Help us understand the problem. What is going on with this article?

Azure VM 上の CentOS に Azure AD ユーザーの資格情報で SSH 接続する 2 つの方法

はじめに

これから試す内容は下記 Microsoft の公開情報に書いてある内容を基に、実際に動作検証をした内容になります。

-参考情報
CentOS Linux 仮想マシンを Azure AD Domain Services のマネージド ドメインに参加させる
URL:https://docs.microsoft.com/ja-jp/azure/active-directory-domain-services/join-centos-linux-vm#configure-the-hosts-file

-参考情報
プレビュー:Azure Active Directory 認証を使用して Azure の Linux 仮想マシンにログインする
URL:https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/login-using-aad

1 つ目は、Azure AD DS のドメインに CentOS をコンピューターとして参加させ、Azure AD ユーザーで SSH 接続ができるかを試しました。
2 つ目は、パブリック プレビューの機能である「Azure AD の資格情報を使用してログインする」を使って CentOS に Azure AD ユーザーで SSH 接続できるかを試してみました。

CentOS を含む Linux OS を Azure AD DS のドメインに参加させるメリットの 1 つとして、Azure AD (オンプレ AD から Azure AD Connect 経由で同期されたユーザーも含む) から Azure AD DS に同期されたユーザーの資格情報を利用して Linux OS に SSH 接続できる、という点があります。

つまり、CentOS 上でユーザーを作成して管理する必要がなくなる上に、Azure AD DS のロックアウト ポリシーなどを効かすこともできる、というメリットがあります。

また、 CentOS の場合 CentOS 6 および CentOS 7 系であれば、パブリック プレビューの機能ではありますが、Azure AD の資格情報を使用してログインする という機能が使えるため、Azure AD DS のマネージド ドメインに参加させる必要もなく Azure AD ユーザーで SSH 接続できるようになりました。

パブリック プレビューの機能だけを確認したい方は、こちらのリンクから該当の手順に飛んでご覧ください。

やってみる

CentOS の以下 2 つのバージョンで SSH 接続をためしてみました。

OS 認証方法
CentOS 8.1 Auzre AD DS ドメイン参加後 SSH 接続
CentOS 7.5 Azure AD の資格情報を使用してログインする (プレビュー) の機能で SSH 接続

CentOS 8.1 で仮想マシンを作成すると下記画面ショットのように「Azure AD の資格情報を使用してログインする」の機能がサポートされていないため、有効化できません。
※後からわかったのですが、CentOS はすべての OS バージョンにおいて Azure ポータルからは有効にできないため、Azure CLI にて後から拡張機能をインストールする必要があります。
image.png

Microsoft の公開情報によると、下記 Linux ディストリビューションとバージョンがサポートされているようです。

-参考情報
プレビュー:Azure Active Directory 認証を使用して Azure の Linux 仮想マシンにログインする サポートされている Azure リージョンと Linux ディストリビューション
URL:https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/login-using-aad#supported-azure-regions-and-linux-distributions

この機能のプレビュー期間中は、次の Linux ディストリビューションがサポートされます。

Distribution Version
CentOS CentOS 6、CentOS 7
Debian Debian 9
openSUSE openSUSE Leap 42.3
RedHat Enterprise Linux RHEL 6、RHEL 7
SUSE Linux Enterprise Server SLES 12
Ubuntu Server Ubuntu 14.04 LTS、Ubuntu Server 16.04、Ubuntu Server 18.04
Azure AD DS マネージド ドメインに参加して Azure AD ユーザーでSSH 接続する手順

SSH で対象のコンピューターに接続した後に下記のように hosts ファイルを構成します。
ローカルホストに指定しているのは、Azure AD DS のマネージド ドメイン名と、そのドメインに参加するコンピューターのホスト名になります。

[root@CentOS-001 etc]# diff ./hosts ./hosts.org
1c1
< 127.0.0.1   adds001.work CentOS-001
---
> 127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4

次に yum コマンドで Azure AD DS に参加するために必要なパッケージをインストールします。

[root@CentOS-001 etc]# yum install realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools
CentOS-8 - AppStream                                                                           25 kB/s | 3.5 kB     00:00
CentOS-8 - Base                                                                               515 kB/s | 3.1 kB     00:00
CentOS-8 - Extras                                                                             2.3 kB/s | 1.5 kB     00:00
Package realmd-0.16.3-16.el8.x86_64 is already installed.
Package sssd-2.2.0-19.el8_1.1.x86_64 is already installed.
Package krb5-libs-1.17-9.el8.x86_64 is already installed.
Dependencies resolved.
==============================================================================================================================
 Package                            Architecture           Version                            Repository                 Size
==============================================================================================================================
Installing:
 oddjob                             x86_64                 0.34.4-7.el8                       AppStream                  83 k
 oddjob-mkhomedir                   x86_64                 0.34.4-7.el8                       AppStream                  52 k
 krb5-workstation                   x86_64                 1.17-9.el8                         BaseOS                    940 k
 samba-common-tools                 x86_64                 4.10.4-101.el8_1                   BaseOS                    469 k
Installing dependencies:
 libkadm5                           x86_64                 1.17-9.el8                         BaseOS                    184 k
 psmisc                             x86_64                 23.1-3.el8                         BaseOS                    151 k
 samba-libs                         x86_64                 4.10.4-101.el8_1                   BaseOS                    185 k

Transaction Summary
==============================================================================================================================
Install  7 Packages

Total download size: 2.0 M
Installed size: 6.1 M
Is this ok [y/N]: Y
Downloading Packages:
(1/7): oddjob-mkhomedir-0.34.4-7.el8.x86_64.rpm                                                60 kB/s |  52 kB     00:00
(2/7): krb5-workstation-1.17-9.el8.x86_64.rpm                                                 1.0 MB/s | 940 kB     00:00
(3/7): oddjob-0.34.4-7.el8.x86_64.rpm                                                          88 kB/s |  83 kB     00:00
(4/7): libkadm5-1.17-9.el8.x86_64.rpm                                                         751 kB/s | 184 kB     00:00
(5/7): psmisc-23.1-3.el8.x86_64.rpm                                                           388 kB/s | 151 kB     00:00
(6/7): samba-libs-4.10.4-101.el8_1.x86_64.rpm                                                 792 kB/s | 185 kB     00:00
(7/7): samba-common-tools-4.10.4-101.el8_1.x86_64.rpm                                         1.0 MB/s | 469 kB     00:00
------------------------------------------------------------------------------------------------------------------------------
Total                                                                                         1.5 MB/s | 2.0 MB     00:01
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                                                                      1/1
  Installing       : psmisc-23.1-3.el8.x86_64                                                                             1/7
  Installing       : oddjob-0.34.4-7.el8.x86_64                                                                           2/7
  Running scriptlet: oddjob-0.34.4-7.el8.x86_64                                                                           2/7
  Installing       : samba-libs-4.10.4-101.el8_1.x86_64                                                                   3/7
  Installing       : libkadm5-1.17-9.el8.x86_64                                                                           4/7
  Installing       : krb5-workstation-1.17-9.el8.x86_64                                                                   5/7
  Installing       : samba-common-tools-4.10.4-101.el8_1.x86_64                                                           6/7
  Installing       : oddjob-mkhomedir-0.34.4-7.el8.x86_64                                                                 7/7
  Running scriptlet: oddjob-mkhomedir-0.34.4-7.el8.x86_64                                                                 7/7
  Verifying        : oddjob-0.34.4-7.el8.x86_64                                                                           1/7
  Verifying        : oddjob-mkhomedir-0.34.4-7.el8.x86_64                                                                 2/7
  Verifying        : krb5-workstation-1.17-9.el8.x86_64                                                                   3/7
  Verifying        : libkadm5-1.17-9.el8.x86_64                                                                           4/7
  Verifying        : psmisc-23.1-3.el8.x86_64                                                                             5/7
  Verifying        : samba-common-tools-4.10.4-101.el8_1.x86_64                                                           6/7
  Verifying        : samba-libs-4.10.4-101.el8_1.x86_64                                                                   7/7

Installed:
  oddjob-0.34.4-7.el8.x86_64                    oddjob-mkhomedir-0.34.4-7.el8.x86_64    krb5-workstation-1.17-9.el8.x86_64
  samba-common-tools-4.10.4-101.el8_1.x86_64    libkadm5-1.17-9.el8.x86_64              psmisc-23.1-3.el8.x86_64
  samba-libs-4.10.4-101.el8_1.x86_64

Complete!

次に、「realm discover」コマンドを使い、参加する対象の Azure AD DS マネージド ドメインを探します。
正常に検索出来た場合は、下記のような応答が返ってきます。

[root@CentOS-001 etc]# realm discover adds001.work
adds001.work
  type: kerberos
  realm-name: ADDS001.WORK
  domain-name: adds001.work
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools

意図的に存在しないドメインを指定すると、見つからない旨のメッセージが返ってきます。

[root@CentOS-001 etc]# realm discover adds001.work2
realm: No such realm found: adds001.work2

次に「kinit」コマンドを使い、Kerberos を初期化します。
ここで指定するユーザーは既に Azure AD から Azure AD DS に同期されているユーザーを指定します。
また、公開情報にも記載されていますが、マネージド ドメイン名の名前は すべて大文字 で指定する必要があります。

大文字を指定しないと以降のドメイン参加に KDC reply did not match expectations while getting initial credentials と表示 (ドメインが小文字と怒られて) されて失敗します。

[root@CentOS-001 etc]# kinit admin001@ADDS001.WORK
Password for admin001@ADDS001.WORK:

最後に、「realm join」コマンドを使い、Azure AD DS マネージド ドメインに参加します。
この時に指定するユーザーはさきほど kinit コマンドで指定したユーザーと同じユーザーを指定して実行します。
また、マネージド ドメイン名も必ず 大文字 で指定してください。

※ここでパッケージが不足している (Necessary packages are not installed) などの理由で怒られる場合は、必要なパッケージを yum コマンドでインストールしてください。

もう 1 つハマりポイントとして、「realm join」コマンドを実行してドメインに参加するためには、Azure AD の「AAD DC Administrators」グループに所属しているユーザーで実行する必要があります。下記グループです。
image.png

このグループに所属していないユーザーで「realm join」コマンドを実行しても「realm: Couldn't join realm: Insufficient permissions to join the domain」と言われ、ドメインに参加する権限がないと怒られます。

下記のとおり「AAD DC Administrators」グループに参加したユーザーで実行するとドメインの参加に成功します。

[root@CentOS-001 etc]# realm join --verbose ADDS001.WORK -U 'admin001@ADDS001.WORK'
 * Resolving: _ldap._tcp.adds001.work
 * Performing LDAP DSE lookup on: 10.0.128.4
 * Performing LDAP DSE lookup on: 10.0.128.5
 * Successfully discovered: adds001.work
Password for admin001@ADDS001.WORK:
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/sbin/adcli
 * LANG=C /usr/sbin/adcli join --verbose --domain adds001.work --domain-realm ADDS001.WORK --domain-controller 10.0.128.4 --login-type user --login-user admin001@ADDS001.WORK --stdin-password
 * Using domain name: adds001.work
 * Calculated computer account name from fqdn: ADDS001
 * Using domain realm: adds001.work
 * Sending netlogon pings to domain controller: cldap://10.0.128.4
 * Received NetLogon info from: YPQT7E6FN35QB2T.adds001.work
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-RUnvLC/krb5.d/adcli-krb5-conf-Gni9DF
 * Authenticated as user: admin001@ADDS001.WORK
 * Looked up short domain name: ADDS001
 * Looked up domain SID: S-1-5-21-725261351-3815095135-1752245733
 * Using fully qualified name: adds001.work
 * Using domain name: adds001.work
 * Using computer account name: ADDS001
 * Using domain realm: adds001.work
 * Calculated computer account name from fqdn: ADDS001
 * Generated 120 character computer password
 * Using keytab: FILE:/etc/krb5.keytab
 * Computer account for ADDS001$ does not exist
 * Found well known computer container at: OU=AADDC Computers,DC=adds001,DC=work
 * Calculated computer account: CN=ADDS001,OU=AADDC Computers,DC=adds001,DC=work
 * Encryption type [16] not permitted.
 * Encryption type [23] not permitted.
 * Encryption type [3] not permitted.
 * Encryption type [1] not permitted.
 * Created computer account: CN=ADDS001,OU=AADDC Computers,DC=adds001,DC=work
 * Sending netlogon pings to domain controller: cldap://10.0.128.4
 * Received NetLogon info from: YPQT7E6FN35QB2T.adds001.work
 * Set computer password
 * Retrieved kvno '2' for computer account in directory: CN=ADDS001,OU=AADDC Computers,DC=adds001,DC=work
 * Checking RestrictedKrbHost/adds001.work
 *    Added RestrictedKrbHost/adds001.work
 * Checking RestrictedKrbHost/ADDS001
 *    Added RestrictedKrbHost/ADDS001
 * Checking host/adds001.work
 *    Added host/adds001.work
 * Checking host/ADDS001
 *    Added host/ADDS001
 * Discovered which keytab salt to use
 * Added the entries to the keytab: ADDS001$@ADDS001.WORK: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/ADDS001@ADDS001.WORK: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: host/adds001.work@ADDS001.WORK: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/ADDS001@ADDS001.WORK: FILE:/etc/krb5.keytab
 * Added the entries to the keytab: RestrictedKrbHost/adds001.work@ADDS001.WORK: FILE:/etc/krb5.keytab
 * /usr/bin/systemctl enable sssd.service
 * /usr/bin/systemctl restart sssd.service
 * /usr/bin/sh -c /usr/bin/authselect select sssd with-mkhomedir --force && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service
Profile "sssd" was selected.
The following nsswitch maps are overwritten by the profile:
- passwd
- group
- netgroup
- automount
- services

Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled
  - systemctl enable oddjobd.service
  - systemctl start oddjobd.service

Created symlink /etc/systemd/system/multi-user.target.wants/oddjobd.service → /usr/lib/systemd/system/oddjobd.service.
 * Successfully enrolled machine in realm

この時点で Azure AD DS の 「AADDC Computers」OU を確認してみると、それらしいコンピューターが参加されていることが確認できます。
image.png

Azure VM 作成時に既定では SSH 公開鍵認証が選択されています。
パスワード認証を有効化するためには、sshd_config の PasswordAuthentication を有効化します。
VM 作成時にパスワード認証を選択されている場合は、既にこの設定値は「yes」になっています。

[root@CentOS-001 ssh]# pwd
/etc/ssh

[root@CentOS-001 ssh]# cat ./sshd_config | grep PasswordAuthentication
#PasswordAuthentication yes
PasswordAuthentication yes
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication, then enable this but set PasswordAuthentication

Azure AD DS の「AAD DC Administrators」グループ内のメンバーに対して sudo 権限を付与するための設定を行います。

sudo visudo

[root@CentOS-001 etc]# diff ./sudoers ./sudoers.org
121,123d120
<
< # Add 'AAD DC Administrators' group members as admins.
< %AAD\ DC\ Administrators@adds001.work  ALL=(ALL) NOPASSWD:ALL

準備が整ったので、SSH クライアントから Azure AD から同期した Azure AD DS ユーザー (admin001@adds001.work) で対象の CentOS に SSH 接続できるか確認してみます。
image.png

問題なく接続できました。
image.png

sudo で root 権限が持てるか試してみます。

[admin001@adds001.work@CentOS-001 ~]$ sudo su -
Last login: Sat May  2 16:55:36 UTC 2020 on pts/0
Last failed login: Sat May  2 17:24:28 UTC 2020 from 209.141.55.11 on ssh:notty
There were 2 failed login attempts since the last successful login.

[root@CentOS-001 ~]#
[root@CentOS-001 ~]#

問題なく root に昇格できました。

以上で、Azure AD DS のマネージド ドメインへの参加、Azure AD ユーザーによる SSH 接続の手順は完了になります。
次はもう 1 パターン、パブリック プレビュー機能である「Azure Active Directory 認証を使用して SSH 接続する手順」を試してみます。

Azure Active Directory 認証を使用して SSH 接続する手順

こちらの手順については、Azure VM 作成時にもしくは作成後に Azure VM の拡張機能をインストールするだけなので、何ら難しい作業は必要ありません。
拡張機能のインストール手順は、下記公開情報にも記載されています。

-参考情報
Azure AD ログイン VM 拡張機能をインストールする
URL:https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/login-using-aad#install-the-azure-ad-login-vm-extension

色々試してみましたが、RHEL や Ubuntu OS は下記画面ショットのように Azure ポータルの仮想マシン作成の画面より「Azure AD の資格情報を使用してログインする」より機能を有効化することができましたが、CentOS の場合はサポートしている、とされている CentOS 6系 7 系いずれにおいても VM 作成時には有効化することができませんでした。
image.png

従って、上記公開情報に記載されている VM 拡張機能をインストールして試してみます。

まず、Azure ポータルから Cloud Shell を起動し、公開情報に書かれているとおり、以下コマンドレットを実行し VM 拡張機能をインストールします。
myResourceGroupmyVM は適宜実行対象の環境の名前に置き換えて実行してください。

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory.LinuxSSH \
    --name AADLoginForLinux \
    --resource-group myResourceGroup \
    --vm-name myVM

インストールに成功すると、下記画面ショットのように provisioningStateSucceeded と出力されます。
image.png

次に対象の仮想マシンにたいして、SSH 接続するために必要な RBAC (ロールベース アクセス制御)のロールを割り当てます。
公開情報にも書いてある通り、仮想マシンの「所有者」や「共同作成者」ロールが割り当てられているユーザーも SSH 接続はできません。
従って明示的に 仮想マシンの管理者ログイン もしくは 仮想マシンのユーザー ログイン のロールを割り当てる必要があります。
image.png

上記画面ショットのように Azure ポータルから割り当てても問題ありませんが、せっかく Cloud Shell を開いているのでこのまま下記のように az role assignment create コマンドレットにて「仮想マシンの管理者ログイン」の割り当てをやってみます。

また、公開情報では username が Cloud Shell の実行ユーザーを指定していますが、「Azure AD DS マネージド ドメインに参加して Azure AD ユーザーでSSH 接続する手順」の項目では「AAD DC Administrators」グループに所属しているユーザーに対して SSH できる権限を付与しました。

ですので、assignee の対象を「AAD DC Administrators」にするために、下記のとおり、グループ名「AAD DC Administrators」から objectId を抽出して「--assignee-object-id」オプションで指定するコマンドに修正しています。

※下記で引数と指定している myResourceGroupmyVM は適宜実行対象の環境の名前に置き換えて実行してください。

groupid=$(az ad group list --filter "displayname eq 'AAD DC Administrators'" --query "[].objectId" --output tsv)
vm=$(az vm show --resource-group myResourceGroup --name myVM --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee-object-id $groupid \
    --scope $vm

下記画面ショットは実行に成功した例となります。
image.png

これで Azure AD ユーザーで SSH 接続できる準備が整いました。
さっそく SSH クライアントから接続してみましょう。

公開情報には ssh -l コマンドにて指定していますが、SSH クライアントを使って初めて Linux OS の Azure VM に SSH 接続する時のイメージを知って欲しいので、以下内容を記載します。

Azure AD DS のマネージド ドメインに参加する際には、「ユーザー名」と「パスワード」を利用して認証をしますが、この 「Azure Active Directory 認証」の VM 拡張機能を利用する場合は、「インタラクティブ認証」にて SSH 接続する必要があります。

例えば、Tera Term を使う場合には、下記画面ショットのように「キーボードインタラクティブ認証を使う」を選択して認証してください。
image.png

だだし、ここで注意点があります。
これは嘘のような本当の話ですが、Tera Term でインタラクティブ認証をする場合、下記画面ショットのように肝心の認証コードが画面に収まらなくて見ることができません…。

ですので、TeraTerm を使う場合は、一度踏み台サーバーなどから SSH 接続済みの状態でプロンプトから SSH 接続する必要がありそうです。
image.png

Tera Term だと実際の画面をお見せできないので PuTTY で試してみます。
PuTTY の login as にて「AAD DC Administrators」グループのメンバーである Azure AD ユーザーを指定して Enter を押下すると、下記画面ショットのように code を入力するように要求されます、code の入力先の URL は「https://microsoft.com/devicelogin 」になります。アクセスしてみましょう。
image.png

下記画面ショットのように PuTTY の画面上に表示されていた code を入力 (ペースト) し、「次へ」をクリックします。
image.png

認証を行うユーザーが一覧にない場合は「別のアカウントを使用する」をクリックします。
image.png

対象の Azure AD ユーザーを入力し「次へ」をクリックします。
image.png

パスワードを入力し「サインイン」をクリックします。
image.png

サインインが完了しました。このウィンドウは記載されているとおり閉じてしまって問題ありません。
image.png

PuTTY の画面上で Enter を押下すると下記画面ショットのように対象の CentOS マシンに Azure AD ユーザーで接続できることが確認できました。
image.png

一般ユーザーから sudo する時にも同じように code 認証が求められますが、再認証を必要としない場合は、下記「aad_admins」ファイルを編集することで再認証をスキップすることができます。

[root@centos-002-7 sudoers.d]# diff ./aad_admins ./aad_admins.org
1c1
< %aad_admins ALL=(ALL) NOPASSWD:ALL
---
> %aad_admins ALL=(ALL) ALL
\ No newline at end of file

こんな感じですね。

[admin001@adds001.work@centos-002-7 ~]$ sudo su -
Last login: Sun May  3 17:28:21 UTC 2020 on pts/0

[root@centos-002-7 ~]#

ここからはおまけですが、Azure AD ユーザーで認証をしているので、条件付きアクセスを使って SSH 接続認証時に多要素認証を要求させることもできます。イメージとしては以下のような感じになります。

デバイスの code 認証をまず行います。code を入力して「次へ」をクリックします。
image.png

アカウントが一覧にない場合は「別のアカウントを使用する」をクリックします。
image.png

ユーザー名を入力して「次へ」をクリックします。
image.png

パスワードを入力して「サインイン」をクリックします。
ここまでが通常の資格情報を利用した認証です。
image.png

下記画面ショットのように Microsoft Authenticator アプリを開いて応答してくださいと表示されます。
これは予め対象のユーザーで Microsoft Authenticator アプリのセットアップをして、このアプリを使って多要素認証をするように設定されているためです。
image.png

Microsoft Authenticator アプリをいれているスマートフォンには、以下のような通知が飛んできますのでタップします。
image.png

サインインを承認しますか?と表示されるので、「承認」をタップします。
image.png

これで多要素認証が完了したので、下記画面を閉じて、PuTTY 側の画面で Enter を押下し、SSH 接続が完了します。
image.png

おわりに

今回は Azure VM 上の CentOS を Azure AD ユーザーを使って SSH 接続するために、「Azure AD DS のマネージド ドメイン」に参加して実現する方法と、パブリック プレビュー機能である「Azure Active Directory 認証」を使用して SSH 接続する手順 2 種類のパターンをそれぞれ動作検証してみました。

両方の手順をご覧になっていただいた方はお気づきかと思いますが、後者のパブリック プレビュー機能を使った方が圧倒的に設定が楽です。
理由は Azure AD DS 環境をそもそも用意する必要もなく、Cloud Shell (Azure CLI) の中で完結できる作業だからです。

一方でまだ Azure VM の拡張機能である「Azure Active Directory 認証」は「パブリック プレビュー」機能、つまり、GA (正規版) ではない、という懸念点があります。

運用上本番環境には GA 版しか使ってはいけないというルールがある環境においては Azure AD DS に参加させるという選択の方が現時点では適切かもしれません。

希望的観測ではありますが、このパブリック プレビューの機能は Linux OS に限らず Windows OS にも利用出来て非常に便利です。
Azure AD ユーザーを使って認証するため、お見せしたとおり多要素認証を要求させることもできるため、認証セキュリティの向上も図れます。
このような観点からも、具体的にいつになるかは分かりませんが、 GA される機能だと個人的には思っています。

今回の記事が少しでも参考になれば幸いです。

Shinya-Yamaguchi
しがないシステム エンジニア。 週に1回ペースを目標に主に Azure Active Directory に関する動作検証を行い、その結果を Qiita にアウトプットしています。 また、本記事は個人的な検証内容を基に記事を書いておりますので、あくまで参考程度にしていただけますと幸いでございます。 最近は、会社近くの丸亀製麺に一人で食べに行くのが習慣になっています。
microsoft
マイクロソフトのメンバーが最新の技術情報をお届けします。Twitterアカウント(@msdevjp)やYouTubeチャンネル「クラウドデベロッパーちゃんねる」も運用中です。
https://aka.ms/MSFT-Docs-JPN
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした