Microsoft Entra Domain Services マネージド ドメインでのグループ ポリシーの管理

Microsoft Entra Domain Services のユーザー オブジェクトとコンピューター オブジェクトの設定は、多くの場合、グループ ポリシー オブジェクト (GPO) を使用して管理されます。 Domain Services には、AADDC Users および AADDC Computers コンテナー用の組み込みの GPO が含まれています。 これらの組み込みの GPO をカスタマイズして、環境に合わせてグループ ポリシーを構成できます。 AAD DC Administrators グループのメンバーは、Domain Services ドメインのグループ ポリシー管理特権を持ち、カスタム GPO と組織単位 (OU) を作成することもできます。 グループ ポリシーの概要としくみの詳細については、「グループ ポリシーの概要 参照してください。

ハイブリッド環境では、オンプレミスの AD DS 環境で構成されたグループ ポリシーは Domain Services に同期されません。 Domain Services でユーザーまたはコンピューターの構成設定を定義するには、既定の GPO のいずれかを編集するか、カスタム GPO を作成します。

この記事では、グループ ポリシー管理ツールをインストールし、組み込みの GPO を編集してカスタム GPO を作成する方法について説明します。 GPO に変更を加えた後に、GPO をバックアップすることをお勧めします。 GPO のバックアップと復元の方法の詳細については、「グループ ポリシー オブジェクトのバックアップ、復元、移行、コピー を参照してください。

Azure 内のマシンやハイブリッド接続 など、サーバー管理戦略に関心がある場合は、Azure Policy の ゲスト構成 機能読み取りを検討してください。

前提条件

この記事を完了するには、次のリソースと特権が必要です。

• アクティブな Azure サブスクリプション。
  • Azure サブスクリプションをお持ちでない場合は、アカウント を作成。
• サブスクリプションに関連付けられている Microsoft Entra テナント。オンプレミスディレクトリまたはクラウド専用ディレクトリと同期されます。
  • 必要に応じて、Microsoft Entra テナント 作成するか、Azure サブスクリプションをアカウント に関連付けるします。
• Microsoft Entra Domain Services マネージド ドメインが有効になっており、Microsoft Entra テナントで構成されている。
  • 必要に応じて、Microsoft Entra Domain Services マネージド ドメイン を作成して構成チュートリアルを完了します。
• Domain Services マネージド ドメインに参加している Windows Server 管理 VM。
  • 必要に応じて、チュートリアルを完了 Windows Server VM を作成し、マネージド ドメインに参加させます。
• Microsoft Entra テナントの AAD DC Administrators グループのメンバーであるユーザー アカウント。

手記

グループ ポリシー管理用テンプレートを使用するには、新しいテンプレートを管理ワークステーションにコピーします。 .admx ファイルを %SYSTEMROOT%\PolicyDefinitions にコピーし、ロケール固有の .adml ファイルを %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]にコピーします。ここで、Language-CountryRegion.adml ファイルの言語とリージョンと一致します。

たとえば、.adml ファイルの英語、米国バージョンを \en-us フォルダーにコピーします。

グループ ポリシー管理ツールのインストール

グループ ポリシー オブジェクト (GPO) を作成して構成するには、グループ ポリシー管理ツールをインストールする必要があります。 これらのツールは、Windows Server の機能としてインストールできます。 Windows クライアントに管理ツールをインストールする方法の詳細については、「リモート サーバー管理ツール (RSAT) インストールする」を参照してください。

1. 管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する手順については、「Windows Server VMに接続する」を参照してください。

2. サーバー マネージャー は、VM にサインインするときに既定で開きます。 そうでない場合は、の [スタート] メニューの [サーバー マネージャー 選択します。

3. Server Manager ウィンドウの [ダッシュボード] ウィンドウで、[役割と機能の追加] 選択します。

4. 役割と機能の追加ウィザードのの [を開始する前に] ページで、[次へ] 選択します。

5. [インストールの種類]で、[ロールベースまたは機能ベースのインストール の] オプションをオンのままにし、[次 ] を選択します。

6. [サーバーの選択] ページで、サーバー プールから現在の VM (myvm.aaddscontoso.comなど) を選択し、[次へ 選択します。

7. [サーバーの役割] ページで、[次 ] をクリックします。

8. [機能] ページで、グループ ポリシー管理の 機能を選択します。

   

9. [確認] ページで、[インストール] を選択します。 グループ ポリシー管理ツールのインストールには、1 ~ 2 分かかる場合があります。

10. 機能のインストールが完了したら、[ を閉じる] を選択して、役割と機能の追加 ウィザードを終了します。

グループ ポリシー管理コンソールを開き、オブジェクトを編集する

マネージド ドメイン内のユーザーとコンピューターには、既定のグループ ポリシー オブジェクト (GPO) が存在します。 前のセクションからインストールしたグループ ポリシー管理機能を使用して、既存の GPO を表示および編集しましょう。 次のセクションでは、カスタム GPO を作成します。

手記

マネージド ドメインでグループ ポリシーを管理するには、AAD DC Administrators グループのメンバーであるユーザー アカウントにサインインしている必要があります。

1. [スタート] 画面で、[管理ツール] 選択します。 前のセクションでインストールしたグループ ポリシー管理 含む、使用可能な管理ツールの一覧が表示されます。

2. グループ ポリシー管理コンソール (GPMC) を開くには、グループ ポリシー管理 選択します。

   

マネージド ドメインには、2 つの組み込みのグループ ポリシー オブジェクト (GPO) があります。1 つは AADDC Computers コンテナー用、1 つは AADDC Users コンテナー用です。 これらの GPO をカスタマイズして、マネージド ドメイン内で必要に応じてグループ ポリシーを構成できます。

1. グループ ポリシー管理 コンソールで、フォレスト: aaddscontoso.com ノードを展開します。 次に、ドメイン ノードを展開します。

   AADDC Computers と AADDC Users用の 2 つの組み込みコンテナーが存在します。 これらの各コンテナーには、既定の GPO が適用されています。

   

2. これらの組み込みの GPO は、マネージド ドメインで特定のグループ ポリシーを構成するようにカスタマイズできます。 AADDC Computers GPOなど、GPO のいずれかを右クリックし、[編集] 選択します。.

   のいずれかを [編集] するオプションを選択します

3. グループ ポリシー管理エディター ツールが開き、アカウント ポリシーなど、GPO をカスタマイズできます。

   

   完了したら、[ファイル > 保存 を選択してポリシーを保存します。 既定では、コンピューターは 90 分ごとにグループ ポリシーを更新し、行った変更を適用します。

カスタム グループ ポリシー オブジェクトを作成する

同様のポリシー設定をグループ化するには、多くの場合、1 つの既定の GPO で必要なすべての設定を適用するのではなく、追加の GPO を作成します。 Domain Services を使用すると、独自のカスタム グループ ポリシー オブジェクトを作成またはインポートし、カスタム OU にリンクできます。 最初にカスタム OU を作成する必要がある場合は、マネージド ドメイン カスタム OU を作成する方法に関するページを参照してください。

1. グループ ポリシー管理 コンソールで、myCustomOU などのカスタム組織単位 (OU)選択します。 OU を右クリックし、[このドメインに GPO を作成 選択し、ここにリンクします。..:

   

2. [マイ カスタム GPO ] など、新しい GPO の名前指定し、[OK] 選択します。 必要に応じて、このカスタム GPO を既存の GPO と一連のポリシー オプションに基づいて作成できます。

   の名前を指定する

3. カスタム GPO が作成され、カスタム OU にリンクされます。 ポリシー設定を構成するには、カスタム GPO を右クリックし、[編集] 選択します。:

   を [編集] するオプションを選択します

4. グループ ポリシー管理エディター が開き、GPO をカスタマイズできます。

   

   完了したら、[ファイル > 保存 を選択してポリシーを保存します。 既定では、コンピューターは 90 分ごとにグループ ポリシーを更新し、行った変更を適用します。

関連するコンテンツ

• グループ ポリシー基本設定項目の操作

Microsoft Entra Domain Services のユーザー オブジェクトとコンピューター オブジェクトの設定は、多くの場合、グループ ポリシー オブジェクト (GPO) を使用して管理されます。 Domain Services には、AADDC Users および AADDC Computers コンテナー用の組み込みの GPO が含まれています。 これらの組み込みの GPO をカスタマイズして、環境に合わせてグループ ポリシーを構成できます。 AAD DC Administrators グループのメンバーは、Domain Services ドメインのグループ ポリシー管理特権を持ち、カスタム GPO と組織単位 (OU) を作成することもできます。 グループ ポリシーの概要としくみの詳細については、「グループ ポリシーの概要 参照してください。

ハイブリッド環境では、オンプレミスの AD DS 環境で構成されたグループ ポリシーは Domain Services に同期されません。 Domain Services でユーザーまたはコンピューターの構成設定を定義するには、既定の GPO のいずれかを編集するか、カスタム GPO を作成します。

この記事では、グループ ポリシー管理ツールをインストールし、組み込みの GPO を編集してカスタム GPO を作成する方法について説明します。 GPO に変更を加えた後に、GPO をバックアップすることをお勧めします。 GPO のバックアップと復元の方法の詳細については、「グループ ポリシー オブジェクトのバックアップ、復元、移行、コピー を参照してください。

Azure 内のマシンやハイブリッド接続 など、サーバー管理戦略に関心がある場合は、Azure Policy の ゲスト構成 機能読み取りを検討してください。

この記事を完了するには、次のリソースと特権が必要です。

• アクティブな Azure サブスクリプション。
  • Azure サブスクリプションをお持ちでない場合は、アカウント を作成。
• サブスクリプションに関連付けられている Microsoft Entra テナント。オンプレミスディレクトリまたはクラウド専用ディレクトリと同期されます。
  • 必要に応じて、Microsoft Entra テナント 作成するか、Azure サブスクリプションをアカウント に関連付けるします。
• Microsoft Entra Domain Services マネージド ドメインが有効になっており、Microsoft Entra テナントで構成されている。
  • 必要に応じて、Microsoft Entra Domain Services マネージド ドメイン を作成して構成チュートリアルを完了します。
• Domain Services マネージド ドメインに参加している Windows Server 管理 VM。
  • 必要に応じて、チュートリアルを完了 Windows Server VM を作成し、マネージド ドメインに参加させます。
• Microsoft Entra テナントの AAD DC Administrators グループのメンバーであるユーザー アカウント。

手記

グループ ポリシー管理用テンプレートを使用するには、新しいテンプレートを管理ワークステーションにコピーします。 .admx ファイルを %SYSTEMROOT%\PolicyDefinitions にコピーし、ロケール固有の .adml ファイルを %SYSTEMROOT%\PolicyDefinitions\[Language-CountryRegion]にコピーします。ここで、Language-CountryRegion.adml ファイルの言語とリージョンと一致します。

たとえば、.adml ファイルの英語、米国バージョンを \en-us フォルダーにコピーします。

グループ ポリシー オブジェクト (GPO) を作成して構成するには、グループ ポリシー管理ツールをインストールする必要があります。 これらのツールは、Windows Server の機能としてインストールできます。 Windows クライアントに管理ツールをインストールする方法の詳細については、「リモート サーバー管理ツール (RSAT) インストールする」を参照してください。

1. 管理 VM にサインインします。 Microsoft Entra 管理センターを使用して接続する手順については、「Windows Server VMに接続する」を参照してください。

2. サーバー マネージャー は、VM にサインインするときに既定で開きます。 そうでない場合は、の [スタート] メニューの [サーバー マネージャー 選択します。

3. Server Manager ウィンドウの [ダッシュボード] ウィンドウで、[役割と機能の追加] 選択します。

4. 役割と機能の追加ウィザードのの [を開始する前に] ページで、[次へ] 選択します。

5. [インストールの種類]で、[ロールベースまたは機能ベースのインストール の] オプションをオンのままにし、[次 ] を選択します。

6. [サーバーの選択] ページで、サーバー プールから現在の VM (myvm.aaddscontoso.comなど) を選択し、[次へ 選択します。

7. [サーバーの役割] ページで、[次 ] をクリックします。

8. [機能] ページで、グループ ポリシー管理の 機能を選択します。

   

9. [確認] ページで、[インストール] を選択します。 グループ ポリシー管理ツールのインストールには、1 ~ 2 分かかる場合があります。

10. 機能のインストールが完了したら、[ を閉じる] を選択して、役割と機能の追加 ウィザードを終了します。

マネージド ドメイン内のユーザーとコンピューターには、既定のグループ ポリシー オブジェクト (GPO) が存在します。 前のセクションからインストールしたグループ ポリシー管理機能を使用して、既存の GPO を表示および編集しましょう。 次のセクションでは、カスタム GPO を作成します。

手記

マネージド ドメインでグループ ポリシーを管理するには、AAD DC Administrators グループのメンバーであるユーザー アカウントにサインインしている必要があります。

1. [スタート] 画面で、[管理ツール] 選択します。 前のセクションでインストールしたグループ ポリシー管理 含む、使用可能な管理ツールの一覧が表示されます。

2. グループ ポリシー管理コンソール (GPMC) を開くには、グループ ポリシー管理 選択します。

   

マネージド ドメインには、2 つの組み込みのグループ ポリシー オブジェクト (GPO) があります。1 つは AADDC Computers コンテナー用、1 つは AADDC Users コンテナー用です。 これらの GPO をカスタマイズして、マネージド ドメイン内で必要に応じてグループ ポリシーを構成できます。

1. グループ ポリシー管理 コンソールで、フォレスト: aaddscontoso.com ノードを展開します。 次に、ドメイン ノードを展開します。

   AADDC Computers と AADDC Users用の 2 つの組み込みコンテナーが存在します。 これらの各コンテナーには、既定の GPO が適用されています。

   

2. これらの組み込みの GPO は、マネージド ドメインで特定のグループ ポリシーを構成するようにカスタマイズできます。 AADDC Computers GPOなど、GPO のいずれかを右クリックし、[編集] 選択します。.

   のいずれかを [編集] するオプションを選択します

3. グループ ポリシー管理エディター ツールが開き、アカウント ポリシーなど、GPO をカスタマイズできます。

   

   完了したら、[ファイル > 保存 を選択してポリシーを保存します。 既定では、コンピューターは 90 分ごとにグループ ポリシーを更新し、行った変更を適用します。

同様のポリシー設定をグループ化するには、多くの場合、1 つの既定の GPO で必要なすべての設定を適用するのではなく、追加の GPO を作成します。 Domain Services を使用すると、独自のカスタム グループ ポリシー オブジェクトを作成またはインポートし、カスタム OU にリンクできます。 最初にカスタム OU を作成する必要がある場合は、マネージド ドメイン カスタム OU を作成する方法に関するページを参照してください。

1. グループ ポリシー管理 コンソールで、myCustomOU などのカスタム組織単位 (OU)選択します。 OU を右クリックし、[このドメインに GPO を作成 選択し、ここにリンクします。..:

   

2. [マイ カスタム GPO ] など、新しい GPO の名前指定し、[OK] 選択します。 必要に応じて、このカスタム GPO を既存の GPO と一連のポリシー オプションに基づいて作成できます。

   の名前を指定する

3. カスタム GPO が作成され、カスタム OU にリンクされます。 ポリシー設定を構成するには、カスタム GPO を右クリックし、[編集] 選択します。:

   を [編集] するオプションを選択します

4. グループ ポリシー管理エディター が開き、GPO をカスタマイズできます。

   

   完了したら、[ファイル > 保存 を選択してポリシーを保存します。 既定では、コンピューターは 90 分ごとにグループ ポリシーを更新し、行った変更を適用します。