SlideShare a Scribd company logo

Azure Active Directory Domain Services (Azure ADDS) キホンのキ

Download as PPTX, PDF
Tetsuya Yokoyama
Tetsuya Yokoyama

Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。 Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。 本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。

Internet
1 of 36
Azure Active Directory Domain Services (Azure ADDS) キホンのキ 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp
横山 哲也 (トレノケート株式会社)  1994年~ ITプロ向けWindows関連教育  2003年~ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書・雑誌記事(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  日経クラウドファースト 「業務システムで役立つ Azureのコア知識」  ソーシャルメディア  ブログ: ヨコヤマ企画 http://yp.g20k.jp/ 2
今日の目標  Azure ADDSを構成  メンバーサーバーを構成  メンバーサーバーにGPOを適用 3
Agenda  Active Directory概要  Azure ADDSの構築準備  Azure ADDSの構築  Azure ADDS構築後の追加作業  AAD DC Administratorsの権限  ユーザー管理  グループポリシーの利用  Azure ADDSの制限  Azure ADDSの利用  Azure ADDS vs. ADDS 4
Active Directory概要  IDおよびアクセス管理機能に対するブランド  米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS) Windows NT LAN Manager Active Directory Active Directory Domain Services Window 2000~2003Window NT以前 Window Server 2008 Active Directory なんとかサービス 5
【注意】今日出てくるActive Directory  Azure AD  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 6
Active Directory概要: ADDS  ADDSの利用シーン  グループポリシーによるコンピューター管理の自動化  リモート管理  フェールオーバークラスター  グループの管理されたサービス アカウント  ADDS構築要件  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動 7 ADDS自体の保守作業はほとんど不要 OSとしての保守作業(Windows Updateなど)が 意外に面倒
Active Directory概要: Azure ADとADDS  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 Azure AD ADDS 8
Active Directory概要: Azure ADとAzure ADDS  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 Azure AD Azure ADDS 9
Active Directory概要: ADDSとAzure ADDS  オンプレミス  Azure ADへ同期可能 (AD Connect経由)  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能)  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー ADDS Azure ADDS 共通機能 ADDSAzure ADAzure ADDS AD Connect標準機能
Active Directory概要: ADDSの利用  Azure ADDSを使うことで  ADDSの機能が使える  ドメインコントローラー管理が不要  Azure ADのユーザーを複製可能(AD Connect不要) 11 これから、仮想マシンは減らしていきましょう
Azure ADDSの構築準備  仮想ネットワーク  DC専用サブネットが望ましい  Azure ADのDNSドメイン名  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: demo.yokoyama-planning.com  DNSドメイン管理者権限の確認 - TXTまたはMXレコードの追加 - 例: MS=ms74085847  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: admin@lab.yokoyama-planning.com 12
Azure ADDSの構築  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13
Azure ADDS構築後の追加作業: Azure仮想ネットワーク  仮想ネットワークのDNS設定  Azureの仮想マシンをドメインに参加させる場合  2台のDCのIPアドレスをDNSサーバーに指定  既存の仮想マシンの再起動  AzureのDHCPサーバーはリースを更新しない 14 仮想ネットワーク DC専用サブネット 2台のドメインコントローラー兼DNS DNSのIPアドレスを登録 その他のサーバー用サブネット DHCPクライアント
Azure ADDS構築後の追加作業: Azure仮想マシン  オンプレミスと 同じ手順で ドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 15
Azure ADDS構築後の追加作業: ユーザー権利の割り当て  Azure ADDSの管理者= AAD DC Administrators  ドメイン管理者ではない  リモートデスクトップ接続不可  AAD DC Administratorsを 以下のローカルグループに追加  Remote Desktop Users  Administrators  設定手順例 1. ローカル管理者でログオン 2. ADDS管理ツール &グループポリシー機能の追加 3. AAD DC AdministratorsをAdministratorsに追加 4. [制限されたグループ]の構成 16
AAD DC Administratorsの権限  フォレスト…管理権限なし  ドメイン…制限付き管理権限のみ  OU作成  Creator Ownerにフルコントロール →作成したOUにアカウント作成可能  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理 17
ユーザー管理  ドメインユーザーの構成(Azure AD)  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成(Azure ADDS)  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 18 Azure ADAzure ADDS 標準機能 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization
グループポリシーの利用  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 19
グループポリシーの利用: グループポリシーでできないこと  サイト/ドメイン/既定のOUにGPOをリンク  既定のGPOの編集  スターターGPOの構成  グループポリシーのモデル作成 20 ドメインやフォレスト全体にかかわる作業は禁止 要するに
Azure ADDSの制限  フォレスト管理不可  信頼関係  スキーマ拡張  サイト管理  機能レベル  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 21
Azure ADDSの利用  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 22
Azure ADDS vs. ADDS Azure ADDS Azure上のADDS オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 23
Azure ADDS vs. ADDS: 既存ドメイン(ADDS)との連携(復習) 24  信頼関係は結べない  アカウント同期が可能  ADDSからAzure ADに同期…AD Connect  Azure ADからAzure ADDSに同期…基本機能 AD Connect 基本機能
Azure ADDS vs. ADDS: コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本)  仮想マシンによるADDS  D1×2台 + ストレージ = 17,653円/月額(1年間)  社内ADDSの利用…VPN接続料金に依存 25 オブジェクト数 時間あたり 月額(31日) ~25,000 16.80円 12,499円 ~10万 44.80円 33,331円 ~50万 179.20円 13,3324円 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円
本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  Azure ADからユーザーを複製したい場合  Azure AD経由でADDSユーザーを複製したい場合  独自にOUを構成する場合  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryのサイトを構成したい場合 26 Azure ADDSを使いましょう 仕方がないので Azure上にADDS仮想マシンを立てましょう
付録: Azure ADDSの構築 Azureポータルを使ったAzure ADDSの構築手順
Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 28
1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 29
2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 30
3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 31
4. 内容の確認  これ以降のパスワード変更で、 Kerberos/NTLM認証用のパスワードハッシュが Azure ADに保存 32
Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 33
仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 34 DNS構成後、 この図は消える
Azure ADDSの完成 35
36

Recommended

サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会ShuheiUda
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Yusuke Kodama
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要Takeshi Fukuhara
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService PrincipalToru Makabe
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門Tetsuya Yokoyama
 
Azure Log Analytics 概要
Azure Log Analytics 概要Azure Log Analytics 概要
Azure Log Analytics 概要喜智 大井
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018Shinichiro Kosugi
 

Recommended

サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会ShuheiUda
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Yusuke Kodama
 
Azure Network 概要
Azure Network 概要Azure Network 概要
Azure Network 概要Takeshi Fukuhara
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService PrincipalToru Makabe
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~Trainocate Japan, Ltd.
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門Tetsuya Yokoyama
 
Azure Log Analytics 概要
Azure Log Analytics 概要Azure Log Analytics 概要
Azure Log Analytics 概要喜智 大井
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018Shinichiro Kosugi
 
Intuneによるパッチ管理
Intuneによるパッチ管理Intuneによるパッチ管理
Intuneによるパッチ管理Suguru Kunii
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Takeshi Fukuhara
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証についてHitachi, Ltd. OSS Solution Center.
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Keisuke Fujikawa
 
COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策wintechq
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本Sho Okada
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版貴志 上坂
 
Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計Tech Summit 2016
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル貴志 上坂
 
第15回JSSUG「Azure SQL Database 超入門」
第15回JSSUG「Azure SQL Database 超入門」第15回JSSUG「Azure SQL Database 超入門」
第15回JSSUG「Azure SQL Database 超入門」裕之 木下
 
Oracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてOracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてYoichi Sai
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門Hiroyuki Wada
 
第14回しゃちほこオラクル俱楽部
第14回しゃちほこオラクル俱楽部第14回しゃちほこオラクル俱楽部
第14回しゃちほこオラクル俱楽部オラクルエンジニア通信
 
実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方Fujishiro Takuya
 
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティスAzure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティスYusuke Oi
 
AWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツールAWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツールMasaki Suzuki
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識Minoru Naito
 
Azure Blueprints - 企業で期待される背景と特徴、活用方法
Azure Blueprints - 企業で期待される背景と特徴、活用方法Azure Blueprints - 企業で期待される背景と特徴、活用方法
Azure Blueprints - 企業で期待される背景と特徴、活用方法Toru Makabe
 
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)Trainocate Japan, Ltd.
 
Azure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるAzure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるTetsuya Yokoyama
 

More Related Content

What's hot

Intuneによるパッチ管理
Intuneによるパッチ管理Intuneによるパッチ管理
Intuneによるパッチ管理Suguru Kunii
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Takeshi Fukuhara
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Keisuke Fujikawa
 
COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策wintechq
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編Yusuke Kodama
 
初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本Sho Okada
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版貴志 上坂
 
Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計Tech Summit 2016
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル貴志 上坂
 
第15回JSSUG「Azure SQL Database 超入門」
第15回JSSUG「Azure SQL Database 超入門」第15回JSSUG「Azure SQL Database 超入門」
第15回JSSUG「Azure SQL Database 超入門」裕之 木下
 
Oracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてOracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてYoichi Sai
 
実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方Fujishiro Takuya
 
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティスAzure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティスYusuke Oi
 
AWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツールAWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツールMasaki Suzuki
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識Minoru Naito
 
Azure Blueprints - 企業で期待される背景と特徴、活用方法
Azure Blueprints - 企業で期待される背景と特徴、活用方法Azure Blueprints - 企業で期待される背景と特徴、活用方法
Azure Blueprints - 企業で期待される背景と特徴、活用方法Toru Makabe
 

What's hot (20)

Intuneによるパッチ管理
Intuneによるパッチ管理Intuneによるパッチ管理
Intuneによるパッチ管理
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
 
Keycloakのステップアップ認証について
Keycloakのステップアップ認証についてKeycloakのステップアップ認証について
Keycloakのステップアップ認証について
 
Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門Data Factory V2 新機能徹底活用入門
Data Factory V2 新機能徹底活用入門
 
COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策COD2012 九州会場 Active Directory 障害対策
COD2012 九州会場 Active Directory 障害対策
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
 
初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
 
Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計Dep005 azure ネットワーク設計
Dep005 azure ネットワーク設計
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
 
第15回JSSUG「Azure SQL Database 超入門」
第15回JSSUG「Azure SQL Database 超入門」第15回JSSUG「Azure SQL Database 超入門」
第15回JSSUG「Azure SQL Database 超入門」
 
Oracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてOracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけて
 
Keycloak入門
Keycloak入門Keycloak入門
Keycloak入門
 
第14回しゃちほこオラクル俱楽部
第14回しゃちほこオラクル俱楽部第14回しゃちほこオラクル俱楽部
第14回しゃちほこオラクル俱楽部
 
実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方
 
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティスAzure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
Azure 仮想マシンにおける運用管理・高可用性設計のベストプラクティス
 
AWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツールAWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツール
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
 
今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識今改めて学ぶ Microsoft Azure 基礎知識
今改めて学ぶ Microsoft Azure 基礎知識
 
Azure Blueprints - 企業で期待される背景と特徴、活用方法
Azure Blueprints - 企業で期待される背景と特徴、活用方法Azure Blueprints - 企業で期待される背景と特徴、活用方法
Azure Blueprints - 企業で期待される背景と特徴、活用方法
 

Similar to Azure Active Directory Domain Services (Azure ADDS) キホンのキ

Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)Trainocate Japan, Ltd.
 
Azure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるAzure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるTetsuya Yokoyama
 
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~decode2016
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門Tetsuya Yokoyama
 
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + αMasahiko Ebisuda
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようYusuke Kodama
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317Ayumu Inaba
 
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)Takamasa Maejima
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてAzure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてShinya Yamaguchi
 
Azure id and rbac v0.7.19.0815
Azure id and rbac v0.7.19.0815Azure id and rbac v0.7.19.0815
Azure id and rbac v0.7.19.0815Ayumu Inaba
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計Trainocate Japan, Ltd.
 
Windows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
Windows Server 2008 / R2とWindows Admin CenterとAzure Site RecoveryWindows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
Windows Server 2008 / R2とWindows Admin CenterとAzure Site RecoveryNorio Sashizaki
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationskekekekenta
 
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]日本マイクロソフト株式会社
 
Start learning Azure Cosmos DB with Azure Synapse Link
Start learning Azure Cosmos DB with Azure Synapse LinkStart learning Azure Cosmos DB with Azure Synapse Link
Start learning Azure Cosmos DB with Azure Synapse LinkOshitari_kochi
 

Similar to Azure Active Directory Domain Services (Azure ADDS) キホンのキ (20)

Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
 
Azure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるAzure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させる
 
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
 
active directory-slideshare
active directory-slideshareactive directory-slideshare
active directory-slideshare
 
AADDs Came to Azure
AADDs Came to AzureAADDs Came to Azure
AADDs Came to Azure
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
 
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317
 
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてAzure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
 
Azure id and rbac v0.7.19.0815
Azure id and rbac v0.7.19.0815Azure id and rbac v0.7.19.0815
Azure id and rbac v0.7.19.0815
 
[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006
 
azureから使うlinux
azureから使うlinuxazureから使うlinux
azureから使うlinux
 
20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
 
Windows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
Windows Server 2008 / R2とWindows Admin CenterとAzure Site RecoveryWindows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
Windows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applications
 
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
 
Start learning Azure Cosmos DB with Azure Synapse Link
Start learning Azure Cosmos DB with Azure Synapse LinkStart learning Azure Cosmos DB with Azure Synapse Link
Start learning Azure Cosmos DB with Azure Synapse Link
 

More from Tetsuya Yokoyama

マイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azureマイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft AzureTetsuya Yokoyama
 
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」Tetsuya Yokoyama
 
Hyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナをHyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナをTetsuya Yokoyama
 
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎Tetsuya Yokoyama
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~Tetsuya Yokoyama
 
Windows Server 2012 R2による ガバナンス強化
Windows Server 2012 R2による ガバナンス強化Windows Server 2012 R2による ガバナンス強化
Windows Server 2012 R2による ガバナンス強化Tetsuya Yokoyama
 

More from Tetsuya Yokoyama (6)

マイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azureマイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azure
 
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
 
Hyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナをHyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナを
 
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
 
Windows Server 2012 R2による ガバナンス強化
Windows Server 2012 R2による ガバナンス強化Windows Server 2012 R2による ガバナンス強化
Windows Server 2012 R2による ガバナンス強化
 

Azure Active Directory Domain Services (Azure ADDS) キホンのキ

  • 1. Azure Active Directory Domain Services (Azure ADDS) キホンのキ 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp
  • 2. 横山 哲也 (トレノケート株式会社)  1994年~ ITプロ向けWindows関連教育  2003年~ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書・雑誌記事(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  日経クラウドファースト 「業務システムで役立つ Azureのコア知識」  ソーシャルメディア  ブログ: ヨコヤマ企画 http://yp.g20k.jp/ 2
  • 3. 今日の目標  Azure ADDSを構成  メンバーサーバーを構成  メンバーサーバーにGPOを適用 3
  • 4. Agenda  Active Directory概要  Azure ADDSの構築準備  Azure ADDSの構築  Azure ADDS構築後の追加作業  AAD DC Administratorsの権限  ユーザー管理  グループポリシーの利用  Azure ADDSの制限  Azure ADDSの利用  Azure ADDS vs. ADDS 4
  • 5. Active Directory概要  IDおよびアクセス管理機能に対するブランド  米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS) Windows NT LAN Manager Active Directory Active Directory Domain Services Window 2000~2003Window NT以前 Window Server 2008 Active Directory なんとかサービス 5
  • 6. 【注意】今日出てくるActive Directory  Azure AD  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 6
  • 7. Active Directory概要: ADDS  ADDSの利用シーン  グループポリシーによるコンピューター管理の自動化  リモート管理  フェールオーバークラスター  グループの管理されたサービス アカウント  ADDS構築要件  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動 7 ADDS自体の保守作業はほとんど不要 OSとしての保守作業(Windows Updateなど)が 意外に面倒
  • 8. Active Directory概要: Azure ADとADDS  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 Azure AD ADDS 8
  • 9. Active Directory概要: Azure ADとAzure ADDS  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 Azure AD Azure ADDS 9
  • 10. Active Directory概要: ADDSとAzure ADDS  オンプレミス  Azure ADへ同期可能 (AD Connect経由)  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能)  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー ADDS Azure ADDS 共通機能 ADDSAzure ADAzure ADDS AD Connect標準機能
  • 11. Active Directory概要: ADDSの利用  Azure ADDSを使うことで  ADDSの機能が使える  ドメインコントローラー管理が不要  Azure ADのユーザーを複製可能(AD Connect不要) 11 これから、仮想マシンは減らしていきましょう
  • 12. Azure ADDSの構築準備  仮想ネットワーク  DC専用サブネットが望ましい  Azure ADのDNSドメイン名  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: demo.yokoyama-planning.com  DNSドメイン管理者権限の確認 - TXTまたはMXレコードの追加 - 例: MS=ms74085847  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: admin@lab.yokoyama-planning.com 12
  • 13. Azure ADDSの構築  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13
  • 14. Azure ADDS構築後の追加作業: Azure仮想ネットワーク  仮想ネットワークのDNS設定  Azureの仮想マシンをドメインに参加させる場合  2台のDCのIPアドレスをDNSサーバーに指定  既存の仮想マシンの再起動  AzureのDHCPサーバーはリースを更新しない 14 仮想ネットワーク DC専用サブネット 2台のドメインコントローラー兼DNS DNSのIPアドレスを登録 その他のサーバー用サブネット DHCPクライアント
  • 15. Azure ADDS構築後の追加作業: Azure仮想マシン  オンプレミスと 同じ手順で ドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 15
  • 16. Azure ADDS構築後の追加作業: ユーザー権利の割り当て  Azure ADDSの管理者= AAD DC Administrators  ドメイン管理者ではない  リモートデスクトップ接続不可  AAD DC Administratorsを 以下のローカルグループに追加  Remote Desktop Users  Administrators  設定手順例 1. ローカル管理者でログオン 2. ADDS管理ツール &グループポリシー機能の追加 3. AAD DC AdministratorsをAdministratorsに追加 4. [制限されたグループ]の構成 16
  • 17. AAD DC Administratorsの権限  フォレスト…管理権限なし  ドメイン…制限付き管理権限のみ  OU作成  Creator Ownerにフルコントロール →作成したOUにアカウント作成可能  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理 17
  • 18. ユーザー管理  ドメインユーザーの構成(Azure AD)  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成(Azure ADDS)  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 18 Azure ADAzure ADDS 標準機能 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization
  • 19. グループポリシーの利用  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 19
  • 20. グループポリシーの利用: グループポリシーでできないこと  サイト/ドメイン/既定のOUにGPOをリンク  既定のGPOの編集  スターターGPOの構成  グループポリシーのモデル作成 20 ドメインやフォレスト全体にかかわる作業は禁止 要するに
  • 21. Azure ADDSの制限  フォレスト管理不可  信頼関係  スキーマ拡張  サイト管理  機能レベル  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 21
  • 22. Azure ADDSの利用  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 22
  • 23. Azure ADDS vs. ADDS Azure ADDS Azure上のADDS オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 23
  • 24. Azure ADDS vs. ADDS: 既存ドメイン(ADDS)との連携(復習) 24  信頼関係は結べない  アカウント同期が可能  ADDSからAzure ADに同期…AD Connect  Azure ADからAzure ADDSに同期…基本機能 AD Connect 基本機能
  • 25. Azure ADDS vs. ADDS: コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本)  仮想マシンによるADDS  D1×2台 + ストレージ = 17,653円/月額(1年間)  社内ADDSの利用…VPN接続料金に依存 25 オブジェクト数 時間あたり 月額(31日) ~25,000 16.80円 12,499円 ~10万 44.80円 33,331円 ~50万 179.20円 13,3324円 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円
  • 26. 本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  Azure ADからユーザーを複製したい場合  Azure AD経由でADDSユーザーを複製したい場合  独自にOUを構成する場合  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryのサイトを構成したい場合 26 Azure ADDSを使いましょう 仕方がないので Azure上にADDS仮想マシンを立てましょう
  • 28. Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 28
  • 29. 1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 29
  • 30. 2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 30
  • 31. 3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 31
  • 33. Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 33
  • 34. 仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 34 DNS構成後、 この図は消える
  • 36. 36

Editor's Notes

  1. 横山哲也(トレノケート株式会社)。1994年からWindows Serverトレーニングを担当、2003年から主にActive Directory分野でMicrosoft MVPを受賞(2017年はCloud and Datacenter Management)。最近の著書に「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版」「グループポリシー逆引きリファレンス厳選98」。
  2. Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。 Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。 本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。
  3. Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。 Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。 本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。
  4. その他のOU AADDSDomainAdmin AADDSDomainConfig