SlideShare a Scribd company logo

Azure Active Directory Domain Services (Azure ADDS) キホンのキ

Download as PPTX, PDF
Tetsuya Yokoyama
Tetsuya Yokoyama

Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。 Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。 本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。

Internet
1 of 36
Azure Active Directory Domain Services (Azure ADDS) キホンのキ 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp
横山 哲也 (トレノケート株式会社)  1994年~ ITプロ向けWindows関連教育  2003年~ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書・雑誌記事(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  日経クラウドファースト 「業務システムで役立つ Azureのコア知識」  ソーシャルメディア  ブログ: ヨコヤマ企画 http://yp.g20k.jp/ 2
今日の目標  Azure ADDSを構成  メンバーサーバーを構成  メンバーサーバーにGPOを適用 3
Agenda  Active Directory概要  Azure ADDSの構築準備  Azure ADDSの構築  Azure ADDS構築後の追加作業  AAD DC Administratorsの権限  ユーザー管理  グループポリシーの利用  Azure ADDSの制限  Azure ADDSの利用  Azure ADDS vs. ADDS 4
Active Directory概要  IDおよびアクセス管理機能に対するブランド  米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS) Windows NT LAN Manager Active Directory Active Directory Domain Services Window 2000~2003Window NT以前 Window Server 2008 Active Directory なんとかサービス 5
【注意】今日出てくるActive Directory  Azure AD  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 6
Active Directory概要: ADDS  ADDSの利用シーン  グループポリシーによるコンピューター管理の自動化  リモート管理  フェールオーバークラスター  グループの管理されたサービス アカウント  ADDS構築要件  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動 7 ADDS自体の保守作業はほとんど不要 OSとしての保守作業(Windows Updateなど)が 意外に面倒
Active Directory概要: Azure ADとADDS  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 Azure AD ADDS 8
Active Directory概要: Azure ADとAzure ADDS  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 Azure AD Azure ADDS 9
Active Directory概要: ADDSとAzure ADDS  オンプレミス  Azure ADへ同期可能 (AD Connect経由)  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能)  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー ADDS Azure ADDS 共通機能 ADDSAzure ADAzure ADDS AD Connect標準機能
Active Directory概要: ADDSの利用  Azure ADDSを使うことで  ADDSの機能が使える  ドメインコントローラー管理が不要  Azure ADのユーザーを複製可能(AD Connect不要) 11 これから、仮想マシンは減らしていきましょう
Azure ADDSの構築準備  仮想ネットワーク  DC専用サブネットが望ましい  Azure ADのDNSドメイン名  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: demo.yokoyama-planning.com  DNSドメイン管理者権限の確認 - TXTまたはMXレコードの追加 - 例: MS=ms74085847  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: admin@lab.yokoyama-planning.com 12
Azure ADDSの構築  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13
Azure ADDS構築後の追加作業: Azure仮想ネットワーク  仮想ネットワークのDNS設定  Azureの仮想マシンをドメインに参加させる場合  2台のDCのIPアドレスをDNSサーバーに指定  既存の仮想マシンの再起動  AzureのDHCPサーバーはリースを更新しない 14 仮想ネットワーク DC専用サブネット 2台のドメインコントローラー兼DNS DNSのIPアドレスを登録 その他のサーバー用サブネット DHCPクライアント
Azure ADDS構築後の追加作業: Azure仮想マシン  オンプレミスと 同じ手順で ドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 15
Azure ADDS構築後の追加作業: ユーザー権利の割り当て  Azure ADDSの管理者= AAD DC Administrators  ドメイン管理者ではない  リモートデスクトップ接続不可  AAD DC Administratorsを 以下のローカルグループに追加  Remote Desktop Users  Administrators  設定手順例 1. ローカル管理者でログオン 2. ADDS管理ツール &グループポリシー機能の追加 3. AAD DC AdministratorsをAdministratorsに追加 4. [制限されたグループ]の構成 16
AAD DC Administratorsの権限  フォレスト…管理権限なし  ドメイン…制限付き管理権限のみ  OU作成  Creator Ownerにフルコントロール →作成したOUにアカウント作成可能  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理 17
ユーザー管理  ドメインユーザーの構成(Azure AD)  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成(Azure ADDS)  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 18 Azure ADAzure ADDS 標準機能 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization
グループポリシーの利用  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 19
グループポリシーの利用: グループポリシーでできないこと  サイト/ドメイン/既定のOUにGPOをリンク  既定のGPOの編集  スターターGPOの構成  グループポリシーのモデル作成 20 ドメインやフォレスト全体にかかわる作業は禁止 要するに
Azure ADDSの制限  フォレスト管理不可  信頼関係  スキーマ拡張  サイト管理  機能レベル  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 21
Azure ADDSの利用  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 22
Azure ADDS vs. ADDS Azure ADDS Azure上のADDS オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 23
Azure ADDS vs. ADDS: 既存ドメイン(ADDS)との連携(復習) 24  信頼関係は結べない  アカウント同期が可能  ADDSからAzure ADに同期…AD Connect  Azure ADからAzure ADDSに同期…基本機能 AD Connect 基本機能
Azure ADDS vs. ADDS: コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本)  仮想マシンによるADDS  D1×2台 + ストレージ = 17,653円/月額(1年間)  社内ADDSの利用…VPN接続料金に依存 25 オブジェクト数 時間あたり 月額(31日) ~25,000 16.80円 12,499円 ~10万 44.80円 33,331円 ~50万 179.20円 13,3324円 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円
本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  Azure ADからユーザーを複製したい場合  Azure AD経由でADDSユーザーを複製したい場合  独自にOUを構成する場合  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryのサイトを構成したい場合 26 Azure ADDSを使いましょう 仕方がないので Azure上にADDS仮想マシンを立てましょう
付録: Azure ADDSの構築 Azureポータルを使ったAzure ADDSの構築手順
Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 28
1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 29
2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 30
3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 31
4. 内容の確認  これ以降のパスワード変更で、 Kerberos/NTLM認証用のパスワードハッシュが Azure ADに保存 32
Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 33
仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 34 DNS構成後、 この図は消える
Azure ADDSの完成 35
36

Recommended

詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
Takeshi Fukuhara
 
Azure Kubernetes Service Overview
Azure Kubernetes Service OverviewAzure Kubernetes Service Overview
Azure Kubernetes Service Overview
Takeshi Fukuhara
 
現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ
Kuniteru Asami
 
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
Tetsuya Yokoyama
 

Recommended

詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
 
Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説Hybrid Azure AD Join 動作の仕組みを徹底解説
Hybrid Azure AD Join 動作の仕組みを徹底解説
Yusuke Kodama
 
Microsoft Azure Storage 概要
Microsoft Azure Storage 概要Microsoft Azure Storage 概要
Microsoft Azure Storage 概要
Takeshi Fukuhara
 
Azure Kubernetes Service Overview
Azure Kubernetes Service OverviewAzure Kubernetes Service Overview
Azure Kubernetes Service Overview
Takeshi Fukuhara
 
現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ現場からみた Azure リファレンスアーキテクチャ答え合わせ
現場からみた Azure リファレンスアーキテクチャ答え合わせ
Kuniteru Asami
 
今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎今こそ知りたい!Microsoft Azureの基礎
今こそ知りたい!Microsoft Azureの基礎
Trainocate Japan, Ltd.
 
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティMicrosoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてAzure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Shinya Yamaguchi
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Yusuke Kodama
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
 
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
Saki Homma
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vault
junichi anno
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
貴志 上坂
 
Azure Infrastructure as Code 体験入隊
Azure Infrastructure as Code 体験入隊Azure Infrastructure as Code 体験入隊
Azure Infrastructure as Code 体験入隊
Toru Makabe
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
Trainocate Japan, Ltd.
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
Amazon Web Services Japan
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Trainocate Japan, Ltd.
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Shinya Yamaguchi
 
Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護
junichi anno
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Toru Makabe
 
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストAzure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステスト
Kuniteru Asami
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
 
初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本
Sho Okada
 
Ingress on Azure Kubernetes Service
Ingress on Azure Kubernetes ServiceIngress on Azure Kubernetes Service
Ingress on Azure Kubernetes Service
Toru Makabe
 
Azure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるAzure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させる
Tetsuya Yokoyama
 
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
decode2016
 

More Related Content

What's hot

VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 

What's hot (20)

Azure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例についてAzure active directory によるデバイス管理の種類とトラブルシュート事例について
Azure active directory によるデバイス管理の種類とトラブルシュート事例について
 
Azure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しようAzure AD の新しいデバイス管理パターンを理解しよう
Azure AD の新しいデバイス管理パターンを理解しよう
 
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
Office365 および Azure AD 管理者が必ずやっておくべきセキュリティ対策
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
 
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vault
 
Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版Azure Api Management 俺的マニュアル 2020年3月版
Azure Api Management 俺的マニュアル 2020年3月版
 
Azure Infrastructure as Code 体験入隊
Azure Infrastructure as Code 体験入隊Azure Infrastructure as Code 体験入隊
Azure Infrastructure as Code 体験入隊
 
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
IDaaS を正しく活用するための認証基盤設計 ~Azure Active Directory の構成パターン詳細~
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
 
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
Azure AD DSドメインに仮想マシンを参加させる (トレノケ雲の会 mod1)
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
 
Azure AD による Web API の 保護
Azure AD による Web API の 保護 Azure AD による Web API の 保護
Azure AD による Web API の 保護
 
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアルAzure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
 
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
 
Azure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステストAzure load testingを利用したパフォーマンステスト
Azure load testingを利用したパフォーマンステスト
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本初心者でもわかるActive directoryの基本
初心者でもわかるActive directoryの基本
 
Ingress on Azure Kubernetes Service
Ingress on Azure Kubernetes ServiceIngress on Azure Kubernetes Service
Ingress on Azure Kubernetes Service
 

Similar to Azure Active Directory Domain Services (Azure ADDS) キホンのキ

M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
 
[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...
[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...
[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...
Naoki (Neo) SATO
 

Similar to Azure Active Directory Domain Services (Azure ADDS) キホンのキ (20)

Azure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるAzure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させる
 
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
INF-012_デスクトップ仮想化の実践 ~powered by Windows Server 2016 & Azure~
 
active directory-slideshare
active directory-slideshareactive directory-slideshare
active directory-slideshare
 
AADDs Came to Azure
AADDs Came to AzureAADDs Came to Azure
AADDs Came to Azure
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
 
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
【Microsoft Build Recap!】 Azure Hybrid周りの注目Update + α
 
AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317AAD authentication for azure app v0.1.20.0317
AAD authentication for azure app v0.1.20.0317
 
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
デスクトップ仮想化の実践 - powered by Windows Server 2016 & Azure - (Microsoft de:code 2016)
 
Azure id and rbac v0.7.19.0815
Azure id and rbac v0.7.19.0815Azure id and rbac v0.7.19.0815
Azure id and rbac v0.7.19.0815
 
[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006[Japan Tech summit 2017] SEC 006
[Japan Tech summit 2017] SEC 006
 
azureから使うlinux
azureから使うlinuxazureから使うlinux
azureから使うlinux
 
20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン20171011_最新のハイブリッドID管理基盤パターン
20171011_最新のハイブリッドID管理基盤パターン
 
IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計IDaaS を正しく活用するための認証基盤設計
IDaaS を正しく活用するための認証基盤設計
 
Windows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
Windows Server 2008 / R2とWindows Admin CenterとAzure Site RecoveryWindows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
Windows Server 2008 / R2とWindows Admin CenterとAzure Site Recovery
 
Windows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applicationsWindows Azure Active Directory for your cloud applications
Windows Azure Active Directory for your cloud applications
 
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
M17_情シス必見、Azure Arc によるマルチプラットフォーム管理の今 [Microsoft Japan Digital Days]
 
Start learning Azure Cosmos DB with Azure Synapse Link
Start learning Azure Cosmos DB with Azure Synapse LinkStart learning Azure Cosmos DB with Azure Synapse Link
Start learning Azure Cosmos DB with Azure Synapse Link
 
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
 
PHP on Windows Azure in Open Source Conference
PHP on Windows Azure in Open Source ConferencePHP on Windows Azure in Open Source Conference
PHP on Windows Azure in Open Source Conference
 
[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...
[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...
[db tech showcase Tokyo 2017] AzureでOSS DB/データ処理基盤のPaaSサービスを使ってみよう (Azure Dat...
 

More from Tetsuya Yokoyama

More from Tetsuya Yokoyama (6)

マイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azureマイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azure
 
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
 
Hyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナをHyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナを
 
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
 
Windows Server 2012 R2による ガバナンス強化
Windows Server 2012 R2による ガバナンス強化Windows Server 2012 R2による ガバナンス強化
Windows Server 2012 R2による ガバナンス強化
 

Azure Active Directory Domain Services (Azure ADDS) キホンのキ

  • 1. Azure Active Directory Domain Services (Azure ADDS) キホンのキ 横山 哲也 Microsoft MVP トレノケート株式会社 (旧グローバルナレッジネットワーク) https://www.trainocate.co.jp
  • 2. 横山 哲也 (トレノケート株式会社)  1994年~ ITプロ向けWindows関連教育  2003年~ マイクロソフトMVP  だいたいDirectory Servicesで受賞  2017年はCloud and Datacenter Management  最近の著書・雑誌記事(いずれも日経BP)  ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版  グループポリシー逆引きリファレンス厳選98(監修・共著)  日経クラウドファースト 「業務システムで役立つ Azureのコア知識」  ソーシャルメディア  ブログ: ヨコヤマ企画 http://yp.g20k.jp/ 2
  • 3. 今日の目標  Azure ADDSを構成  メンバーサーバーを構成  メンバーサーバーにGPOを適用 3
  • 4. Agenda  Active Directory概要  Azure ADDSの構築準備  Azure ADDSの構築  Azure ADDS構築後の追加作業  AAD DC Administratorsの権限  ユーザー管理  グループポリシーの利用  Azure ADDSの制限  Azure ADDSの利用  Azure ADDS vs. ADDS 4
  • 5. Active Directory概要  IDおよびアクセス管理機能に対するブランド  米国の商標は形容詞(固有形容詞)  従来のActive Directory = Active Directory Domain Services (ADDS) Windows NT LAN Manager Active Directory Active Directory Domain Services Window 2000~2003Window NT以前 Window Server 2008 Active Directory なんとかサービス 5
  • 6. 【注意】今日出てくるActive Directory  Azure AD  Azure Active Directory  AzureとOffice 365のユーザー管理  ADDS  Active Directory Domain Services  オンプレミスのユーザー&コンピューター管理  Azure ADDS  Azure Active Directory Domain Services  Azureのユーザー&コンピューター管理 6
  • 7. Active Directory概要: ADDS  ADDSの利用シーン  グループポリシーによるコンピューター管理の自動化  リモート管理  フェールオーバークラスター  グループの管理されたサービス アカウント  ADDS構築要件  (事実上)専用のドメインコントローラーが必要  可用性を考えて最低2台必要  (実質的に)1日24時間×週7日稼動 7 ADDS自体の保守作業はほとんど不要 OSとしての保守作業(Windows Updateなど)が 意外に面倒
  • 8. Active Directory概要: Azure ADとADDS  目的…Azure上でのID管理  アクセス許可…ロールベース  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  目的…オンプレミスのID管理と認証  アクセス許可…ロールベース(グループを流用)  認証プロトコル  NTLMv2  Kerberos v5 Azure AD ADDS 8
  • 9. Active Directory概要: Azure ADとAzure ADDS  Azureのディレクトリサービスの基本  Azureユーザーの管理  認証プロトコル  OAuth 2.0  OpenID Connect 1.0  Azureのディレクトリサービスのオプション  AzureユーザーとAzure ADDSの自動同期  認証プロトコル  NTLMv2  Kerberos v5 Azure AD Azure ADDS 9
  • 10. Active Directory概要: ADDSとAzure ADDS  オンプレミス  Azure ADへ同期可能 (AD Connect経由)  Azureのディレクトリサービスのオプション  Azure ADから同期可能(標準機能)  認証プロトコル  NTLMv2  Kerberos v5  グループポリシー ADDS Azure ADDS 共通機能 ADDSAzure ADAzure ADDS AD Connect標準機能
  • 11. Active Directory概要: ADDSの利用  Azure ADDSを使うことで  ADDSの機能が使える  ドメインコントローラー管理が不要  Azure ADのユーザーを複製可能(AD Connect不要) 11 これから、仮想マシンは減らしていきましょう
  • 12. Azure ADDSの構築準備  仮想ネットワーク  DC専用サブネットが望ましい  Azure ADのDNSドメイン名  カスタムドメインを構成し、プライマリドメインに設定  インターネットで有効なドメイン名が望ましい  例: demo.yokoyama-planning.com  DNSドメイン管理者権限の確認 - TXTまたはMXレコードの追加 - 例: MS=ms74085847  管理者アカウント: Azure ADDS管理者  Azure ADまたはマイクロソフトアカウント  例: admin@lab.yokoyama-planning.com 12
  • 13. Azure ADDSの構築  Azure AD Domain Servicesの新規作成  単一サブネットにDCを配置 同一リージョン/同一仮想ネットワーク  詳細は付録参照  Azure ADDSの構築確認  ドメインコントローラー×2台  今のところWindows Server 2012 R2の模様 13
  • 14. Azure ADDS構築後の追加作業: Azure仮想ネットワーク  仮想ネットワークのDNS設定  Azureの仮想マシンをドメインに参加させる場合  2台のDCのIPアドレスをDNSサーバーに指定  既存の仮想マシンの再起動  AzureのDHCPサーバーはリースを更新しない 14 仮想ネットワーク DC専用サブネット 2台のドメインコントローラー兼DNS DNSのIPアドレスを登録 その他のサーバー用サブネット DHCPクライアント
  • 15. Azure ADDS構築後の追加作業: Azure仮想マシン  オンプレミスと 同じ手順で ドメイン参加  ドメイン参加に使うアカウント  ユーザー名→UPN使用が望ましい →SAM IDはAzure AD同期時に変更される可能性がある  NTLM/Kerberosパスワードハッシュ必須 →Azure ADDS構成後にパスワードを変更  Azure ADDSと同期していること →Azure ADでパスワード変更後、約20分 15
  • 16. Azure ADDS構築後の追加作業: ユーザー権利の割り当て  Azure ADDSの管理者= AAD DC Administrators  ドメイン管理者ではない  リモートデスクトップ接続不可  AAD DC Administratorsを 以下のローカルグループに追加  Remote Desktop Users  Administrators  設定手順例 1. ローカル管理者でログオン 2. ADDS管理ツール &グループポリシー機能の追加 3. AAD DC AdministratorsをAdministratorsに追加 4. [制限されたグループ]の構成 16
  • 17. AAD DC Administratorsの権限  フォレスト…管理権限なし  ドメイン…制限付き管理権限のみ  OU作成  Creator Ownerにフルコントロール →作成したOUにアカウント作成可能  OU: AADDC Computers  コンピューターオブジェクトの既定の作成場所  コンピューターオブジェクトの作成・削除・管理  GPOリンクの管理  OU: AADDC Users  ユーザーオブジェクトの既定の複製場所  ユーザーオブジェクトの作成・変更・削除不可  GPOリンクの管理 17
  • 18. ユーザー管理  ドメインユーザーの構成(Azure AD)  Azure ADに新規ユーザーを作成  Azure ADの既存ユーザーのパスワードを変更  ドメインユーザーの構成(Azure ADDS)  ドメイン管理ツールをメンバーサーバーにインストール  管理を委任されたOUの管理  新規作成したOUの管理  Azure ADからAzure ADDSへは自動同期  通常は20分以内  逆の同期は不可 18 Azure ADAzure ADDS 標準機能 参考: https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/active-directory-ds-synchronization
  • 19. グループポリシーの利用  リンクの管理  OU: AADDC Computers  OU: AADDC Users  管理者が作成したOU  GPOの管理  Group Policy Creator Ownersのメンバー - AAD DC Administrators - 管理者が作成したGPOは管理可能  AADDC Computers GPOの編集  AADDC Users GPOの編集 19
  • 20. グループポリシーの利用: グループポリシーでできないこと  サイト/ドメイン/既定のOUにGPOをリンク  既定のGPOの編集  スターターGPOの構成  グループポリシーのモデル作成 20 ドメインやフォレスト全体にかかわる作業は禁止 要するに
  • 21. Azure ADDSの制限  フォレスト管理不可  信頼関係  スキーマ拡張  サイト管理  機能レベル  ドメイン管理不可  ドメインセキュリティ  パスワードポリシー  ドメインコントローラー管理不可  Administratorsグループのメンバーシップ  ローカルログオン  既定のオブジェクト管理不可  Users/Computersコンテナ 21
  • 22. Azure ADDSの利用  ユーザー  Azure ADからユーザーを同期  独自にOUを作成し、新規登録  コンピューター  オンプレミスADDSと同じ  グループポリシー  独自にGPOを作成し、独自に作成したOUにリンク 22
  • 23. Azure ADDS vs. ADDS Azure ADDS Azure上のADDS オンプレミスADDS 基本料金 1時間あたり 仮想マシン ストレージ 帯域幅無料(同一リージョン) VPN接続 運用コスト ○おまかせ (諸説あります) ×仮想マシン管理必要 △VPN管理必要 (諸説あります) 機能制限 あり 仮想マシンの制限 なし その他 Azure AD利用 23
  • 24. Azure ADDS vs. ADDS: 既存ドメイン(ADDS)との連携(復習) 24  信頼関係は結べない  アカウント同期が可能  ADDSからAzure ADに同期…AD Connect  Azure ADからAzure ADDSに同期…基本機能 AD Connect 基本機能
  • 25. Azure ADDS vs. ADDS: コスト試算  Azure AD(無料プラン)  50万オブジェクトまで無料  Azure ADDS(東日本・西日本)  仮想マシンによるADDS  D1×2台 + ストレージ = 17,653円/月額(1年間)  社内ADDSの利用…VPN接続料金に依存 25 オブジェクト数 時間あたり 月額(31日) ~25,000 16.80円 12,499円 ~10万 44.80円 33,331円 ~50万 179.20円 13,3324円 項目 月額(31日) 月額(1年間リザーブ) D1(1コア・3.5GBメモリ) 13,999円 8,167円 D2(2コア・7GBメモリ) 27,998円 16,409円 ストレージ(128GB×2) 1,319円
  • 26. 本日の結論  Azure ADDSが使えるとき  Azureで、新しいADDSが必要な場合  Azure ADからユーザーを複製したい場合  Azure AD経由でADDSユーザーを複製したい場合  独自にOUを構成する場合  Azure ADDSが使えないとき  既存のADDSドメインと信頼関係が必要な場合  複数リージョンにDCを分散配置したい場合  Active Directoryのサイトを構成したい場合 26 Azure ADDSを使いましょう 仕方がないので Azure上にADDS仮想マシンを立てましょう
  • 28. Azure Active Directory Domain Servicesの作成  [新規]-[セキュリティ+ID] -[Azure AD Domain Services] 28
  • 29. 1. 基本設定  ディレクトリ名…既定値  DNSドメイン名  その他 29
  • 30. 2. ネットワーク設定  仮想ネットワーク  サブネット…DC専用サブネットが望ましい  いずれも 事前作成 30
  • 31. 3. 管理者グループ設定  Azure ADDS管理者の指定  AAD DC Administratorsメンバー  以下から選択  Azure管理者  既存のAzure AD 31
  • 33. Azure AD DS管理ツールの確認  Azureポータル [その他]-[Azure AD Domain Services] (2018年1月8日現在[セキュリティ+ID]ではない) 33
  • 34. 仮想ネットワークのDNS構成  Azure ADDSドメインコントローラーのIPを取得  仮想ネットワークの DNSに指定 34 DNS構成後、 この図は消える
  • 36. 36

Editor's Notes

  1. 横山哲也(トレノケート株式会社)。1994年からWindows Serverトレーニングを担当、2003年から主にActive Directory分野でMicrosoft MVPを受賞(2017年はCloud and Datacenter Management)。最近の著書に「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 改訂新版」「グループポリシー逆引きリファレンス厳選98」。
  2. Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。 Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。 本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。
  3. Azureの仮想マシンをActive Directoryのメンバーにしたいことはしばしばあります。 Azure Active Directory Domain Services(Azure ADDS)を使えば、ドメインコントローラー用の仮想マシンを作ることなく、Active Directoryドメインサービスを簡単に構成できます。 本セッションでは、Azure ADDSの構築手順を紹介し、Azure ADDSの機能や制限、Azure Active Directory(Azure AD)との連係について解説します。
  4. その他のOU AADDSDomainAdmin AADDSDomainConfig