🎟️

Azure AD Domain Services をデプロイ

2023/04/13に公開

はじめに

Azure AD Domain Services (Azure AD DS) は Azure 上でマネージドで Active Directory Domain Service を提供する機能です。Azure 上で Kerberos や LDAP などを使用するケースやグループポリシーでのサーバ管理での活用を想定しています。

仕組み

詳細はドキュメントを見ていただくのがよいのですが、Azure AD のユーザー、グループ、資格情報などが Azure AD DS に同期されます。デバイスについては同期対象外です。
同期されたユーザーは Azure AD と同じユーザー・パスワードを Azure AD DS で使用することが可能です。オンプレ AD からパスワードハッシュ同期している構成であれば、オンプレ AD -> Azure AD -> Azure AD DS へ同期することもできます。
なお、同期は一方向で、Azure AD DS から Azure AD への書き戻しはできません。Azure AD Connect を介した Azure AD DS から Azure AD への同期もサポート外です。

https://learn.microsoft.com/ja-jp/azure/active-directory-domain-services/overview
https://learn.microsoft.com/ja-jp/azure/active-directory-domain-services/synchronization

注意点

実はいろいろ機能に制限があります。

  • Azure AD テナントに対して作成できる Azure AD DS は 1 つだけ
  • Azure AD のゲストユーザーに対しては使用できない (パスワード情報を持てないため)
  • 単一フォレスト・単一ドメイン構成のみ
  • 双方向のフォレストの信頼は不可、一方向のアウトバウンドの信頼のみ
  • Enterprise Administrator, Domain Administrator は使えない、代わりに AADDC Administrator が準備されている
  • カスタムの OU は作れるが、そこに Azure AD から同期されたオブジェクトを移動することはできず、Azure AD DS 上で作成されたオブジェクトのみ移動可能
  • スキーマ拡張はできない

比較表や FAQ はこちらです。
https://learn.microsoft.com/ja-jp/azure/active-directory-domain-services/compare-identity-solutions
https://learn.microsoft.com/ja-jp/azure/active-directory-domain-services/faqs

また、利用シナリオについてもサポートチームのブログで言及があります。

推奨されるシナリオ

  • Azure 上にクラウド化したサービスに Kerberos/NTLM を用いて SSO したい
  • Azure AD アカウントに対する LDAPS 接続を提供したい

推奨されないシナリオ

  • PC をドメイン参加させることでオンプレミス Active Directory を廃止
  • Azure 上で動作している仮想マシンに Azure AD と同じアカウント情報でサインイン
  • 負荷のかかる LDAP 処理をオンプレミス AD でなく Azure AD Domain Services で実施

ポイントは既存のオンプレミス AD を置き換えるものではない、というところですね。

https://jpazureid.github.io/blog/azure-active-directory/azure-ad-ds-scenario/

デプロイしてみる

こちらをベースにデプロイしていきます。
https://learn.microsoft.com/ja-jp/azure/active-directory-domain-services/tutorial-create-instance-advanced

Azure AD Domain Services のメニューを開き、[+作成] をクリックします。


[Basics] タブでサブスクリプション、リソースグループ、ドメイン名、リージョン、 SKU を選択します。ドメインは基本的にはAzure AD で管理しているカスタムドメイン名を指定する形になります。また SKU はパフォーマンスだけではなく機能にも差異がありますので、詳細は設定ページのリンクを確認ください。


[Networking] タブで VNET とサブネットを指定します。新規作成・既存の選択どちらも可能です。下記は新規作成の場合です。既存サブネットを使用する場合、NSG を考慮する必要があります。
https://learn.microsoft.com/ja-jp/azure/active-directory-domain-services/alert-nsg#default-security-rules


[Administration] タブで管理者と障害時の連絡先を指定します。Azure AD DS を使用するマネージド ドメインに対する Enterprise Administrator や Domain Administrator が使えないため、特権を要する操作については、代わりに AAD DC Administrators グループを使用します。そのグループに登録するユーザーを指定します。


[Synchronization] タブでAzure AD から同期する範囲を指定します。Cloud-only はオンプレミスから同期していない、Azure AD マネージドのグループ・ユーザーが対象になります。また、同期対象グループを絞りたい場合はフィルタ設定を使用します。


[Security Setting] タブでセキュリティ関連のパラメータを設定します。あとでカスタマイズも可能なので、とりあえずデフォルトの設定のまま進め、[Review + create] をクリック、内容に問題なければ [Create] をクリックします。DNS 名やサブスクリプション、リソースグループ、VNET、サブネットが変更できない旨のメッセージ出るので、[OK] をクリックします。



デプロイが完了して、以下のように Running になることを確認します。(デプロイ後しばらくかかります)


Azuer AD DS が所属する VNET の DNS 設定を更新します。 [Properties] から IP アドレスを確認し、そちらを VNET の DNSサーバーに設定します。


Azure AD DS にユーザー アカウントのパスワードハッシュ情報を同期させます。オンプレから同期しているユーザーと Azure AD 側で作成したユーザーで手順が異なり、オンプレから同期しているユーザーは Azure AD Connect でスクリプト実行が必要です。詳細はこちら。
https://learn.microsoft.com/ja-jp/azure/active-directory-domain-services/tutorial-configure-password-hash-sync

今回は Azure AD 側で作成したユーザーで確認します。Azure AD 側で作成したユーザーはパスワード リセットを行うと同期される仕組みです。MyAccount ポータル (https://myaccount.microsoft.com) からパスワードを変更します。変更してから同期されるまでしばらく時間がかかります。

VM を Azure AD DS に参加させる

VM を作成した Azure ADDS に参加させます。既存 VM の場合、ipconfig /renew コマンドで DNS 設定を更新します。


Server Manager で [Local Server] > [WORKGROUP] をクリックします。[System Properties] で [Change] をクリックし、[Domain] を選択、Azure ADDS のドメイン名を入力します。ログイン プロンプトで AADDC Administrator の管理者情報を入力してドメインに参加します。認証に失敗する場合、AADDC Administrator に指定のユーザーが参加していないか、パスワードハッシュ情報を同期されていない可能性があります。


管理ツールをインストールして確認

Server Manager で [Manage] > [Add Roles and Features] で [AD DS and AD LDS Tools] を追加します。



Active Directory Administrative Center を開きます。同期されたオブジェクトや参加した VM は AADDC Users や AADDC Computers の OU に格納されていることが確認できます。


Microsoft (有志)

Discussion