Azure AD Domain Servicesにて、Active Directoryと信頼関係を設定する事ができるようになりましたので試してみたいと思います。このケースはエンドユーザーがAD認証のためのパスワードを知らない環境に最適です。また、AVD環境にも適用可能です。
信頼関係は外向きの一方向のみとなります。
オンプレADから同期されたユーザーはAzureADDSに同期されません。
ADドメインからAzureADDSドメインに対して、認証無しでアクセスできます。
※AzureADで作成したユーザーは同期されるが、パスワードが同期されないのでAzureADDS参加のVMにサインイン(RDP接続)できません。AzureADDSドメインに参加させる事は可能
※オンプレADユーザーでAzureADDSドメインに接続した場合でも、管理者権限は利用不可
※最大5つの信頼関係を作成可能
それでは、やってみよう!!
先ずは、AzureADDSを作成します。詳細はこちら
「Active Directory 構築不要!! Azure AD Domain Services とは?」
SKU:[Enterprise or Premium]を選択
フォレストの種類:[リソース]を選択
オンプレADにて、条件付きフォワーダーを設定
オンプレADにて、信頼関係(入力)の設定
[フォレストの信頼][一方向:入力方向][このドメインのみ][フォレスト全体の認証]
[信頼パスワード(1つの数字と1つの大文字を含む8文字以上)]
AzureADDSにて、信頼関係(出力)の設定
表示名:
信頼されたフォレストのDNS名:オンプレADのドメイン名
信頼パスワード:1つの数字と1つの大文字を含む8文字以上
信頼されたドメインのDNSサーバー:2台以上の登録が必要
以上で作業は完了です!
それでは、確認してみましょ~
AzureADDS用の管理サーバーから確認すると、信頼関係(出力)が確認できます。
同期範囲を[すべて]にしても、オンプレADから同期されたユーザーは同期されない。
※AzureADで作成したユーザーは同期される(User20)
オンプレADユーザーからAADDSドメイン参加のVMに対してRDP接続が可能
ただし、[Domain Admins]が利用できないので、事前登録が必要
※[AAD DC Administrators]メンバー以外からでもRDP接続ができる~
AzureADDSドメイン参加のサーバーにて、ファイル共有を行う場合は、[場所:オンプレAD]を指定し、権限を付与して下さい。
※オンプレADユーザーで認証無しでアクセスできます。
