Azure AD Domain Services をデプロイ
はじめに
Azure AD Domain Services (Azure AD DS) は Azure 上でマネージドで Active Directory Domain Service を提供する機能です。Azure 上で Kerberos や LDAP などを使用するケースやグループポリシーでのサーバ管理での活用を想定しています。
仕組み
詳細はドキュメントを見ていただくのがよいのですが、Azure AD のユーザー、グループ、資格情報などが Azure AD DS に同期されます。デバイスについては同期対象外です。
同期されたユーザーは Azure AD と同じユーザー・パスワードを Azure AD DS で使用することが可能です。オンプレ AD からパスワードハッシュ同期している構成であれば、オンプレ AD -> Azure AD -> Azure AD DS へ同期することもできます。
なお、同期は一方向で、Azure AD DS から Azure AD への書き戻しはできません。Azure AD Connect を介した Azure AD DS から Azure AD への同期もサポート外です。
注意点
実はいろいろ機能に制限があります。
- Azure AD テナントに対して作成できる Azure AD DS は 1 つだけ
- Azure AD のゲストユーザーに対しては使用できない (パスワード情報を持てないため)
- 単一フォレスト・単一ドメイン構成のみ
- 双方向のフォレストの信頼は不可、一方向のアウトバウンドの信頼のみ
- Enterprise Administrator, Domain Administrator は使えない、代わりに AADDC Administrator が準備されている
- カスタムの OU は作れるが、そこに Azure AD から同期されたオブジェクトを移動することはできず、Azure AD DS 上で作成されたオブジェクトのみ移動可能
- スキーマ拡張はできない
比較表や FAQ はこちらです。
また、利用シナリオについてもサポートチームのブログで言及があります。
推奨されるシナリオ
- Azure 上にクラウド化したサービスに Kerberos/NTLM を用いて SSO したい
- Azure AD アカウントに対する LDAPS 接続を提供したい
推奨されないシナリオ
- PC をドメイン参加させることでオンプレミス Active Directory を廃止
- Azure 上で動作している仮想マシンに Azure AD と同じアカウント情報でサインイン
- 負荷のかかる LDAP 処理をオンプレミス AD でなく Azure AD Domain Services で実施
ポイントは既存のオンプレミス AD を置き換えるものではない、というところですね。
デプロイしてみる
こちらをベースにデプロイしていきます。
Azure AD Domain Services のメニューを開き、[+作成] をクリックします。
[Basics] タブでサブスクリプション、リソースグループ、ドメイン名、リージョン、 SKU を選択します。ドメインは基本的にはAzure AD で管理しているカスタムドメイン名を指定する形になります。また SKU はパフォーマンスだけではなく機能にも差異がありますので、詳細は設定ページのリンクを確認ください。
[Networking] タブで VNET とサブネットを指定します。新規作成・既存の選択どちらも可能です。下記は新規作成の場合です。既存サブネットを使用する場合、NSG を考慮する必要があります。
[Administration] タブで管理者と障害時の連絡先を指定します。Azure AD DS を使用するマネージド ドメインに対する Enterprise Administrator や Domain Administrator が使えないため、特権を要する操作については、代わりに AAD DC Administrators グループを使用します。そのグループに登録するユーザーを指定します。
[Synchronization] タブでAzure AD から同期する範囲を指定します。Cloud-only はオンプレミスから同期していない、Azure AD マネージドのグループ・ユーザーが対象になります。また、同期対象グループを絞りたい場合はフィルタ設定を使用します。
[Security Setting] タブでセキュリティ関連のパラメータを設定します。あとでカスタマイズも可能なので、とりあえずデフォルトの設定のまま進め、[Review + create] をクリック、内容に問題なければ [Create] をクリックします。DNS 名やサブスクリプション、リソースグループ、VNET、サブネットが変更できない旨のメッセージ出るので、[OK] をクリックします。
デプロイが完了して、以下のように Running になることを確認します。(デプロイ後しばらくかかります)
Azuer AD DS が所属する VNET の DNS 設定を更新します。 [Properties] から IP アドレスを確認し、そちらを VNET の DNSサーバーに設定します。
Azure AD DS にユーザー アカウントのパスワードハッシュ情報を同期させます。オンプレから同期しているユーザーと Azure AD 側で作成したユーザーで手順が異なり、オンプレから同期しているユーザーは Azure AD Connect でスクリプト実行が必要です。詳細はこちら。
今回は Azure AD 側で作成したユーザーで確認します。Azure AD 側で作成したユーザーはパスワード リセットを行うと同期される仕組みです。MyAccount ポータル (https://myaccount.microsoft.com) からパスワードを変更します。変更してから同期されるまでしばらく時間がかかります。
VM を Azure AD DS に参加させる
VM を作成した Azure ADDS に参加させます。既存 VM の場合、ipconfig /renew コマンドで DNS 設定を更新します。
Server Manager で [Local Server] > [WORKGROUP] をクリックします。[System Properties] で [Change] をクリックし、[Domain] を選択、Azure ADDS のドメイン名を入力します。ログイン プロンプトで AADDC Administrator の管理者情報を入力してドメインに参加します。認証に失敗する場合、AADDC Administrator に指定のユーザーが参加していないか、パスワードハッシュ情報を同期されていない可能性があります。
管理ツールをインストールして確認
Server Manager で [Manage] > [Add Roles and Features] で [AD DS and AD LDS Tools] を追加します。
Active Directory Administrative Center を開きます。同期されたオブジェクトや参加した VM は AADDC Users や AADDC Computers の OU に格納されていることが確認できます。
Discussion