【WVD環境作成 part2】Azure Active Directory Domain Servicesで認証基盤を確認する

この記事の内容

  • Azure Active Directory Domain Services(AADDS)のデプロイ完了を確認し、所要時間や展開後の状態を把握する
  • 仮想ネットワークのDNSサーバー設定更新など、AADDS利用に必要な後続構成手順を確認する
  • AADDSにおけるパスワードハッシュ同期の仕組みと、クラウド専用ユーザーへの対応方法を理解する
  • Windows Server 2019の仮想マシンを作成し、AADDSが構成したドメインへの参加を実施する
  • Active Directoryの管理ツールでドメイン構造やユーザー・グループの状態を確認する

AADDSのデプロイ完了を確認する

前回の動画でAADDSのデプロイを開始しましたが、完了まで約41分44秒かかりました。展開完了後の確認はAzureポータルのリソースグループ画面から「デプロイ」メニューを選択することで行えます。「成功」と表示されていれば問題ありません。

AADDSリソースに移動すると、初期構成がまだ完全には終わっていない状態に見えますが、展開自体は完了しています。正常性の監視、Azure ADとの同期、バックアップはいずれも自動的に構成されており、手動での設定は不要です。この点はAADDSの大きな利点のひとつです。

必要な後続構成手順

仮想ネットワークのDNSサーバー設定

AADDSのデプロイが完了したら、仮想ネットワークのDNSサーバー設定を更新する必要があります。AADDSと同時に仮想ネットワークが作成されますが、その仮想ネットワーク内に展開するWindows Server等の仮想マシンが、AADDSが作成したドメインコントローラーをDNSとして参照するよう設定しなければなりません。

この設定を行うことで、仮想マシンからドメインを名前解決してドメイン参加が可能になります。

なお、すでに仮想ネットワーク内に仮想マシンを展開済みの場合は、DNSサーバー設定変更後に仮想マシンの再起動が必要です。今回はまだ仮想マシンを作成していないため、再起動は不要です。

パスワードハッシュ同期の有効化

もうひとつの必要な構成として、パスワードハッシュ同期の有効化があります。AADDSでの認証を行うためには、ユーザーのパスワードそのものではなく、パスワードのハッシュ値をAADDS側に同期する必要があります。

ここで重要なのは同期の方向性です。一般的なAzure AD ConnectによるオンプレADとのハイブリッド構成では、オンプレミスActive DirectoryからAzure ADへ同期するのが通常の方向です。しかしAADDSでは逆方向になります。Azure ADがマスターとなり、Azure AD上に存在するユーザーのパスワードハッシュがAADDSで構成されたAD(ドメインコントローラー)へ同期されます。

クラウド専用ユーザーの場合

Azure ADにのみ存在するクラウド専用ユーザーの場合、各ユーザーが自分のパスワードを一度変更する必要があります。パスワード変更プロセスによってパスワードハッシュがAzure AD上で生成・保存され、そのハッシュがAADDSへ同期されます。結果として、Azure ADとAADDS(オンプレAD)の両方で同じパスワードでの認証が可能になります。

Windows Server 2019仮想マシンの作成

AADDSの確認が完了したので、ドメイン参加を検証するためのWindows Server 2019仮想マシンを作成します。

仮想マシン作成時の重要なポイントは仮想ネットワークの選択です。新しい仮想ネットワークを作成してしまうと、AADDSで作成されたActive Directoryにアクセスできなくなります。必ずAADDSと同じ仮想ネットワーク(サブネット)を選択してください。

今回の検証環境では、コスト削減のためスポットインスタンスを使用しています。スポットインスタンスは急に停止する可能性がありますが、検証目的であれば問題ありません。停止時の動作は「停止(割り当て解除)」に設定します。

また、作業終了後の無駄な課金を防ぐため、自動シャットダウンを有効化しておくことをお勧めします。タイムゾーンをUTC+9(日本標準時)に設定し、任意の時刻(例:19:00)にシャットダウンするよう構成します。

ドメイン参加の実施

管理ユーザーの準備

仮想マシンのデプロイ完了後、ドメイン参加を行う前に管理ユーザーの確認が必要です。AADDSには「AAD DC Administrators」というグループが存在し、このグループのメンバーが管理者権限を持ちます。

注意点として、Microsoftアカウント(個人アカウント)はこのグループのメンバーとして使用できません。Azure ADのネイティブユーザー(例:admin@yourdomain.onmicrosoft.com)を使用する必要があります。

管理ユーザーをAAD DC Administratorsグループに追加した後、そのユーザーのパスワードをリセットします。これによりパスワードハッシュが生成・同期され、AADDSドメインへの認証が可能になります。

ドメイン参加の実行

仮想マシンにRDP接続してドメイン参加を行います。Windowsの「コンピューターのプロパティ」からドメイン参加を選択し、AADDSで作成されたドメイン名を入力します。

:happyset.microsoft.com

DNS設定が正しく行われていれば、入力したドメイン名が解決され、認証画面が表示されます。先ほど準備した管理ユーザーの資格情報を入力することでドメイン参加が完了します。

ドメイン参加後は仮想マシンを再起動します。再起動後はドメインの資格情報でログインが可能になります。ログイン時はユーザープリンシパル名(UPN)形式で入力します。

:admin@yourdomain.onmicrosoft.com

Active Directoryの構造確認

ドメイン参加に成功したら、管理ツールを使ってAADDSのActive Directory構造を確認します。リモートサーバー管理ツール(RSAT)を仮想マシンにインストールすることで、Active Directory管理ツールが使用可能になります。

サイトとドメインコントローラー

「Active Directory サイトとサービス」で確認すると、Default-First-Site-Nameというサイトが1つ存在するシンプルな構成になっています。ドメインコントローラーは2台存在しており、冗長構成が自動的に取られています。これはAADDSのマネージドサービスとしての恩恵です。

ユーザーとグループ

「Active Directory ユーザーとコンピューター」では、Azure ADから同期されたユーザー群を確認できます。また、ドメイン参加させた仮想マシンも「コンピューター」コンテナに追加されていることが確認できます。

権限に関する注意点

AAD DC Administratorsグループのメンバーには管理権限が付与されますが、通常のオンプレミスADで持てるようなDomain AdminsEnterprise Adminsの最上位権限は持てません。これはAADDSがマネージドサービスであるため、Microsoftが内部の管理権限を保持しているためです。

Windows Virtual Desktopの運用やWindows統合認証を必要とするアプリケーションの実行には十分な権限が付与されているため、実用上は問題ありません。

まとめ

今回はAADDSのデプロイ完了確認から、仮想マシンのドメイン参加、Active Directoryの構造確認までの手順を解説しました。

重要なポイントをまとめます。

  • AADDSのデプロイには約40分かかります。デプロイ後は仮想ネットワークのDNSサーバー設定を必ず更新してください
  • AADDSにおけるパスワードハッシュ同期はAzure ADからAADDSへという通常とは逆方向の同期です
  • クラウド専用ユーザーはAADDS使用前にパスワードを一度変更してパスワードハッシュを生成する必要があります
  • ドメイン参加する仮想マシンはAADDSと同じ仮想ネットワークに配置することが必須です
  • AADDSはマネージドサービスのため、Domain AdminsやEnterprise Adminsの最上位権限は持てませんが、WVD用途には十分な権限が付与されています

次回はAzure ADとActive Directoryの準備が整った状態で、いよいよWindows Virtual Desktop環境の本格的な構築を行います。