[Azure AD]Azure AD Domain Servicesが正式リリース（GA）

こんにちは、富士榮です。

ちょうど1年前にPublic Previewが公開されたAzure AD Domain Services（AADDS）が正式にリリースされました。

　公式Blog
　#AzureAD Domain Services is now GA! Lift and shift to the cloud just got WAY easier!
　https://blogs.technet.microsoft.com/enterprisemobility/2016/10/12/azuread-domain-services-is-now-ga-lift-and-shift-to-the-cloud-just-got-way-easier/

◆AADDSとは何か

要するにオンプレミスのActive DirectoryのDomain ServiceがAzure VMで提供されている、というヤツです。Azure IaaS上のVNETにAADDSをくっつければ、VNETに紐づけたIaaS上のサーバをドメイン参加させたり、Express Route経由で社内とつなげば社内のPCやサーバも同じくドメイン参加ができるので、自前でドメインコントローラを持ちたくない小規模な企業にはおすすめ、というサービスです。

詳しくはPreview段階の記事ではありますが、山市良さんがアットマークITに書いてくれているので、そちら参照ということで。

　クラウドでもWindowsドメイン認証とグループポリシー管理が可能になる――Azure ADドメインサービス (1/3)
　http://www.atmarkit.co.jp/ait/articles/1511/06/news018.html

◆使用上の制限事項など

同じくPreview段階で確認した事項で、今回のGAでも解消はされなかった（おそらく永遠に解消されないと思いますが）制限事項として完全なるIaaSではないので、Domain Adminsグループそのものが利用者に公開されるわけではないので、「Domain Admins」というグループを必要とするサービスをメンバサーバにインストールすることが出来ません。

　[AzureAD]Azure AD Domain Servicesを使って既存サービスをクラウド上へ移行する際の注意事項
　http://idmlab.eidentity.jp/2015/10/azureadazure-ad-domain-services.html

もちろん他にもオンプレのドメインコントローラではできていたことがすべて実現できるわけではないので（サービスなので当然ですが）、十分に検証してから導入すべきでしょう。

◆Preview版からの強化点

公式アナウンスによると、以下の点がプレビュー時より強化されています。

• LDAPのサポート
• カスタムOUのサポート
• DNSの構成が可能に（普通にWindows DNSサーバの構成ツールが使える様に）
• Linuxのドメイン参加のサポート
• Azure ADテナントとの同期の改善
• パスワードを無期限にする属性のサポート
• Azure ADと同期時にグループ名がおかしくなる不具合の修正
• オンプレADとのSIDHistoryの同期
• VNET Peeringのサポート

特にオンプレADからSIDHistoryが同期できるのはありがたいですね。

今のオンプレドメイン完全撤廃の実現可能性も見えてきたりすると思います。

またおいおい触ってみたいと思います。

[AzureAD]Azure AD Domain Servicesを使って既存サービスをクラウド上へ移行する際の注意事項

こんにちは、富士榮です。

先日パブリック・プレビューが公開されたAzure Active Directory Domain Services（Azure AD DS/AADDS）を使うことでオンプレミスのActive Directoryが提供してきたドメイン・サービス（ドメイン参加やグループポリシーなど）を、同一Azure VNET上のマシンに対して提供することが可能になりました。

公式blogでのアナウンス
　Azure AD Domain Services is now in Public Preview ? Use Azure AD as a cloud domain controller!
　http://blogs.technet.com/b/ad/archive/2015/10/14/azure-ad-domain-services-is-now-in-public-preview-use-azure-ad-as-a-cloud-based-domain-controller.aspx

尚、基本的なセットアップ方法や簡単な注意点についてはMicrosoft Regional Directorの亀渕さんが紹介しているので、そちらを参考にしてください。

ブチザッキ
　Azure Active Directory Domain Services (Public Preview)
　https://buchizo.wordpress.com/2015/10/15/azure-active-directory-domain-services-public-preview/



公式ドキュメントや亀渕さんのblogにも書かれているとおり、AADDSで提供されているドメインサービスには一部制限があります。
・サイトの構成やマルチフォレスト・マルチドメインなどのドメイン構成自体のカスタマイズはできない
・グループポリシーはビルトインのもののみで、カスタマイズができない
・直接ユーザやグループをMMCで管理できない
・管理者（ドメイン参加権限くらいしかない）はAAD DS Administratorsグループに入る
などなどです。


オンプレミスの既存サービスをクラウドへ持って行こうとすると、これらの制限によって少々困ることが出てくるので移行計画を立てる際は注意が必要です。

私が試していて特に困った点は「Domain Admins」権限をユーザに付与できない、という点です。
既存アプリケーションの中にはActive Directory上のオブジェクトを参照・更新するものもあり、それらのアプリケーションは多くの場合Domain Admins権限を要求します。
（アプリケーションの作りの問題ではありますが・・・）

ちなみにAzure AD DSのDomain Adminsにはdcaasadminというユーザが固定でメンバ登録されていますが、このユーザのパスワードがわからないので、なんともなりません。
もちろんこのユーザのパスワードを更新することはできないようになっていますし、Azure AD側への同期もされていません。

以下、Domain Admins権限を求める例です。

１．メンバサーバへのリモート・デスクトップ・ログイン
　これは回避策がありますが、サーバをAzure仮想マシンで構築し、Azure AD DSへ参加させた後、サーバへリモート・デスクトップでAzure AD DS上のユーザでログインしようとしても拒否されてしまいます。

　これはメンバサーバへのリモート・デスクトップ接続が初期状態でビルトインのAdministratorsのみに許可されているためです。Domain Adminsはドメインに参加した時点でビルトインAdministratorsグループに登録されるため、オンプレミス環境ではDomain Adminsのメンバでサーバを管理すれば特に困ることはありませんでした。

　ところが、Azure AD DSでは先述の通り、Domain Adminsは使えないので、まずはローカル・アカウントでログインし、コンピュータの管理からローカルのAdministratorsにリモート・デスクトップ接続したいユーザもしくはグループを追加する必要があります。

２．Domain Admins権限を要求するアプリケーションを導入する
　これは現状どうしようもありません。アプリケーションが固定でDomain Admins権限を要求してくるので、なんともなりません。

　例えば、Active Directory Federation Services（AD FS）などマイクロソフトのサービスはこの時点でほぼ全滅です。（この辺りはAzure ADを使えってことなんでしょうけど）

今後正式版がリリースされるまでにうまく回避策が出てくるといいですねぇ。。