure AD DS と RDS を展開します。
Azure AD DS を有効にします。 リンクされている記事では以下を行います。
- ドメイン管理用の適切な Azure AD グループを作成する手順を示します。
- ユーザーのアカウントが Azure AD DS で動作できるようにするために、ユーザーにパスワードの変更を強制することが必要になる場合について強調して説明しています。
RDS をセットアップします。 Azure テンプレートを使用するか、RDS を手動で展開できます。
既存の AD テンプレートを使用します。 以下を必ずカスタマイズします。
設定
リソース グループ:RDS リソースを作成するリソース グループを使用します。
注意
ここでは、Azure リソース マネージャー仮想ネットワークが存在するのと同じリソース グループにする必要があります。
Dns Label Prefix (DNS ラベル プレフィックス) :RD Web にアクセスするためにユーザーに使用させる URL を入力します。
Ad Domain Name (AD ドメイン名) :Azure AD インスタンスのフルネーム ("contoso.onmicrosoft.com" または "contoso.com") を入力します。
Ad Vnet Name (AD VNet 名) および Ad Subnet Name (AD サブネット名) :Azure リソース マネージャー仮想ネットワークを作成したときに使用したのと同じ値を入力します。 これは、RDS リソースの接続先サブネットです。
Admin Username (管理ユーザー名) および Admin Password (管理パスワード) :Azure AD 内の AAD DC Administrators グループのメンバーである管理者ユーザーの資格情報を入力します。
テンプレート
dnsServers のすべてのプロパティを削除する: Azure クイック スタート テンプレートのページから [テンプレートの編集] を選択した後、"dnsServers" を検索し、プロパティを削除します。
たとえば、dnsServers プロパティを削除する前は、次のようになっています。
プロパティを削除した後、同じファイルは次のようになります。
RDS を手動で展開します。