私の会社では、ユーザー/グループ アーキテクチャ全体を Azure を使用したクラウドで運用しています。最近、Windows 2016 Server マシンを購入し、Azure アカウントを使用できるようにセットアップするように依頼されました。ファイル共有や VPN のセットアップなどの簡単な作業を行う必要があります。現在、Azure AD Connect は私にとって選択肢ではないと読んでいます。https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-existing-tenant を参照してください。
Azure AD ユーザー/グループをサーバー上の新しい AD に同期できない場合は、どうすればよいでしょうか。新しいアカウントを作成して、ユーザーにパスワードを教えてもらいたくありません。Azure AD ドメイン サービスについて聞いたことがありますが、Windows Server 2016 を使用して Azure で仮想マシンを起動する必要があるようですが、サーバーがオンサイトにあるため、それが私のケースに役立つとは思えません。このローカル ドメイン (まだ設定していません) を、すべてのアカウントとマシンが既に AD に存在する Azure ドメインに参加させるにはどうすればよいですか。
私はこれを調べてきましたが、何をすべきかわかりません。
答え1
Azure AD 自体は従来の AD ではないため、オンプレミスの AD と同じ方法でマシンを参加させることはできません。Win 10 マシンを参加させることはできますが、サーバー OS を参加させることはできません。
ここでのソリューションは Azure AD Domain Services になります。このサービスは、Azure AD を拡張して完全な AD サービス (いくつかの制限付き) を提供します。新しい VM を起動する必要はありません。これは PaaS サービスであり、ドメインで有効にするだけで済みます。ただし、Azure vNet をデプロイする必要があります。
これを実行すると、マシンが接続されているネットワークが、AAD DS 用に作成した Azure の vNet (VPN、Express Route など) に接続されている限り、Server 2016 マシンが参加できる完全な AD ドメインが作成されます。
それが実現できない場合は、AAD 接続同期を使用できますが、完全な AD ですべてのユーザー アカウントを再作成してから、AAD に同期する必要があります。