Go to Qiita Advent Calendar Top
LoginSignup
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@uddy2025inJBCC ホールディングス 株式会社(JBCCグループ)

Microsoft Entra Domain Servicesをつくってみた

Last updated at Posted at 2025-09-10

本稿に記載した内容は、個人的な見解を示したものであり、筆者の所属する企業・団体の公式見解ではありません。

【はじめに】

本投稿は私が構成をしていく中で備忘もかねて気になった点を記載していこうと考えていますので温かい目で見て頂ければと思います。

【概要】

Microsoft Entra Domain Servicesとはオンプレミスで多く利用されていたActiveDirecotryをAzure上でPaaSのマネージドサービスとして、提供されるサービスとなります。

Microsoft Entra Domain Servicesはドメイン参加、グループ ポリシー、Lightweight Directory Access Protocol (LDAP)、Kerberos および NTLM 認証などのマネージド ドメイン サービスが用意されています。
クラウドでドメイン コントローラー (DC) のデプロイ、管理、修正プログラムの適用を行わなくても、これらのドメイン サービスを使用することができます。

Microsoft Entra Domain Servicesには提供機能が異なる以下3つのSKUがあります。

  • Standard
  • Enterprise
  • Premium

それぞれのSKUはバックアップ頻度やオブジェクト数、信頼関係やレプリカセットの有無等の差がありますので必要に応じて利用するSKUを選択する必要があります。

Microsoft Entra Domain Servicesの注意点としては以下の用途による利用想定はしていませんので、これらのケースに該当する場合は別の移行先を検討する必要があります。

  • オンプレミスのActiveDirectoryからMicrosoft Entra Domain Servicesへ移行したい

  • Microsoft Entra Domain Servicesを構築し、オンプレミスのPCやサーバをドメイン参加させて管理したい

  • オンプレミスのActiveDirectoryに加えてMicrosoft Entra Domain Servicesを構築し、オンプレミスとクラウドで冗長構成をとりたい

  • 負荷のかかる LDAP 処理をオンプレミスのActiveDirectoryではなく、Microsoft Entra Domain Servicesに対して行いたい

【それでは、つくってみよう】

今回は以下のシステム構成を想定して作成してみたいと思います。

image.png

1.Azureポータルから「Microsoft Entra Domain Services」を選択します。

2.作成するサブスクリプションを指定し、リソースグループ、DNSドメイン名を
指定します。
※ DNSドメイン名のプレフィックスは15文字以下の制約がありますので、ご注意ください。

Microsoft Entra Domain Servicesは一つのEntraテナントに対して一つのEntra Domain Servicesのみの制約があり、かつDNSドメイン名は後から変更が出来ないため、慎重にDNSドメイン名を決定する必要があります。

利用可能なDNSドメイン名は以下の3種類があります。

  • カスタムドメイン名(.co.jpや.com など)
  • 組み込みのドメイン名(.onmicrosoft.com)
  • ルーティング不可能なドメイン サフィックス(.local など)

基本的には「1.カスタムドメイン名」を利用して構成することをお勧めします。
その他のドメイン名を選択した場合は別の問題を引き起こす可能性がありますので慎重にドメイン名を決定する必要があります。

3.Microsoft Entra Domain Servicesを構築するリージョンおよびSKUを選択します。
※ SKUは後から変更可能です。

4.Microsoft Entra Domain Servicesを配置する仮想ネットワーク、Microsoft Entra Domain Services専用のサブネットを指定します。

ここで指定したサブネットに対して冗長構成として2台のドメインコントローラーがデプロイされます。
Microsoft Entra Domain Servicesデプロイ後にネットワークの変更は出来ないため、Azure環境を拡張する可能性がある場合はハブ&スポークのネットワーク構成としてハブ環境に配置することをお勧めします。

また、Microsoft Entra Domain Servicesで利用するサブネットのデフォルトルート(0.0.0.0/0)をユーザー定義ルート(UDR)等で変更した場合、サポート対象外となるため変更しないでください。

5.EntraIDのグループとして「AAD DC Administrators」が作成されるため、そのグループのメンバーを指定します。
このグループに所属するとMicrosoft Entra Domain Servicesのドメイン管理者の権限が付与されます。
また、アラート発生時の通知先を指定します。

6.同期タイプおよび同期フィルターを指定します。

同期タイプではすべてのユーザーとグループを同期するか、クラウドから生成されたユーザーとグループのみを同期するかを選択します。
同期フィルターではEntraIDからMicrosoft Entra Domain Servicesへ同期するユーザーを含むグループを指定します。

7.必要に応じてセキュリティ設定を指定します。
※以下は既定値となります。

8.設定内容を確認し「Create」を選択します。

9.Azureポータルから「Microsoft Entra Domain Services」を検索し、リソースが作成されたことを確認します。
ここで指定したサブネットにデプロイされた2台のドメインコントローラのIPアドレスが確認できます。

image.png

【さいごに】

今回はここまでとなります。
次回はMicrosoft Entra Domain Servicesのドメイン参加までやAD管理ツールの導入などをご紹介したいと思います。

【参考URL】

◆Azure AD Domain Services の利用シナリオ
https://jpazureid.github.io/blog/azure-active-directory/azure-ad-ds-scenario/

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?