Microsoft Entra Domain Services マネージド ドメイン内のオブジェクトと資格情報は、ドメイン内でローカルに作成することも、Microsoft Entra テナントから同期することもできます。 Domain Services を初めて展開すると、一方向の自動同期が構成され、Microsoft Entra ID からオブジェクトのレプリケートが開始されます。 この一方向同期はバックグラウンドで引き続き実行され、Microsoft Entra ID からの変更が Domain Services マネージド ドメインに反映されることで、常に最新の状態を維持します。 Domain Services から Microsoft Entra ID への同期は行われません。
ハイブリッド環境では、オンプレミスの AD DS ドメインのオブジェクトと資格情報を、Microsoft Entra Connect を使用して Microsoft Entra ID に同期できます。 これらのオブジェクトが Microsoft Entra ID に正常に同期されると、自動バックグラウンド同期により、マネージド ドメインを使用するアプリケーションでそれらのオブジェクトと資格情報を使用できるようになります。
次の図は、Domain Services、Microsoft Entra ID、およびオプションのオンプレミス AD DS 環境間の同期のしくみを示しています。
Microsoft Entra ID から Domain Services への同期
ユーザー アカウント、グループ メンバーシップ、および資格情報ハッシュは、Microsoft Entra ID から Domain Services に 1 つの方法で同期されます。 この同期プロセスは自動的に行われます。 この同期プロセスを構成、監視、または管理する必要はありません。 初期同期には、Microsoft Entra ディレクトリ内のオブジェクトの数によっては、数時間から数日かかる場合があります。 初期同期が完了すると、パスワードや属性の変更など、Microsoft Entra ID で行われた変更が Domain Services に自動的に同期されます。
ユーザーが Microsoft Entra ID で作成されると、Microsoft Entra ID でパスワードを変更するまで、ユーザーは Domain Services に同期されません。 このパスワード変更プロセスにより、Kerberos および NTLM 認証のパスワード ハッシュが生成され、Microsoft Entra ID に格納されます。 Domain Services でユーザーを正常に認証するには、パスワード ハッシュが必要です。
同期プロセスは設計上、1方向です。 Domain Services から Microsoft Entra ID への変更の逆同期はありません。 マネージド ドメインは、作成できるカスタム OU を除き、主に読み取り専用です。 マネージド ドメイン内のユーザー属性、ユーザー パスワード、またはグループ メンバーシップを変更することはできません。
スコープ付き同期とグループ フィルター
同期のスコープは、クラウドで発生したユーザー アカウントのみに設定できます。 その同期スコープ内で、特定のグループまたはユーザーをフィルター処理できます。 クラウドのみのグループ、オンプレミス のグループ、またはその両方を選択できます。 スコープ同期を構成する方法の詳細については、「スコープ付き同期の 構成」を参照してください。
属性の同期と Domain Services へのマッピング
次の表に、一般的な属性と、それらが Domain Services に同期される方法を示します。
| Domain Services の属性 | 情報源 | 注記 |
|---|---|---|
| UPN | Microsoft Entra テナントでのユーザーの UPN 属性 | Microsoft Entra テナントの UPN 属性は、そのままドメイン サービスに同期されます。 マネージド ドメインにサインインする最も信頼性の高い方法は、UPN を使用する方法です。 |
| SAMAccountName | Microsoft Entra テナント内のユーザーの mailNickname 属性、または自動生成されたもの | SAMAccountName 属性は、Microsoft Entra テナントの mailNickname 属性から取得されます。 複数のユーザー アカウントに同じ mailNickname 属性がある場合、 SAMAccountName は自動生成されます。 ユーザーの mailNickname または UPN プレフィックスが 20 文字を超える場合、 SAMAccountName 属性の 20 文字の制限を満たすように SAMAccountName が自動生成されます。 |
| パスワード | Microsoft Entra テナントからのユーザーのパスワード | NTLM または Kerberos 認証に必要な従来のパスワード ハッシュは、Microsoft Entra テナントから同期されます。 Microsoft Entra テナントが Microsoft Entra Connect を使用してハイブリッド同期用に構成されている場合、これらのパスワード ハッシュはオンプレミスの AD DS 環境から取得されます。 |
| プライマリ ユーザー/グループ SID | 自動生成 | ユーザー/グループ アカウントのプライマリ SID は Domain Services で自動生成されます。 この属性は、オンプレミス AD DS 環境のオブジェクトのプライマリ ユーザー/グループ SID と一致しません。 この不一致は、マネージド ドメインにオンプレミスの AD DS ドメインとは異なる SID 名前空間があるためです。 |
| ユーザーとグループの SID 履歴 | オンプレミスのプライマリ ユーザーとグループ SID | Domain Services のユーザーとグループ の SidHistory 属性は、オンプレミス AD DS 環境の対応するプライマリ ユーザーまたはグループ SID と一致するように設定されます。 この機能は、リソースを再 ACL する必要がないので、オンプレミス アプリケーションの Domain Services へのリフト アンド シフトを容易にするのに役立ちます。 |
ヒント
UPN 形式を使用してマネージド ドメインにサインインするAADDSCONTOSO\driley 属性は、マネージド ドメイン内の一部のユーザー アカウントに対して自動生成される場合があります。 ユーザーの自動生成 された SAMAccountName は UPN プレフィックスとは異なる場合があるため、常に信頼できるサインイン方法とは限りません。
たとえば、複数のユーザーが同じ mailNickname 属性を持っているか、ユーザーの UPN プレフィックスが過度に長い場合、これらのユーザーの SAMAccountName が自動生成される可能性があります。 マネージド ドメインに確実にサインインするには、driley@aaddscontoso.com などの UPN 形式を使用します。
ユーザー アカウントの属性マッピング
次の表は、Microsoft Entra ID のユーザー オブジェクトの特定の属性が Domain Services の対応する属性にどのように同期されるかを示しています。
| Microsoft Entra ID のユーザー属性 | Domain Services のユーザー属性 |
|---|---|
| アカウント有効化 | userAccountControl(アカウントを無効にするビット ACCOUNT_DISABLED を設定または解除します) |
| 都市 | l |
| 会社名 | 会社名 |
| 国 | 会社 |
| 部署 | 部署 |
| ディスプレイ名 | ディスプレイ名 |
| 従業員ID | 従業員ID |
| ファクシミリ電話番号 | ファクシミリ電話番号 |
| givenName | givenName |
| 職務タイトル | タイトル |
| メール | メール |
| メールニックネーム | msDS-AzureADMailNickname |
| メールニックネーム | SAMAccountName (自動生成される場合があります) |
| マネージャー | マネージャー |
| モバイル | モバイル |
| オブジェクトID | msDS-aadObjectId |
| オンプレミスセキュリティ識別子 | sidHistory |
| パスワードポリシー | userAccountControl (DONT_EXPIRE_PASSWORD ビットを設定またはクリアします) |
| 物理配送オフィス名 | 物理配送オフィス名 |
| 郵便番号 | 郵便番号 |
| 優先言語 | 優先言語 |
| プロキシアドレス | プロキシアドレス |
| 状態 | 聖 |
| 住所 | 住所 |
| 名字 | エスエヌ |
| 電話番号 | 電話番号 |
| ユーザープリンシパル名 | ユーザープリンシパル名 |
グループの属性マッピング
次の表は、Microsoft Entra ID のグループ オブジェクトの特定の属性が Domain Services の対応する属性にどのように同期されるかを示しています。
| Microsoft Entra ID のグループ属性 | Domain Services のグループ属性 |
|---|---|
| ディスプレイ名 | ディスプレイ名 |
| ディスプレイ名 | SAMAccountName (自動生成される場合があります) |
| メール | メール |
| メールニックネーム | msDS-AzureADMailNickname |
| オブジェクトID | msDS-AzureADObjectId |
| オンプレミスセキュリティ識別子 | sidヒストリー |
| プロキシアドレス | プロキシアドレス |
| セキュリティ有効 | groupType |
オンプレミスの AD DS から Microsoft Entra ID および Domain Services への同期
Microsoft Entra Connect は、ユーザー アカウント、グループ メンバーシップ、および資格情報ハッシュをオンプレミスの AD DS 環境から Microsoft Entra ID に同期するために使用されます。 UPN やオンプレミスのセキュリティ識別子 (SID) などのユーザー アカウントの属性が同期されます。 Domain Services を使用してサインインするために、NTLM および Kerberos 認証に必要な従来のパスワード ハッシュも Microsoft Entra ID に同期されます。
Von Bedeutung
Microsoft Entra Connect は、オンプレミスの AD DS 環境との同期のためにのみインストールおよび構成する必要があります。 マネージド ドメインに Microsoft Entra Connect をインストールしてオブジェクトを Microsoft Entra ID に同期することはサポートされていません。
ライトバックを構成すると、Microsoft Entra ID からの変更がオンプレミスの AD DS 環境に同期されます。 たとえば、ユーザーが Microsoft Entra セルフサービス パスワード管理を使用してパスワードを変更した場合、パスワードはオンプレミスの AD DS 環境で更新されます。
注
Microsoft Entra Connect の最新バージョンを常に使用して、既知のすべてのバグに対する修正を確実に行います。
複数フォレストのオンプレミス環境からの同期
多くの組織には、複数のフォレストを含む非常に複雑なオンプレミス AD DS 環境があります。 Microsoft Entra Connect では、複数フォレスト環境から Microsoft Entra ID へのユーザー、グループ、資格情報ハッシュの同期がサポートされています。
Microsoft Entra ID には、はるかにシンプルでフラットな名前空間があります。 ユーザーが Microsoft Entra ID によってセキュリティ保護されたアプリケーションに確実にアクセスできるようにするには、異なるフォレスト内のユーザー アカウント間で UPN の競合を解決します。 マネージド ドメインでは、Microsoft Entra ID と同様に、フラットな OU 構造が使用されます。 階層型 OU 構造をオンプレミスで構成している場合でも、異なるオンプレミス ドメインまたはフォレストから同期されているにもかかわらず、すべてのユーザー アカウントとグループは AADDC Users コンテナーに格納されます。 マネージド ドメインは、階層的な OU 構造をフラット化します。
前述のように、Domain Services から Microsoft Entra ID への同期はありません。 Domain Services で カスタム組織単位 (OU) を作成 し、そのカスタム OU 内にユーザー、グループ、またはサービス アカウントを作成できます。 カスタム OU で作成されたオブジェクトは、いずれも Microsoft Entra ID に同期されません。 これらのオブジェクトはマネージド ドメイン内でのみ使用でき、Microsoft Graph PowerShell コマンドレット、Microsoft Graph API、または Microsoft Entra 管理センターを使用して表示されることはありません。
Domain Services に同期されないもの
次のオブジェクトまたは属性は、オンプレミスの AD DS 環境から Microsoft Entra ID または Domain Services に同期されません。
- 除外される属性: Microsoft Entra Connect を使用して、特定の属性をオンプレミスの AD DS 環境から Microsoft Entra ID に同期しないようにすることができます。 これらの除外された属性は、Domain Services では使用できません。
- グループ ポリシー: オンプレミスの AD DS 環境で構成されたグループ ポリシーは、Domain Services に同期されません。
- Sysvol フォルダー: オンプレミスの AD DS 環境の Sysvol フォルダーの内容は、Domain Services に同期されません。
- コンピューター オブジェクト: オンプレミスの AD DS 環境に参加しているコンピューターのコンピューター オブジェクトは、Domain Services に同期されません。 これらのコンピューターはマネージド ドメインと信頼関係がなく、オンプレミスの AD DS 環境にのみ属します。 Domain Services では、マネージド ドメインに明示的にドメイン参加しているコンピューターのコンピューター オブジェクトのみが表示されます。
- ユーザーとグループの SidHistory 属性: オンプレミスの AD DS 環境のプライマリ ユーザーおよびプライマリ グループ SID は、Domain Services に同期されます。 ただし、ユーザーとグループ の既存の SidHistory 属性は、オンプレミスの AD DS 環境から Domain Services に同期されません。
- 組織単位 (OU) の構造: オンプレミスの AD DS 環境で定義されている組織単位は、Domain Services と同期されません。 Domain Services には、ユーザー用とコンピューター用の 2 つの組み込み OU があります。 マネージド ドメインには、フラットな OU 構造があります。 マネージド ドメインにカスタム OU を作成することを選択できます。
パスワード ハッシュ同期とセキュリティに関する考慮事項
Domain Services を有効にする場合は、NTLM 認証と Kerberos 認証のレガシ パスワード ハッシュが必要です。 Microsoft Entra ID にはクリア テキスト パスワードが格納されないため、既存のユーザー アカウントに対してこれらのハッシュを自動的に生成することはできません。 NTLM および Kerberos 互換のパスワード ハッシュは、常に暗号化された方法で Microsoft Entra ID に格納されます。
暗号化キーは、各 Microsoft Entra テナントに固有です。 これらのハッシュは、ドメイン サービスのみが暗号化解除キーにアクセスできるように暗号化されます。 Microsoft Entra ID の他のサービスまたはコンポーネントは、暗号化解除キーにアクセスできなくなります。
その後、従来のパスワード ハッシュは、Microsoft Entra ID からマネージド ドメインのドメイン コントローラーに同期されます。 Domain Services のこれらのマネージド ドメイン コントローラーのディスクは、保存時に暗号化されます。 これらのパスワード ハッシュは、オンプレミスの AD DS 環境でのパスワードの格納方法とセキュリティ保護方法と同様に、これらのドメイン コントローラーに格納され、セキュリティで保護されます。
クラウドのみの Microsoft Entra 環境では、必要なパスワード ハッシュを生成して Microsoft Entra ID に格納するために、ユーザーはパスワードを リセットまたは変更する必要があります 。 Microsoft Entra Domain Services を有効にした後に Microsoft Entra ID で作成されたクラウド ユーザー アカウントの場合、パスワード ハッシュが生成され、NTLM と Kerberos 互換の形式で格納されます。 すべてのクラウド ユーザー アカウントは、Domain Services に同期する前にパスワードを変更する必要があります。
Microsoft Entra Connect を使用してオンプレミスの AD DS 環境から同期されるハイブリッド ユーザー アカウントの場合は、 NTLM と Kerberos 互換の形式でパスワード ハッシュを同期するように Microsoft Entra Connect を構成する必要があります。
次のステップ
パスワード同期の詳細については、「 Microsoft Entra Connect でのパスワード ハッシュ同期のしくみ」を参照してください。
Domain Services の使用を開始するには、 マネージド ドメインを作成します。