次の方法で共有

Azure Local バージョン 23H2 デプロイ用に Active Directory を準備する

  • [アーティクル]

適用対象: Azure Local 2311.2 以降

この記事では、Azure Local バージョン 23H2 をデプロイする前に Active Directory 環境を準備する方法について説明します。

Azure Local の Active Directory の要件は次のとおりです。

  • 専用の組織単位 (OU)。
  • 該当するグループ ポリシー オブジェクト (GPO) に対してブロックされているグループ ポリシーの継承。
  • Active Directory 内の OU に対するすべての権限を持つユーザー アカウント。
  • 展開前に、マシンを Active Directory に参加させる必要はありません。

Note

  • 既存のプロセスを使用して、上記の要件を満たすことができます。 この記事で使用するスクリプトは省略可能であり、準備を簡略化するために用意されています。
  • OU レベルでグループ ポリシーの継承がブロックされている場合、適用されたオプションが有効になっている GPO はブロックされません。 該当する場合は、別の方法を使用して、例えば Windows Management Instrumentation (WMI) フィルターを使用して、これらの GPO がブロックされていることを確認してください。 適用されている GPO に WMI フィルターを適用して、Azure ローカル インスタンスのコンピューター アカウントが GPO の適用から除外されるようにします。 フィルターが適用されると、WMI フィルターで定義されているロジックに基づいて、適用された GPO は適用されません。

Active Directory に必要なアクセス許可を手動で割り当て、OU を作成し、GPO の継承をブロックするには、Azure Local バージョン 23H2 の Custom Active Directory 構成を参照してください。

前提条件

Active Directory 準備モジュール

AsHciADArtifactsPreCreationTool PowerShell モジュールの New-HciAdObjectsPreCreation コマンドレットは、Azure ローカル デプロイ用に Active Directory を準備するために使用されます。 コマンドレットに関連付けられている必須パラメーターを次に示します。

パラメーター 説明
-AzureStackLCMUserCredential デプロイに適したアクセス許可で作成された新しいユーザー オブジェクト。 このアカウントは、Azure ローカル デプロイで使用されるユーザー アカウントと同じです。
ユーザー名のみが指定されていることを確認します。 contoso\usernameなど、ドメイン名を名前に含めることはできません。
パスワードは、長さと複雑さの要件に準拠している必要があります。 12 文字以上のパスワードを使用します。 パスワードには、小文字、大文字、数字、特殊文字の 4 つの要件のうち 3 つも含まれている必要があります。
詳細については、 password の複雑さの要件を参照してください。
名前をローカル管理者ユーザーとまったく同じにすることはできません。
名前はユーザー名として admin を使用できます。
-AsHciOUName Azure ローカル デプロイのすべてのオブジェクトを格納する新しい組織単位 (OU)。 設定の競合がないように、この OU では既存のグループ ポリシーと継承がブロックされます。 OU は識別名 (DN) として指定する必要があります。 詳細については、 区別された名前の形式を参照してください。

Note

  • -AsHciOUName パスでは、パス内の任意の場所で次の特殊文字をサポートしていません: &,",',<,>
  • 展開が完了した後、コンピューター オブジェクトを別の OU に移動することはできません。

Active Directory の準備

Active Directory を準備するときは、デプロイ ユーザーなどの Azure ローカル関連オブジェクトを配置する専用の組織単位 (OU) を作成します。

専用 OU を作成するには、次の手順に従います。

  1. Active Directory ドメインに参加しているコンピューターにサインインします。

  2. PowerShell を管理者として実行します。

  3. 次のコマンドを実行して、専用 OU を作成します。

    New-HciAdObjectsPreCreation -AzureStackLCMUserCredential (Get-Credential) -AsHciOUName "<OU name or distinguished name including the domain components>"

  4. メッセージが表示されたら、デプロイのユーザー名とパスワードを指定します。

    1. ユーザー名のみが指定されていることを確認します。 contoso\usernameなど、ドメイン名を名前に含めることはできません。 ユーザー名は 1 ~ 64 文字にする必要があり、文字、数字、ハイフン、アンダースコアのみを含む必要があり、ハイフンまたは数字で始まる場合はありません。
    2. パスワードが複雑さと長さの要件を満たしていることを確認します。 12 文字以上で、小文字、大文字、数字、特殊文字を含むパスワードを使用します。

    スクリプトが正常に完了した場合の出力例を次に示します。

    PS C:\work> $password = ConvertTo-SecureString '<password>' -AsPlainText -Force
PS C:\work> $user = "ms309deployuser"
PS C:\work> $credential = New-Object System.Management.Automation.PSCredential ($user, $password)
PS C:\work> New-HciAdObjectsPreCreation -AzureStackLCMUserCredential $credential -AsHciOUName "OU=ms309,DC=PLab8,DC=nttest,DC=microsoft,DC=com"    
PS C:\work>

  5. OU が作成されていることを確認します。 Windows Server クライアントを使用している場合は、サーバー マネージャー > Tools > Active Directory ユーザーとコンピューターに移動します。

  6. 指定した名前の OU が作成されます。 この OU には、新しい LCM デプロイ ユーザー アカウントが含まれています。

    [Active Directory コンピューターとユーザー] ウィンドウのスクリーンショット。

Note

1 台のコンピューターを修復する場合は、既存の OU を削除しないでください。 マシン ボリュームが暗号化されている場合、OU を削除すると、BitLocker 回復キーが削除されます。

大規模なデプロイに関する考慮事項

ライフサイクル マネージャー (LCM) ユーザー アカウントは、Active Directory (AD) を使用する Azure ローカル インスタンスのデプロイ中、または既存のインスタンスの追加ノード/修復操作に使用されます。 LCM ユーザー アカウントはドメイン参加アクションを実行します。そのため、オンプレミス ドメインのターゲット組織単位 (OU) にコンピューター アカウントを追加するには、委任されたアクセス許可を持つ LCM ユーザー ID が必要です。 Azure Local のデプロイ中に、LCM ユーザー アカウントが物理マシンのローカル管理者グループに追加されます。

LCM ユーザー アカウント資格情報が侵害されるリスクを軽減するために、Azure ローカル インスタンスごとに、一意のパスワードを持つ専用の LCM ユーザー アカウントを用意することをお勧めします。

OU の作成には、次のベスト プラクティスに従うことをお勧めします。

  • Azure ローカル インスタンスごとに、Active Directory 内に個別の OU を作成します。 この方法は、インスタンスごとに 1 つの OU のスコープ内でコンピューター アカウント、CNO、LCM ユーザー アカウント、物理マシン コンピューター アカウントを管理するのに役立ちます。
  • 管理を容易にするために、複数のインスタンスを大規模にデプロイする場合:
    • インスタンスごとに、単一の親 OU の下に OU を作成します。
    • 親 OU レベルで GPO の継承を無効にします。

上記の推奨事項は、New-HciAdObjectsPreCreation コマンドレットを使用して Active Directory の準備をするときに自動化されます。

次のステップ