くらめその情シス:社内WindowsPCをすべてAzureADに移行したおはなし | DevelopersIO
はじめに どうも、情シスやってますアノテーションの徳道です。 2020年内はAzureADとIntuneに関する記事を書いてきました。 これをもとに全社のWindowsPCをActiveDirectory/ローカルログインからAzureAD+Intuneの環境に移行しました。 今回は技術的な観点よりも、運用的な観点で注意、工夫したことを社内事例として紹介させていただきます。 どうやって着地させようか 移行にあたり、一番最初に考えたことはユーザーへのインパクトがどれくらいあるかでした。 Windowsの管理者をやったことがある方ならピンとくると思いますが、参加させるドメインを変更するとWindowsのユーザープロファイルを作り直さないといけません。 つまり、仕事をしている環境を一旦ガラガラポンして作り直さないといけないわけです。本来なら、影響を最小限にするためにHybrid AzureADも
【AD CS】証明書の有効期間 | ねこまるの AD フリーク
Active Directory 証明書サービスでルート証明機関を構築した場合、CA 構成の作業を行った時にルート証明書が作成されます。 既定では5年の有効期間でルート証明書が発行されますが、有効期限が迫ったらルート証明書を更新する必要が[…] (b) CA のレジストリ (ValidityPeriod と ValidityPeriodUnits) の上限値 Active Directory 証明書サービスでは、証明機関が発行できる証明書の有効期間の上限を設定するためのレジストリがあります。 レジストリの既定値は、エンタープライズ CA の場合は 2 年、スタンドアロン CA の場合は 1 年です。 Active Directory 証明書サービスで構築した証明機関では、レジストリの設定値以上の有効期間をもつ証明書は発行できません。 * 有効期限の単位 キー : HKEY_LOCAL_MA
Azure AD Connect Cloud Sync とは?
Azure AD Connect Cloud Sync とは? 2021/10/10 2021/10/11 Microsoft Entra Active Directoryに登録しているユーザーアカウントをAzureADに同期するしくみを提供します。これにより、Active Directory側でユーザー管理を行う事で、AzureADにも自動で反映 (同期)されるため、二重管理が解消されます。 Cloud Syncは、Azureポータル画面で管理を行うため、ドメインが複数ある環境の場合、 管理がしやすいです。 構築はとても簡単で、Windows Serverに”Cloud Sync Agent”をインストールするだけです。 【構成パターン】 1フォレスト、1ドメインを同期するパターン 2フォレスト、2ドメインを同期するパターン ※AAD Connectと混在する事が可能 1フォレスト、2ド
Azure サブスクリプションと Azure AD の管理者
Note 本記事は Technet Blog の更新停止に伴い https://blogs.technet.microsoft.com/jpazureid/2017/11/04/azure-subscription-azuread-admin/ の内容を移行したものです。 元の記事の最新の更新情報については、本内容をご参照ください。 こんにちは、 Azure ID サポートチームの三浦です。 今回は混乱することが多い Azure のサブスクリプションと Azure Active Directory (Azure AD) の関係、それぞれの管理者について紹介します。 Azure サブスクリプションと Azure AD の関係まず、 Azure サブスクリプションと Azure AD の関係ですが、 Azure のサブスクリプションに Azure AD が含まれているというイメージを持たれてい
ADリプレースの勘所、教えます-エンタープライズIT [COLUMNS]
IIJでは、Active Directory(AD)をクラウドでサービス提供しています。既存ADからの移行作業も含めてお客様と共に検討しながら対応する中で、よくこんな課題を耳にします。 クラウドに移行したいけどきちんと移行できるか不安 移行作業に失敗すると影響が大きいので不安 移行作業の流れがよくイメージできないので不安 ADは奥が深く、その影響範囲も大きなコンポーネントです。クラウドに移行する場合でも、オンプレミスでリプレースする場合でも、既存ADをリプレースするのには知識と経験が求められます。企業規模が大きくなるほどその影響範囲も大きく、失敗すると甚大な影響が出てしまうこともあります。AD移行の流れを理解しつつ、注意すべきポイントや対応方法などを事前にしっかりと確認した上で進めることが重要です。 本記事では、AD・WSUS(Windows Server Update Services)
![ADリプレースの勘所、教えます-エンタープライズIT [COLUMNS]](https://cdn-ak-scissors.b.st-hatena.com/image/square/55f77868487e9d6527fe24a6a86034752364a633/height=288;version=1;width=512/https%3A%2F%2Fent.iij.ad.jp%2Fwp-content%2Fuploads%2F2019%2F06%2Fe-cloud.png)
Windows Server の Active Directory Domain Services Functional Levels
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 機能レベルによって、Active Directory ドメイン サービス (AD DS) のドメインまたはフォレストで使用できる機能が決まります。 また、機能レベルにより、ドメインまたはフォレスト内のドメイン コントローラーで実行できる Windows Server オペレーティング システムが決まります。 ただし、機能レベルによって、ドメインやフォレストに参加しているワークステーションやメンバー サーバーで実行できるオペレーティング システムが影響を受けることはありません。 AD DS を展開するときに、ドメインおよびフォレストの機能レベルを、環境でサポートできる最高値に設
にわか管理者のためのWindows Server 2012入門(8) Active Directoryの機能レベル引き上げ
今回は、Active Directoryの機能レベルについて取り上げる。 ドメインやフォレストの機能レベルと関係なく、一般サーバやクライアントPCのOSとして旧いバージョンのWindowsを使用することはできる。機能レベルが影響するのは、ドメインコントローラだけだ。すでに旧いWindowsサーバでActive Directoryを稼動させていて、そこにWindows Server 2012で稼動するドメインコントローラを追加する場合に、機能レベルを意図的に低く設定する必要が生じる。 Windowsサーバごとの、利用可能な機能レベル Active Directoryには、機能レベルという概念がある。新しいバージョンになるほど機能が拡張されており、それに合わせて機能レベルが増えている。 Windowsサーバのバージョンと、それに対応する機能レベルの内訳は以下の通りだ。 ・Windows 200
基礎から分かるグループポリシー再入門
今回は、グループポリシーの代表的な設定の1つである「アカウントポリシー」を、「グループポリシーの管理」と「Active Directory管理センター」で柔軟に構成する方法を紹介する。
セントラル ストアの作成と管理 - Windows Client
この資料では、Windows の新しい .admx ファイルおよび .adml ファイルを使用して、レジストリに基づいたポリシー設定を作成および管理する方法について説明します。 この資料ではまた、ドメイン環境においてセントラル ストアをどのように使用して Windows ベースのポリシー ファイルの保管やレプリケートを行うかについても説明します。 適用対象: Windows 11、Windows 10 - すべてのエディション、Windows Server 2019、Windows Server 2012 R2、Windows 7 Service Pack 1 元の KB 番号: 3087759 オペレーティング システムのバージョンに基づいた、管理用テンプレート ファイルのダウンロード リンク Windows 11 2022 Update (22H2) - v3.0 の管理用テンプレート
グループ ポリシーを使用して Windows Update for Business を構成する - Windows Deployment
ユーザー向けの情報を探している場合、 「Windows Update: FAQ」をご覧ください。 概要 グループ ポリシー管理コンソール (GPMC) でグループ ポリシーを使用して、Windows Update for Business のしくみを制御できます。 ビジネス設定のWindows Updateを変更する前に、更新プログラムの展開戦略を検討し、工夫する必要があります。 詳細については、「 Windows クライアント更新プログラムのサービス戦略を準備する 」を参照してください。 IT 管理者は、グループ ポリシーを使用して Windows Update for Business のポリシーを設定することも、ローカル (デバイスごとに) 設定することもできます。 関連するすべてのポリシーは、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント]
Windows 10でグループポリシー設定を利用するには
Windows 10でグループポリシー設定を利用するには:基礎から分かるグループポリシー再入門(15)(1/2 ページ) Windows 10の利用を検討したり、実際に使い始めたりしている企業の話を聞くことが増えてきた。そこで今回は、前回まで紹介した「基本設定」をいったん離れ、Windows 10でのグループポリシー活用方法を紹介する。 連載目次 Windows 10用のグループポリシー設定はどこにある? これまでのWindowsがそうであったように、Windows 10もまた、独自の設定や機能を備えている。OSに搭載された新機能は「待ってました!」とばかりに積極的に活用されることもあれば、時期尚早として見送られたり、使わないことが推奨されたりすることもある。最近の例としては、インターネットバンキングでの「Microsoft Edge」ブラウザの利用自粛が挙げられるだろう。 しばらくの間は
Active Directoryからゾンビになったドメインコントローラを削除しよう
Active Directoryからゾンビになったドメインコントローラ(DC)を削除するならば、まず考え付くのは、NTDSUTILのmetadata cleanupではないでしょうか。 metadata cleanupといえば日本マイクロソフトのエバンジェリストである安納さんのこの記事↓ 【Windows Server】DC が死んだらグローバルカタログの移動も忘れずに が定番ですね! それ以外で確認していくところをおさらいしていきます。 ・[Active Directoryサイトとサービス]にゾンビ化したドメインコントローラがないか確認。 ・ADSIエディタでゾンビ化したドメインコントローラがないか確認。 ・コンピュータアカウントが残っていないか確認。 というところが考えられると思います。 ここでもう一つ。最近知ったのですが、LostAndFound コンテナに接続オブジェクトが残ってい
SRV ドメイン ネーム システム (DNS) レコードが作成されていることを確認する - Windows Server
この記事では、Active Directory ディレクトリ サービスをインストールした後に、ドメイン コントローラーのサービスの場所 (SRV) ロケーター リソース レコードを確認する方法について説明します。 適用対象: Windows Server 2012 R2 元の KB 番号: 816587 概要 SRV レコードは、ドメイン ネーム システム (DNS) リソース レコードです。 特定のサービスをホストしているコンピューターを識別するために使用されます。 SRV リソース レコードは、Active Directory のドメイン コントローラーを検索するために使用されます。 ドメイン コントローラーの SRV ロケーター リソース レコードを確認するには、次のいずれかの方法を使用します。 方法 1: DNS マネージャーを使用する DNS サービスを実行しているサーバーに A
ADFSによる多要素認証の設定
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 Windows Server 2012 R2のADFSより多要素認証が新しくサポートされ、ユーザー名/パスワード以外の要素を提示するように構成することができるようになっています。多要素認証を利用すれば、よりセキュアな認証を実現できるというメリットがあります。 図にすると、こういうことになります。 今まで、ADFSを利用してクレームベース認証を行おうと思ったら、 ユーザー名/パスワードを入力していました。 ただし、ユーザー名/パスワードは盗まれやすく、悪用されやすいので、 追加の条件として、証明書を持っているか?というこ
Azure ADにおけるOAuthの承諾設定
Always on the clock これまでに、セミナーやカンファレンス、書籍を通じてお会いした方々、そしてこれから出会うであろう方々のために Microsoft テクノロジーを中心とした情報を株式会社エストディアンの国井 傑 (くにい すぐる) が提供するブログです。 先日、ゾーホージャパンさんに寄稿させていただいている連載の中で、PaaS型クラウドサービスとAzure ADの関連付けについて解説させていただきました。その中でOAuth2.0プロトコルを利用している場合は、アクセス許可は管理者が設定するものではなく、アクセスするユーザー自身で設定するという話をしました。 アクセス許可を持っていないユーザーがOAuth 2.0を利用したクラウドアプリへのアクセスしようとすると、アクセス許可を割り当てる画面が表示され、[承諾]ボタンをクリックすると、Azure ADで承諾ボタンをクリック
社内勉強会で AWSエンジニアのためのActive Directory入門 という発表をしました | DevelopersIO
しばたです。 本日弊社の社内勉強会で「AWSエンジニアのためのActive Directory入門」というタイトルでActive Directory(AD)の基本と、AWSにおけるAD関連サービスやADの構成例について発表しました。 その際に使用したスライドをSpeaker Deckに公開しましたので、皆さんもぜひご覧ください。 発表内容について アジェンダにあるとおり、勉強会では Active Directoryとは AWS と Active Directory AWS環境での Active Directory構成例 についてお話しました。 時間の都合により最後の部分は話せませんでした。 AD自体のはなしやAWSでのDirectoryサービス関連については私の説明以外にも多くのサイトやDevelopers.IOに解説記事があるのでここでは多くを語らなくても良いかなと思ってます。 Dire
Active Directory ドメコンの仮想化はできる?できない?
おすぎやんです。 ドメインコントローラーは非常に軽いシステムのためハードウェア要件も低いです。 メモリも4GBあれば、ある程度の規模でも問題なく稼働します。 そのため、Active Directoryの構成を検討する際に、ドメインコントローラーを仮想化すればいいのではと考えるのは至極まっとうな考えだと思います。 そもそもドメインコントローラーを仮想化できるのでしょうか? 仮想化可否とその理由を解説していきます。 Active Directoryのインストールがまだのかたはこちら Windows Server 2016 でActive Directory を インストール【2台構成】 1.ドメコン仮想化はできるの?できないの? そもそもMicrosoftはドメコンの仮想化をサポートしているのでしょうか? 結論は「サポートしている」です。 ということはドメインコントローラーの仮想化できるという
Active Directory:FSMO役割保持者をコマンドにて確認する - 管理人のSE経験値(Exp)を見える化するブログ
目的 Active DirectoryのFSMO役割保持者をコマンドにて確認する。 FSMO*1とは Windows 2000以降のActive Directoryで、DC*2が担当する機能のうち、特定のDCが単独で処理を行う5種類の機能のこと。 一般にActive Directoryでは、複数のDCが互いにディレクトリ情報を複製しており、どのDCで作業を行っても同じ様にデータを更新することが可能。しかし、パスワード変更などの作業に関してはデータの整合性が狂う等の問題が発生するため、あらかじめ決められた特定のDCでしか作業できないようになっている。通常、最初にActive Directryを導入されたDCがFSMOの機能を受け持つことになるが、必要ならば他のDCに移すことも可能。 FSMO役割一覧 FSMO役割 処理内容 備考 スキーママスタ Active Directoryデータベースの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Active Directory 侵害と推奨対策
Active Directory Domain Services の仮想化