こんにちは、Azure & Identity サポート チームの平形です。
最近 Windows Virtual Desktop や Azure Files などと合わせて導入されることも増えている Azure AD Domain Services のよくある質問につきまして Q&A 形式でおまとめいたしました。
これから Azure AD Domain Services の導入を検討される場合には先に公開しております下記ブログをご覧ください。
Azure AD Domain Services の利用シナリオ
Q&A タイトル
- Azure AD Domain Services を構築し、 Windows をドメイン参加させようとしたがエラーが発生してサインインできません。
- Azure AD Domain Services にサインインする際に NetBIOS ドメイン名と UPN どちらでサインインすればよいですか。
- Azure AD Domain Services への同期スコープをグループに設定しています。入れ子のグループに対応していますか。
- Azure AD 上でユーザー オブジェクトの作成・変更を行いました。 Azure AD Domain Services へ変更が反映されるまでにどれくらい時間がかかりますか。
- Azure AD Domain Services のネットワーク要件を教えてください。
- グループ ポリシーのセントラル ストアの利用ができるか教えてください。
- Azure AD Domain Services が存在するサブスクリプションを別テナントに移動しようと考えていますが移動できますか。
- Azure AD Domain Services を複数作成することはできますか。
- Azure AD Domain Services を導入するにあたってどのようなドメイン名にすればよいか教えてください。
- Azure AD Domain Services 上のイベント ログを閲覧することは可能ですか。
Q. Azure AD Domain Services を構築し、 Windows をドメイン参加させようとしたがエラーが発生してサインインできません。
A. 以下の 3 つのいずれかに該当する可能性があります。
- ユーザー名・パスワードが誤っている
- Azure AD Domain Services を構築する前から Azure AD 上に存在するユーザーを利用している (そしてパスワード ハッシュが Azure AD Domain Services に同期されていない)
- アカウント ロックアウトが発生している
以下それぞれの詳細です。
1. ユーザー名・パスワードが誤っている
ドメイン参加時に指定したアカウントが Azure AD Domain Services に同期されているアカウントであるか、並びにパスワードが正しいかをご確認ください。
いずれも問題がない場合には一度 Azure AD 上でパスワードの変更・リセットをご実施ください。
また、 Azure AD Domain Services に Azure AD から同期したユーザーでサインインを試行する場合には、 NetBIOS 形式 (contoso\user) ではなく、 UPN 形式 (user@contoso.onmicrosoft.com 等) でサインインしてください。
Azure AD から Azure AD Domain Services に同期したユーザーは Azure AD の UPN と同じ UPN を持ちます。
NetBIOS 名の場合、名前の長さなどが要因で Azure AD 上のユーザー名と異なる名前が設定されている可能性があります。
Azure AD から Azure AD Domain Services に同期される属性や内容は次のリンクの情報を参照ください。
2. Azure AD Domain Services を構築する前から Azure AD 上に存在するユーザーを利用している (そしてパスワード ハッシュが Azure AD Domain Services に同期されていない)
Azure AD Domain Services 構築しても Azure AD Domain Services 上に同期された既存アカウントについては Azure AD が保持するパスワード情報が同期されません。
Azure AD Domain Services 構築後に Azure AD 側でパスワードを変更・リセットすることで Azure AD 上に Kerberos/NTLM 認証で利用するパスワード ハッシュが生成・格納されるようになります。
Kerberos/NTLM 認証で利用するパスワード ハッシュが Azure AD に格納された後、 Azure AD から Azure AD Domain Services にパスワード ハッシュが同期され、 Azure AD Domain Services 上でサインインできるようになります。
Azure AD Connect を用いて同期しているアカウントの場合には Azure AD Domain Services を構築後、オンプレミス AD 上でパスワード変更を行い Azure AD 上のパスワード ハッシュを更新ください。
もしくは下記公開情報記載の手順に従って Azure AD Connect 上で同期対象のユーザーのパスワード ハッシュを再同期するよう強制することでも、 Azure AD 上のパスワード ハッシュが更新されます。
チュートリアル:ハイブリッド環境の Azure Active Directory Domain Services でパスワード同期を有効にする
こちらは 1 回のみの実施で問題ございません。
Azure AD Domain Services 構築後は Azure AD 上でパスワード更新が発生すると自動で Kebreros/NTLM 認証で利用可能なパスワード ハッシュが Azure AD 上に格納されるようになります。
アカウント ロックアウトが発生している。
Azure AD Domain Services は既定で 2 分で 5 回のパスワード入力に失敗すると 30 分間ロックアウトされます。
連続で間違えた場合にはアカウント ロックアウトが発生している可能性があるため、 30 分経過するのを待ち、サインインをお試しください。
Q. Azure AD Domain Services にサインインする際に SAMAccountName と UPN どちらでサインインすればよいですか。
A. どちらでもサインイン可能です。注意点として、 Azure AD Domain Services に Azure AD からアカウントが同期された際に SAMAccountName の名前の長さの制限などによってランダムな文字列に変更されて同期される可能性がございます。 UPN であれば Azure AD の UPN と一致した状態で同期されるため、 SAMAccountName でのサインインに失敗するといった場合には、 UPN 形式でのサインインをお試しください。
Q. Azure AD Domain Services への同期スコープをグループに設定しています。入れ子のグループに対応していますか。
A. いいえ、入れ子のグループには対応していません。同期したいユーザーを直接グループに割り当てる必要があります。
入れ子のグループについては下記をご覧ください。
Q. Azure AD 上でユーザー オブジェクトの作成・変更を行いました。 Azure AD Domain Services へ変更が反映されるまでにどれくらい時間がかかりますか。
A. 変更が完了するまでの時間は公開されていませんが、検証ベースでは 30 分から 1 時間程度で変更が完了することを確認しています。(今後変更される可能性もありますので、あくまでも参考数値です)
Q. Azure AD Domain Services のネットワーク要件を教えてください。
A. 下記公開情報をご覧ください。
Azure Active Directory Domain Services の仮想ネットワーク設計の考慮事項と構成オプション
Express Route を利用し、強制トンネリング構成を行ってデフォルト ルート (0.0.0.0) を書き換えている構成、ネットワーク セキュリティ グループ (NSG) を変更し、 Azure AD Domain Services が必要とするポートが解放されていない構成に起因して問題が生じるというお問い合わせが多くあります。
ネットワーク構成を変更する際には必ず上記公開情報記載の要件を満たしているかをご確認ください。
Q. グループ ポリシーのセントラル ストアの利用ができるか教えてください。
A. はい、利用可能です。設定方法はオンプレミス AD の場合と同じです。
Q. Azure AD Domain Services を導入するにあたってどのようなドメイン名にすればよいか教えてください。
A. 基本的にはルーティング (名前解決) 可能なドメイン名であり、かつ自組織で管理しているドメイン名の利用が望ましいです。.local を含むドメイン名やオンプレミスのドメイン名といった名前も利用できますが、これらのドメイン名を利用する場合には注意が必要です。
その例として、 Azure AD Domain Services で LDAPS を利用する場合が挙げられます。
LDAPS を利用する場合には証明書が必要です。証明書のサブジェクト名は *.contoso.com といった、 Azure AD Domain Services のドメイン名を含むワイルドカード形式である必要があります。
そのため、 LDAPS の利用が予定されている場合にはワイルドカード証明書を発行できるドメイン名で Azure AD Domain Services を構成する必要がございます。
ドメイン名検討にあたっての考慮事項の詳細は下記公開情報をご覧ください。
Q. Azure AD Domain Services が存在するサブスクリプションを別テナントに移動しようと考えていますが移動出来ますか。
A. 再構築が必要になります。サブスクリプションの移動の操作はできますが、 Azure AD Domain Services の同期が行えなくなります。サブスクリプションの移動を行った場合には Azure AD Domain Services は一度削除し、改めて再構築を行う必要があります。
このように Azure AD Domain Services は一度展開するとサブスクリプションを移動させたり、ドメイン名の変更が行えないなどの制約があるため、十分に検討の上で展開先サブスクリプションやドメイン名などを決定ください。
Q. Azure AD Domain Services を複数作成することはできますか。
A. いいえ、できません。 1 つのテナントにつき 1 つの Azure AD Domain Services しか展開することはできません。
Q. Azure AD Domain Services 上のサインイン ログ等を閲覧することは可能ですか。
A. Azure AD Domain Services 上のイベント ログを直接参照することはできませんが、診断設定を構成することでストレージ アカウントに出力し、 Log Analytics 等で閲覧することが可能です。
Azure Active Directory Domain Services でセキュリティ監査を有効にする
以上の内容でカバーされていない点で何か疑問点などございましたら、ぜひサポートサービスまでお問い合わせください。
上記内容が参考となりましたら幸いです。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。