2021/05/26

AWS Microsoft ADとは?AWSサービスのAD連携について解説

 
  

AWS Microsoft ADとは?


AWS Microsoft ADとは、AWSがマネージドサービスとして提供しているMicrosoft ADです。

AWS Directory Service for Microsoft Active Directoryとも呼ばれており、Widnows Server 2012 R2で構成されています。

オンプレミス上のMicrosoft ADを使用したのと同じように、AWS Microsoft ADを使用することで、AWSサービスのユーザー管理やシングルサインオンを実現することができます。

AWS Microsoft ADは、オンプレミス上のMicrosoft ADと連携することもできます。

AWS Microsoft ADの使い方


AWS Microsoft ADは必ずMulti-AZ構成での運用となります。

AWS Microsoft ADを使用してディレクトリを作成すると、AWSはVPCの異なるサブネットにドメインコントローラーを作成して、冗長性を確保します。

VPCの異なるサブネットに2つのドメインコントローラーを作成することで、ドメインコントローラーで障害が発生しても必ずディレクトリにアクセスできます。

なお、ドメインコントローラーは最初に作成される2つだけでなく、後から追加することもできます。

前提条件

AWS Microsoft ADのディレクトリを作成するためのVPCの条件は以下の通りです。

・Multi-AZ構成でしか運用できません。

・VPC にはデフォルトのテナンシーが必要です。

・198.18.0.0/15 アドレス空間のアドレスは使用できません。

・NATは使用できません。

AWS Microsoft ADでAWSシングルサインオンを実現するためには、以下の条件を満たす必要があります。

・AWSの管理アカウントがAWS Microsoft AD組織のディレクトリに設定されている必要があります。

・AWSサービスはAWS Microsoft ADと同じリージョンである必要があります。

AWS Microsoft ADのディレクトリ作成

AWS Microsoft ADのディレクトリは以下の手順で作成できます。

①AWSマネジメントコンソールにサインインします。

②「ディレクトリ」>「ディレクトリの設定」を選択します。

③「ディレクトリタイプの選択」ページで「AWS Managed Microsoft AD」を選択します。

⑤「ディレクトリ情報の入力」ページで、必要な情報を入力します。

⑥「VPCとサブネットの選択」ページで、必要な情報を入力します。

⑦「確認と作成」で入力内容を確認して、問題がなければ「ディレクトリの作成」を選択します。

ディレクトリの作成が完了すると、ステータスが「Active」に変わりますが、ディレクトリの作成には20~40分ほどかかる場合があります。

ディレクトリが作成されると、AWS Microsoft ADによっていくつかのタスクが自動的に作成されます。

AWS Microsoft ADの管理方法


AWS Microsoft ADを安全に管理・運用するために様々な設定が可能です。

AWS Microsoft ADの環境を管理・運用するための方法を解説します。

・AWS Microsoft ADのパスワードポリシー

・AWS Microsoft ADの監視

・ディレクトリの削除

・シングルサインオンの設定

AWS Microsoft ADのパスワードポリシー

AWS Microsoft ADは、ユーザーのグループごとにパスワードポリシーを設定することができます。

AWS Microsoft ADはディレクトリを作成したときに、デフォルトのパスワードポリシーをディレクトリに適用します。

標準の Microsoft ポリシーツールを使用することで、独自のパスワードポリシーを設定してディレクトリに適用することもできます。

デフォルトのパスワードポリシーは以下の通りです。

ポリシー 設定
パスワード履歴の記憶 24個
パスワードの最大有効期間 42日間
パスワードの最小有効期限 1日
パスワードの最小桁数 7文字
パスワードが複雑さの要件を満たす必要があるか 有効
パスワードの可逆暗号化 無効

AWS Microsoft ADの監視

AWS Microsoft ADのディレクトリには様々なステータスがあります。

ディレクトリのステータスが変わったときに、Amazon SNSを使用してメッセージを受け取ることもできます。

メッセージを受け取るようにするには、以下の手順で設定します。

①AWS マネジメントコンソールにサインインします。

②「ディレクトリ」ページで、対象のディレクトリを選択します。

③「ディレクトリの詳細」ページで、「メンテナンス」タブを選択します。

④「ディレクトリのモニタリング」から、「アクション」>「通知の作成」を選択します。

⑤「通知の作成」ページで、「通知タイプの選択」>「新しい通知の作成」を選択します。

⑥「受信者」に、メッセージを受け取るユーザーの連絡先情報を入力します。

⑦「作成」を選択します。

ディレクトリのステータスは以下の通りです。

ステータス 説明
アクティブ 正常に動作している状態です。
作成 ディレクトリを作成中の状態です。
削除済み ディレクトリの削除が完了ている状態です。
削除 ディレクトリを削除中の状態です。
失敗 ディレクトリの作成に失敗しています。この状態になった場合はディレクトリを削除する必要があります。
障害 障害が発生して、ディレクトリのパフォーマンスが低下している状態です。
操作不能 障害が発生して、ディレクトリが機能停止している状態です。
リクエスト済み ディレクトリの作成を保留中の状態です。
復元失敗 スナップショットからの復元に失敗した状態です。この状態になった場合は復元操作を再試行する必要があります。
復元 スナップショットから復元中の状態です。

ディレクトリの削除

不要なディレクトリはAWS Microsoft ADから削除することができます。

ディレクトリを削除するとスナップショットも削除されるため、復元できなくなることに注意してください。

AWS Microsoft ADとオンプレミス環境のMicrosoft ADで連携している場合は、AWS Microsoft ADからディレクトリを削除した場合でも、オンプレミス環境のMicrosoft ADにはディレクトリが残ります。

ディレクトリは以下の手順で削除することができます。

①AWS マネジメントコンソールにサインインします。

②「ディレクトリ」ページで、削除対象のディレクトリを選択します。

③「ディレクトリの詳細」ページで、「アプリケーション管理」タブを選択します。

④AWSサービスの一覧が表示されるので、登録解除や割り当て解除を行います。

⑤「ディレクトリ」ページで、削除対象のディレクトリを選択して「削除」を選択します。

シングルサインオンの設定

AWSサービスとディレクトリを関連付けて、シングルサインオンの設定をすることができます。

シングルサインオンを有効にするには、ディレクトリのアクセスURLを作成します。

アクセスURLは以下の手順で作成できます。

①AWS マネジメントコンソールにサインインします。

②「ディレクトリ」ページで、対象のディレクトリを選択します。

③「ディレクトリの詳細」ページで、「アプリケーション管理」タブを選択します。

④「アプリケーションアクセスURL」セクションで「作成」を選択します。

シングルサインオンの有効化/無効化の設定は以下の手順で行います。

①「ディレクトリ」ページで、対象のディレクトリを選択します。

②「ディレクトリの詳細」ページで、「アプリケーション管理」タブを選択します。

③「アプリケーションアクセスURL」セクションで「有効化」または「無効化」を選択します。

AWS Microsoft ADを使用してAWSサービスでAD連携を実現しよう!


組織のシステムを管理・運用するにあたり、ADを使用したユーザー管理は欠かせません。

オンプレミス環境のシステムだけでなくAWSサービスを導入している組織も多いため、AWS Microsoft ADを使用したAD連携は覚えておいて損はありません。

様々なシステムと連携させることで、日常的なシステム管理や監視の作業を効率化することができるので、ぜひともAWS Microsoft ADを使いこなしましょう!

ITエンジニアへのキャリアチェンジならキャリアチェンジアカデミー

この記事の監修者・著者

株式会社オープンアップITエンジニア
株式会社オープンアップITエンジニア
未経験からITエンジニアへのキャリアチェンジを支援するサイト「キャリアチェンジアカデミー」を運営。これまで4500人以上のITエンジニアを未経験から育成・排出してきました。
・AWS、salesforce、LPICの合計認定資格取得件数:2100以上(2023年6月時点)
・AWS Japan Certification Award 2020 ライジングスター of the Year 受賞

おすすめの動画

  • 【未経験からIT業界へ転職するなら】相談窓口とスキルの獲得はここで解決!IT転職が一気に有利に!【キャリアチェンジアカデミー】

  • 【費用一切不要】未経験からIT業界へ転職するならまずはここへ相談!【キャリアチェンジアカデミー】

  • 【何のエンジニアになれるのか?】未経験からITエンジニアを目指すとこんな道がある【キャリアチェンジアカデミー】