Microsoft Entra Domain Services とオンプレミスの AD DS 環境の間にフォレスト信頼を構築できます。 フォレストの信頼関係により、ユーザー、アプリケーション、およびコンピューターは、Domain Services マネージド ドメインからオンプレミス ドメインに対して、またはその逆の認証を行うことができます。 フォレスト トラストは、次のようなシナリオでユーザーがリソースにアクセスするのに役立ちます。

• パスワード ハッシュを同期できない環境、またはユーザーがスマート カードを使用して排他的にサインインし、自分のパスワードを知らない環境。
• オンプレミス ドメインへのアクセスを必要とするハイブリッド シナリオ。

ユーザーがリソースにアクセスする必要がある方法に応じて、フォレストの信頼を作成するときに考えられる 3 つの方法から選択できます。 Domain Services では、フォレスト トラストのみがサポートされます。 オンプレミスの子ドメインへの外部信頼はサポートされていません。

このチュートリアルでは、以下の内容を学習します。

Azure サブスクリプションをお持ちでない場合は、開始する前にアカウントを作成 してください。

[前提条件]

このチュートリアルを完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション。
  • Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
• ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
  • 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
• カスタム DNS ドメイン名と有効な SSL 証明書を使用して構成された Domain Services マネージド ドメイン。
  • 必要に応じて、Microsoft Entra Domain Services のマネージド ドメインを作成して構成します。
• VPN または ExpressRoute 接続経由でマネージド ドメインから到達可能なオンプレミスの Active Directory ドメイン。
• テナントで Domain Services インスタンスを変更するためには、アプリケーション管理者およびグループ管理者のMicrosoft Entra ロールが必要です。
• 信頼関係を作成して検証するアクセス許可を持つオンプレミス ドメインのドメイン管理者アカウント。

Microsoft Entra 管理センターにサインインする

このチュートリアルでは、Microsoft Entra 管理センターを使用して、Domain Services から送信されるフォレスト信頼を作成し、設定します。 まず、Microsoft Entra 管理センターにサインインします。

ネットワークに関する考慮事項

Domain Services フォレストをホストする仮想ネットワークには、オンプレミスの Active Directory への VPN または ExpressRoute 接続が必要です。 アプリケーションとサービスには、Domain Services フォレストをホストする仮想ネットワークへのネットワーク接続も必要です。 Domain Services フォレストへのネットワーク接続は常にオンで、安定している必要があります。そうしないと、ユーザーがリソースの認証やアクセスに失敗する可能性があります。

Domain Services でフォレストの信頼を構成する前に、Azure とオンプレミス環境の間のネットワークが次の要件を満たしていることを確認してください。

• 信頼を作成して使用するために必要なトラフィックがファイアウォール ポートとドメイン コントローラーで許可されていることを確認します。 信頼を使用するために開く必要があるポートの詳細については、「AD DS 信頼のファイアウォール設定を構成する」を参照してください。 ドメイン サービスとの信頼を持つドメイン内のすべてのドメイン コントローラーで、これらのポートを開く必要があります。
• プライベート IP アドレスを使用します。 動的 IP アドレスの割り当てで DHCP に依存しないでください。
• 仮想ネットワークのピアリングとルーティングが Azure とオンプレミスの間で正常に通信できるように、IP アドレス空間が重複しないようにします。
• Azure 仮想ネットワークには、Azure サイト間 (S2S) VPN またはExpressRoute 接続を構成するためのゲートウェイ サブネットが必要です。
• シナリオをサポートするのに十分な IP アドレスを持つサブネットを作成します。
• Domain Services に独自のサブネットがあることを確認します。この仮想ネットワーク サブネットをアプリケーション VM やサービスと共有しないでください。
• ピアリングされた仮想ネットワークは推移的ではありません。
  • オンプレミスの AD DS 環境に対する Domain Services フォレストの信頼を使用するすべての仮想ネットワーク間に、Azure 仮想ネットワーク ピアリングを作成する必要があります。
• オンプレミスの Active Directory フォレストへの継続的なネットワーク接続を提供します。 オンデマンド接続は使用しないでください。
• Domain Services フォレスト名とオンプレミスの Active Directory フォレスト名の間に継続的な DNS 名前解決があることを確認します。

オンプレミス ドメインで DNS を構成する

オンプレミス環境からマネージド ドメインを正しく解決するには、フォワーダーを既存の DNS サーバーに追加することが必要な場合があります。 マネージド ドメインと通信するようにオンプレミス環境を構成するには、オンプレミス AD DS ドメインの管理ワークステーションから次の手順を実行します。

1. [Start>Administrative Tools>DNS] を選択します。

2. aaddscontoso.com など、DNS ゾーンを選択します。

3. [条件付きフォワーダー] を選択し、右クリックして [新しい条件付きフォワーダー] を選択します。

4. 他のDNS ドメイン (contoso.com など) を入力し、次の例に示すように、その名前空間の DNS サーバーの IP アドレスを入力します。

   

5. [この条件付きフォワーダーを Active Directory に保存する] チェック ボックスをオンにし、次のようにレプリケートし、次の例に示すように、このドメイン内のすべての DNS サーバーのオプションを選択します。

   

   Von Bedeutung

   条件付きフォワーダーがドメインではなくフォレストに格納されている場合、条件付きフォワーダーは失敗します。

6. 条件付きフォワーダーを作成するには、[OK] を選択します。

オンプレミス環境で双方向のフォレスト トラストを作成する

オンプレミスの AD DS ドメインには、マネージド ドメイン用に両方向のフォレスト トラストが必要です。 この信頼は、オンプレミスの AD DS ドメインに手動で作成する必要があります。Microsoft Entra 管理センターから作成することはできません。

オンプレミスの AD DS ドメインで双方向の信頼を構成するには、オンプレミス AD DS ドメインの管理ワークステーションからドメイン管理者として次の手順を実行します。

1. [スタート>管理者ツール>Active Directory のドメインと信頼を選択します。
2. onprem.contoso.com など、ドメインを右クリックし、[プロパティ] を選択します。
3. [信頼 ] タブ、次に [新しい信頼] を選択します。
4. ドメイン サービスのドメイン名の名前 (aaddscontoso.com など) を入力し、[次へ] を選択します。
5. フォレスト信頼を作成するオプションを選択し、その後双方向信頼を作成します。
6. の信頼を作成することを選択します。このドメインはだけです。 次の手順では、マネージド ドメインの Microsoft Entra 管理センターで信頼を作成します。
7. フォレスト全体認証を使用することを選択し、信頼パスワードを入力して確認します。 この同じパスワードは、次のセクションの Microsoft Entra 管理センターにも入力されます。
8. 既定のオプションを使用して次のいくつかのウィンドウをステップ実行し、オプションの[確認しない] を選択します。
9. 完了 を選択します。

フォレスト トラストが環境に不要となった場合、ドメイン管理者として次の手順を実行し、オンプレミス ドメインから削除します。

1. [スタート>管理者ツール>Active Directory のドメインと信頼を選択します。
2. onprem.contoso.com など、ドメインを右クリックし、[プロパティ] を選択します。
3. [信頼 ] タブを選択し、このドメインを信頼するドメイン (受信信頼) を選択し、削除する信頼をクリックして、[削除] をクリックします。
4. [信頼] タブの [このドメインによって信頼されているドメイン (送信信頼)] で、削除する信頼をクリックし、[削除] をクリックします。
5. [いいえ] をクリックし、ローカル ドメインからのみ信頼を削除します。

Domain Services で双方向フォレスト信頼を作成する

Microsoft Entra 管理センターでマネージド ドメインの双方向信頼を作成するには、次の手順を実行します。

1. Microsoft Entra 管理センターで、Microsoft Entra Domain Services を検索して選択し、マネージド ドメイン (aaddscontoso.com など) を選択します。

2. マネージド ドメインの左側にあるメニューから [信頼] を選択し、[+ 信頼の追加] を選択します。

3. 信頼の方向として[双方向 ] を選択します。

4. 信頼を識別するための表示名を入力し、その後、オンプレミスの信頼されたフォレストの DNS 名を入力してください（例:onprem.contoso.com）。

5. 前のセクションでオンプレミスの AD DS ドメインの受信フォレスト信頼を構成するために使用したのと同じ信頼パスワードを指定します。

6. 10.1.1.4 や 10.1.1.5 など、オンプレミスの AD DS ドメインに少なくとも2 つの DNS サーバーを提供します。

7. 準備ができたら、送信フォレストの信頼を保存します。

   

環境でフォレスト信頼が不要になった場合は、次の手順を実行して、Domain Services から削除します。

1. Microsoft Entra 管理センターで、Microsoft Entra Domain Services を検索して選択し、マネージド ドメイン (aaddscontoso.com など) を選択します。
2. マネージド ドメインの左側にあるメニューから [信頼] を選択し、信頼を選択して、[削除] をクリックします。
3. フォレストの信頼を構成するために使用したのと同じ信頼パスワードを指定し、[OK] をクリックします。

信頼の作成を検証する

双方向または一方向の受信信頼を作成したら、Active Directory ドメインと信頼コンソールまたは nltest コマンド ライン ツールを使用して、受信信頼 (オンプレミス ドメインからの送信信頼) を確認できます。

Active Directory ドメインと信頼を使用して信頼を確認する

信頼関係を作成して検証するアクセス許可を持つアカウントを使用して、オンプレミスの AD DS ドメイン コントローラーから次の手順を実行します。

1. [スタート>管理者ツール>Active Directory のドメインと信頼を選択します。
2. ドメインを右クリックし、[プロパティ] を選択します。
3. [信頼] タブを 選択します。
4. このドメインによって信頼されたドメイン (送信信頼) の下で、作成した信頼を選択します。
5. [Properties]\(プロパティ\) を選択します。
6. [検証] を選択します。
7. 受信信頼を検証しないために[いいえ]を選択します。
8. [OK] をクリックします。

信頼が正しく構成されている場合は、次のメッセージが表示されます。

The outgoing trust has been validated. It is in place and active.

nltest を使用して信頼を確認する

nltest コマンド ライン ツールを使用して、信頼を確認することもできます。 信頼関係を作成して検証するアクセス許可を持つアカウントを使用して、オンプレミスの AD DS ドメイン コントローラーから次の手順を実行します。

1. オンプレミスのドメイン コントローラーまたは管理ワークステーションで管理者特権のコマンド プロンプトを開きます。

2. 次のコマンドを実行します。

   nltest /sc_verify:<TrustedDomain>

   <TrustedDomain> を Microsoft Entra Domain Services ドメインの名前に置き換えます。 信頼が有効な場合、コマンドは成功メッセージを返します。

   

リソース アクセスの検証

次の一般的なシナリオでは、フォレストの信頼がユーザーとリソースへのアクセスを正しく認証することを検証できます。

• Domain Services フォレストからのオンプレミスのユーザー認証
• オンプレミス ユーザーを使用して Domain Services フォレスト内のリソースにアクセスする
  • ファイルとプリンターの共有 を有効にする
  • セキュリティ グループを作成し、メンバーを追加
  • フォレスト間アクセス 用のファイル共有を作成する
  • リソース に対するフォレスト間認証を検証する

Domain Services フォレストからのオンプレミス ユーザー認証

Windows Server 仮想マシンがマネージド ドメインに参加している必要があります。 この仮想マシンを使用して、オンプレミスユーザーが仮想マシンで認証できることをテストします。 必要に応じて、Windows VM を作成し、マネージド ドメインに参加させます。

1. Azure Bastion と Domain Services 管理者の資格情報を使用して、Domain Services フォレストに参加している Windows Server VM に接続します。

2. コマンド プロンプトを開き、whoami コマンドを使用して、現在認証されているユーザーの識別名を表示します。

   whoami /fqdn

3. runas コマンドを使用して、オンプレミス ドメインのユーザーとして認証します。 次のコマンドでは、userUpn@trusteddomain.com を、信頼されたオンプレミス ドメインのユーザーの UPN に置き換えます。 コマンドによって、ユーザーのパスワードの入力が求められます。

   Runas /u:userUpn@trusteddomain.com cmd.exe

4. 認証が成功すると、新しいコマンド プロンプトが開きます。 新しいコマンド プロンプトのタイトルには、running as userUpn@trusteddomain.comが含まれています。

5. 新しいコマンド プロンプトでwhoami /fqdn を使用して、認証されたユーザーの識別名をオンプレミスの Active Directory から表示します。

オンプレミス ユーザーを使用して Domain Services フォレスト内のリソースにアクセスする

Domain Services フォレストに参加している Windows Server VM から、シナリオをテストできます。 たとえば、オンプレミス ドメインにサインインしたユーザーがマネージド ドメイン内のリソースにアクセスできるかどうかをテストできます。 次の例では、一般的なテスト シナリオについて説明します。

ファイルとプリンターの共有を有効にする

1. Azure Bastion と Domain Services 管理者の資格情報を使用して、Domain Services フォレストに参加している Windows Server VM に接続します。

2. Windows の設定を開きます。

3. [ネットワークと共有センター] を検索して選択します。

4. [共有の詳細設定の変更] のオプションを選択します。

5. ドメイン プロファイルで、[ファイルとプリンターの共有を有効にする] を選択し、[変更を保存] をします。

6. ネットワークと共有センターのを閉じます。

セキュリティ グループを作成してメンバーを追加する

1. [Active Directory ユーザーとコンピューター] を開きます。

2. ドメイン名を右クリックし、[新しい] を選択し、[組織単位]選択します。

3. [名前] ボックスに「LocalObjects」と入力し、[OK]選択します。

4. ナビゲーション ウィンドウLocalObjects を選択して右クリックします。を選択して、新しい を選び、その後グループを選択します。

5. 「FileServerAccess」をグループ名 ボックスに入力します。 [グループ スコープ] で、[ドメイン ローカル] を選択し、[OK] を選択します。

6. コンテンツ ウィンドウでFileServerAccessをダブルクリックします。[メンバー] 、[追加] 、[場所] の順に選択します。

7. オンプレミスの Active Directory を [の場所] ビューから選択し、[OK]を選択します。

8. [選択するオブジェクト名を入力してください] ボックスに「Domain Users」と入力します。[名前の確認]を選択し、オンプレミスの Active Directory の資格情報を入力して、[OK]を選択します。

   注

   信頼関係は 1 つの方法に過ぎないため、資格情報を指定する必要があります。 つまり、Domain Services マネージド ドメインのユーザーは、リソースにアクセスしたり、信頼された (オンプレミス) ドメイン内のユーザーまたはグループを検索したりできません。

9. オンプレミスの Active Directory のDomain Users グループは、FileServerAccess グループのメンバーである必要があります。 [OK] 選択してグループを保存し、ウィンドウを閉じます。

フォレスト間アクセス用のファイル共有を作成する

1. Domain Services フォレストに参加している Windows Server VM で、フォルダーを作成し、CrossForestShare などの名前を指定します。
2. フォルダーを右クリックし、[プロパティ]選択します。
3. [セキュリティ] タブを選択し、[編集] を選択します。
4. [CrossForestShare のアクセス許可] ダイアログ ボックスで[追加] を選択します。
5. [選択するオブジェクト名を入力してください] に、「FileServerAccess」と入力し、[OK] を選択します。
6. グループまたはユーザー名 の一覧からFileServerAccess を選択します。[FileServerAccess のアクセス許可] 一覧で、[変更] アクセス許可と[書き込み] アクセス許可に対して[許可] を選択し、[OK] を選択します。
7. [共有 ] タブを選択し、[高度な共有...] を選択します。
8. [フォルダー共有] を選択し、[ファイル共有の覚えやすい名前を共有名 に入力します。例:CrossForestShare]。
9. [アクセス許可] を選択します。[Permissions for Everyone](全員のアクセス許可) 一覧で、[変更] アクセス許可に対して[許可] を選択します。
10. [OK] を 2 回選択して、[閉じる] を選択します。

リソースに対するフォレスト間認証を検証する

1. オンプレミスの Active Directory のユーザー アカウントを使用して、オンプレミスの Active Directory に参加している Windows コンピューターにサインインします。

2. Windows Explorer 使用して、完全修飾ホスト名と共有 (\\fs1.aaddscontoso.com\CrossforestShare など) を使用して作成した共有に接続します。

3. 書き込みアクセス許可を検証するには、フォルダーを右クリックして、[新しい] を選択し、次に[テキスト ドキュメント] を選択します。 既定の名前[新しいテキスト ドキュメント] を使用します。

   書き込みアクセス許可が正しく設定されている場合は、新しいテキスト ドキュメントが作成されます。 必要に応じてファイルを開き、編集、削除するには、次の手順を実行します。

4. 読み取りアクセス許可を検証するには、新しいテキスト ドキュメント開きます。

5. 変更アクセス許可を検証するには、ファイルにテキストを追加して、メモ帳を閉じます。 変更を保存するように求められたら、[「保存」]を選択します。

6. 削除アクセス許可を検証するには、[新しいテキスト ドキュメント] を右クリックし、[削除] を選択します。 [はい] 選択して、ファイルの削除を確認します。

次のステップ

このチュートリアルでは、次の方法を学習しました。

Domain Services のフォレストの概念の詳細については、「Domain Services でのフォレストの信頼のしくみ」を参照してください。