翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Managed Microsoft AD の開始方法 AWS Managed Microsoft AD AWS クラウド は、 Microsoft Active Directoryでフルマネージド型 を作成し、WindowsServer 2019 を搭載し、2012 R2 フォレストおよびドメインの機能レベルで動作します。 AWS Managed Microsoft AD でディレクトリを作成すると、 は 2 つのドメインコントローラー Directory Service を作成し、ユーザーに代わって DNS サービスを追加します。ドメインコントローラーは、1 つの Amazon VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「[AWS Managed Microsoft AD 用の追加のドメインコントローラーのデプロイ](ms_ad_deploy_additional_dcs.md)」を参照してください。 AWS Managed Microsoft AD のデモと概要については、次のYouTube動画を参照してください。 [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla) **Topics** + [ ## AWS Managed Microsoft AD を作成するための前提条件 ](#ms_ad_getting_started_prereqs) + [ ## AWS IAM アイデンティティセンター 前提条件 ](#prereq_aws_sso_ms_ad) + [ ## Multi-Factor·Authentication の前提条件 ](#prereq_mfa_ad) + [ ## AWS Managed Microsoft AD の作成 ](#ms_ad_getting_started_create_directory) + [ # AWS Managed Microsoft AD で作成される内容 ](ms_ad_getting_started_what_gets_created.md) + [ # AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可 ](ms_ad_getting_started_admin_account.md) ## AWS Managed Microsoft AD を作成するための前提条件 AWS Managed Microsoft AD Active Directory を作成するには、以下を含む Amazon VPC が必要です。 + 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンに属し、同一のネットワークタイプである必要があります。 VPC には IPv6 を使用できます。詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPC の IPv6 サポート](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)」を参照してください。 + VPC にはデフォルトのハードウェアテナンシーが必要です。 + 198.18.0.0/15 アドレス空間のアドレスを使用して VPC に AWS Managed Microsoft AD を作成することはできません。 AWS Managed Microsoft AD ドメインを既存のオンプレミス Active Directory ドメインと統合する必要がある場合は、オンプレミスドメインのフォレストとドメインの機能レベルを Windows Server 2003 以上に設定する必要があります。 Directory Service は 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、 AWS アカウント外で実行され、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (`ETH0` および `ETH1`) があります。`ETH0` は管理アダプタで、アカウント外部に存在します。`ETH1` はアカウント内で作成されます。 ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。 AWS 環境と AWS Managed Microsoft AD を作成する方法のチュートリアルについては、「」を参照してください[AWS Managed Microsoft AD テストラボのチュートリアル](ms_ad_tutorial_test_lab.md)。 ## AWS IAM アイデンティティセンター 前提条件 AWS Managed Microsoft AD で IAM Identity Center を使用する予定がある場合は、以下が満たされていることを確認する必要があります。 + AWS Managed Microsoft AD ディレクトリは、 AWS 組織の管理アカウントに設定されます。 + IAM Identity Center のインスタンスは、 AWS Managed Microsoft AD ディレクトリがセットアップされているのと同じリージョンにあります。 詳細については、AWS IAM アイデンティティセンター ユーザーガイドの「[IAM Identity Center prerequisites](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html)」を参照してください。** ## Multi-Factor·Authentication の前提条件 AWS Managed Microsoft AD ディレクトリで多要素認証をサポートするには、次の方法でオンプレミスまたはクラウドベースの [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) サーバーを設定して、 の AWS Managed Microsoft AD ディレクトリからのリクエストを受け入れる必要があります AWS。 1. RADIUS サーバーで、両方の AWS Managed Microsoft AD ドメインコントローラー (DCs) を表す 2 つの RADIUS クライアントを作成します AWS。次の一般的なパラメータ (RADIUS サーバーが異なる場合があります) を使用して両方のクライアントを設定する必要があります。 + **アドレス (DNS または IP)**: これは AWS Managed Microsoft AD DCs。どちらの DNS アドレスも、MFA を使用する予定の AWS Managed Microsoft AD ディレクトリ**の詳細**ページの AWS Directory Service Console にあります。表示される DNS アドレスは、 で使用される AWS Managed Microsoft AD DCs の両方の IP アドレスを表します AWS。 **注記** RADIUS サーバーが DNS アドレスをサポートしている場合は、RADIUS クライアント設定を 1 つだけ作成する必要があります。それ以外の場合は、 AWS Managed Microsoft AD DC ごとに 1 つの RADIUS クライアント設定を作成する必要があります。 + **ポート番号**: RADIUS サーバーが RADIUS クライアント接続を受け付けるポート番号を設定します。標準の RADIUS ポートは 1812 です。 + **共有シークレット**: RADIUS サーバーの RADIUS クライアントとの接続に使用される共有シークレットを入力または生成します。 + **プロトコル**: AWS Managed Microsoft AD DCs と RADIUS サーバーの間で認証プロトコルを設定する必要がある場合があります。サポートされているプロトコルは、PAP、CHAP MS-CHAPv1、および MS-CHAPv2 です。非常に強力な 3 つのオプションのセキュリティを用意している MS-CHAPv2 を推奨します。 + **アプリケーション名**: これは一部の RADIUS サーバーでは必須ではなく、通常はメッセージまたはレポートでアプリケーションを識別します。 1. RADIUS クライアント (AWS マネージド Microsoft AD DCsDNS アドレス、ステップ 1 を参照) から RADIUS サーバーポートへのインバウンドトラフィックを許可するように既存のネットワークを設定します。 1. AWS Managed Microsoft AD ドメインの Amazon EC2 セキュリティグループに、前に定義した RADIUS サーバーの DNS アドレスとポート番号からのインバウンドトラフィックを許可するルールを追加します。詳細については、「*EC2 ユーザーガイド*」の「[セキュリティグループへのルールの追加](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)」を参照してください。 MFA で AWS Managed Microsoft AD を使用する方法の詳細については、「」を参照してください[AWS Managed Microsoft AD の多要素認証の有効化](ms_ad_mfa.md)。 ## AWS Managed Microsoft AD の作成 新しい AWS Managed Microsoft AD Active Directory を作成するには、次の手順を実行します。この手順を開始する前に、「[AWS Managed Microsoft AD を作成するための前提条件](#ms_ad_getting_started_prereqs)」で定義されている前提条件を満たしていることを確認します。 **AWS Managed Microsoft AD を作成するには** 1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ)、**[Set up directory]** (ディレクトリの設定) の順に選択します。 1. **[Select directory type]** (ディレクトリタイプの選択) ページで **[AWS Managed Microsoft AD]** を選択してから、**[Next]** (次へ) をクリックします。 1. **[Enter directory information]** (ディレクトリ情報の入力) ページに、以下の情報を指定します。 **エディション** AWS Managed Microsoft AD の **Standard Edition** または **Enterprise Edition** から選択します。エディションの詳細については、「[AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)」を参照してください。 **[Directory DNS name]** (ディレクトリの DNS 名) ディレクトリの完全修飾名 (例: `corp.example.com`)。 DNS に Amazon Route 53 を使用する予定の場合、 AWS Managed Microsoft AD のドメイン名は Route 53 ドメイン名とは異なる必要があります。Route 53 と AWS Managed Microsoft AD が同じドメイン名を共有している場合、DNS 解決の問題が発生する可能性があります。 **[Directory NetBIOS name]** (ディレクトリの NetBIOS 名) ディレクトリの短縮名 (例: `CORP`)。 **[Directory description]** (ディレクトリの説明) 必要に応じて、ディレクトリの説明。この説明は、 AWS Managed Microsoft AD の作成後に変更できます。 **管理者パスワード** ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 `Admin` とこのパスワードを使用して管理者アカウントが作成されます。 AWS Managed Microsoft AD の作成後に管理者パスワードを変更できます。 パスワードには、「admin」という単語を含めることはできません。 ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。 + 小文字 (a〜z) + 大文字 A〜Z + 数字 (0〜9) + アルファベットと数字以外の文字 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/) **[Confirm password]** (パスワードを確認) 管理者のパスワードをもう一度入力します。 **(オプション) ユーザーとグループの管理** から AWS Managed Microsoft AD のユーザーとグループの管理を有効にするには AWS マネジメントコンソール、 **でユーザーとグループの管理を選択します AWS マネジメントコンソール**。ユーザーおよびグループ管理の使用方法の詳細については、「[AWS Managed Microsoft AD ユーザーとグループを AWS マネジメントコンソール、 AWS CLI、または で管理する AWS Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)」を参照してください。 1. **[Choose VPC and subnets]** (VPC とサブネットの選択) ページで、次の情報を指定して **[Next]** (次へ) をクリックします。 **[VPC]** ディレクトリ用の VPC を選択します。 **ネットワークの種類** VPC とサブネットに関連付けられたインターネットプロトコル (IP) アドレス指定システム。 既存の VPC に関連付けられている CIDR ブロックを選択します。サブネット内のリソースは、IPv4 のみ、IPv6 のみ、または IPv4 と IPv6 の両方 (デュアルスタック) を使用するように設定できます。詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[Compare IPv4 and IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html)」を参照してください。 **サブネット** ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。 1. **[Review & create]** (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、**[Create directory]** (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20~40 分です。作成が完了すると、**[Status]** (ステータス) 値が **[Active]** (アクティブ) に変わります。 AWS Managed Microsoft AD で作成される内容の詳細については、以下を参照してください。 + [AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md) + [AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md) **関連する AWS セキュリティブログ記事** + [AWS Managed Microsoft AD ディレクトリの管理をオンプレミスの Active Directory ユーザーに委任する方法](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/) + [Directory Service for AWS Managed Microsoft AD を使用して、セキュリティ基準を満たすためにさらに強力なパスワードポリシーを設定する方法](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/) + [ドメインコントローラーを追加して Directory Service 、 AWS for Managed Microsoft AD の冗長性とパフォーマンスを向上させる方法](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/) + [AWS Managed Microsoft AD にリモートデスクトップライセンスマネージャーをデプロイしてMicrosoftリモートデスクトップの使用を有効にする方法](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/) + [AWS Managed Microsoft AD とオンプレミス認証情報 AWS マネジメントコンソール を使用して にアクセスする方法](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/) + [AWS Managed Microsoft AD とオンプレミス認証情報を使用して AWS サービスの多要素認証を有効にする方法](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/) + [オンプレミス Active Directory を使用して AWS サービスに簡単にログオンする方法](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/) # AWS Managed Microsoft AD で作成される内容 AWS Managed Microsoft AD で Active Directory を作成すると、 はユーザーに代わって次のタスク Directory Service を実行します。 + Elastic Network Interface (ENI) を自動作成し、各ドメインコントローラーと関連付けます。これらの各 ENIs は VPC と Directory Service ドメインコントローラー間の接続に不可欠であり、削除しないでください。で使用するために予約されているすべてのネットワークインターフェイスは、「ディレクトリ *directory-id* 用にAWS 作成されたネットワークインターフェイス」という説明 Directory Service で識別できます。詳細については、「Amazon EC2 ユーザーガイド」の「[Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)」を参照してください。** AWS Managed Microsoft AD Active Directory のデフォルトの DNS サーバーは、Classless Inter-Domain Routing (CIDR)\$12 の VPC DNS サーバーです。詳細については、「Amazon VPC ユーザーガイド」の「[Amazon DNS サーバー](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#AmazonDNS)」を参照してください。** **注記** ドメインコントローラーは、デフォルトでリージョン内の 2 つのアベイラビリティーゾーンにまたがってデプロイされ、Amazon VPCloud (VPC) に接続されます。バックアップは 1 日に 1 回自動的に実行され、Amazon EBS (EBS) ボリュームは保管中のデータを保護するために暗号化されます。障害が発生したドメインコントローラーは、同じ IP アドレスを使用して同じアベイラビリティーゾーン内で自動的に置き換えられ、最新のバックアップを使用して完全な災害対策を実行できます。 + 耐障害性と高可用性のために、2 つのドメインコントローラーを使用して VPC 内で Active Directory がプロビジョニングされます。ディレクトリが正常に作成されて [Active](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_status.html) になった後で、回復性とパフォーマンスを高めるためにドメインコントローラーを追加でプロビジョニングできます。詳細については、「[AWS Managed Microsoft AD 用の追加のドメインコントローラーのデプロイ](ms_ad_deploy_additional_dcs.md)」を参照してください。 **注記** AWS では、 AWS Managed Microsoft AD ドメインコントローラーにモニタリングエージェントをインストールすることはできません。 + ドメインコントローラーに出入りするトラフィックのネットワークルールを確立する [AWS セキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) *sg-1234567890abcdef0* を作成します。デフォルトのアウトバウンドルールでは、すべての IPv4 アドレスへのすべてのトラフィックが許可されます。デフォルトのインバウンドルールでは、 AWS Managed Microsoft AD をホストしている VPC に関連付けられたプライマリ IPv4 CIDR ブロックから、Active Directory に必要なポートを通過するトラフィックだけが許可されます。セキュリティを強化するため、作成された ENI には Elastic IP がアタッチされず、これらの ENI に Elastic IP をアタッチするためのアクセス許可はユーザーに付与されません。したがって、デフォルトで AWS Managed Microsoft AD と通信できるインバウンドトラフィックはローカル VPC のみです。セキュリティグループのルールを変更して、VPN 経由で到達可能な他のピア接続された VPC や CIDR など、追加のトラフィックソースを許可できます。これらのルールを変更すると、ドメインコントローラーと通信できなくなる可能性があるため、変更する場合は細心の注意を払ってください。詳細については、「[AWS Managed Microsoft AD のベストプラクティス](ms_ad_best_practices.md)」および「[AWS Managed Microsoft AD ネットワークセキュリティ設定の強化](ms_ad_network_security.md)」を参照してください。 [プレフィックスリスト]()を使用して、セキュリティグループルール内の CIDR ブロックを管理できます。プレフィックスリストを使用すると、セキュリティグループとルートテーブルの設定と管理が容易になります。複数の CIDR ブロックを同じポートとプロトコルに統合して、ネットワークトラフィックをスケーリングできます。 + Windows 環境では、クライアントは[サーバーメッセージブロック (SMB)](https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview) またはポート 445 を介して通信することがよくあります。このプロトコルは、ファイルとプリンターの共有や一般的なネットワーク通信など、さまざまなアクションを容易にします。 AWS Managed Microsoft AD ドメインコントローラーの管理インターフェイスへのクライアントトラフィックがポート 445 に表示されます。 このトラフィックは、SMB クライアントが DNS (ポート 53) と NetBIOS (ポート 138) の名前解決に依存して AWS Managed Microsoft AD ドメインリソースを見つけるときに発生します。これらのクライアントは、ドメインリソースを検索するとき、ドメインコントローラーで使用可能なインターフェイスに誘導されます。この動作は想定されたものであり、複数のネットワークアダプターが存在する環境や、[SMB マルチチャネル](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn610980(v=ws.11))によりクライアントが異なるインターフェイスを介して接続を確立し、パフォーマンスと冗長性を強化できる環境で頻繁に発生します。 デフォルトでは、次の AWS セキュリティグループルールが作成されます。 **インバウンドルール** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **アウトバウンドルール** **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + Active Directory で使用されるポートとプロトコルの詳細については、Microsoft ドキュメントの「[Windows のサービス概要およびネットワークポート要件](https://learn.microsoft.com/en-US/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#system-services-ports)」を参照してください。 + 「Admin」というユーザー名と指定されたパスワードを使用して、ディレクトリ管理者アカウントを作成します。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して AWS クラウドのディレクトリを管理します。詳細については、「[AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md)」を参照してください。 **重要** このパスワードは必ず保存してください。このパスワードは保存 Directory Service されず、取得できません。ただし、パスワードは Directory Service コンソールからリセットすることも、[ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) API を使用してリセットすることもできます。 + ドメインのルートに次の 3 つの組織単位 (OU) を作成します。 **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) + AWS Delegated Groups OU で次のグループを作成します。 **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) **注記** これらの AWS Delegated Groups を追加することができます。 + 次のグループポリシーオブジェクト (GPO) を作成して適用します。 **注記** これらの GPO を削除、変更、またはリンク解除するアクセス許可がありません。これは AWS 、使用のために予約されているため、設計上です。必要に応じて、制御している OU にそれらをリンクできます。 **** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html) 各 GPO の設定を確認する場合は、[グループポリシー管理コンソール (GPMC)](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753298(v=ws.10)) を有効にしてドメイン結合した Windows インスタンスから設定を表示できます。 + AWS Managed Microsoft AD 管理default local accounts用に以下を作成します。 **重要** 管理者パスワードを必ず保存してください。このパスワードは保存 Directory Service されず、取得できません。ただし、[コンソールから、 Directory Service または ResetUserPassword API を使用してパスワードをリセットできます](ms_ad_manage_users_groups_reset_password.md)。 [ResetUserPassword](https://docs.aws.amazon.com/directoryservice/latest/devguide/API_ResetUserPassword.html) **Admin** Admin は、 AWS Managed Microsoft AD が最初にdirectory administrator account作成されたときに作成される です。 AWS Managed Microsoft AD を作成するときに、このアカウントのパスワードを指定します。このアカウントは、Users OU (例えば、Corp > Users) の下にあります。このアカウントを使用して AWSの Active Directory を管理します。詳細については、「[AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md)」を参照してください。 **AWS*\$1*11111111111**** で始まり、アンダースコアが AWS 続く にあるアカウント名AWS Reserved OUは、サービスマネージドアカウントです。このサービスマネージドアカウントは、 が Active Directory を操作する AWS ために使用されます。これらのアカウントは、 AWS Directory Service Data が有効になっているとき、および Active Directory で新しい AWS アプリケーションが承認されるたびに作成されます。これらのアカウントには、 AWS サービスのみがアクセスできます。 **krbtgt account** krbtgt account は、 AWS Managed Microsoft AD で使用される Kerberos チケット交換で重要な役割を果たします。krbtgt account アカウントは、Kerberos チケットを付与するチケット (TGT) の暗号化に使用される特別なアカウントであり、Kerberos 認証プロトコルのセキュリティに重要な役割を果たします。詳細については、[Microsoft のドキュメント](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn745899(v=ws.11)#krbtgt-account)を参照してください。 AWS は AWS Managed Microsoft AD のkrbtgt accountパスワードを 90 日ごとに 2 回自動的に更新します。90 日ごとに 2 回の連続ローテーションの間には 24 時間の待機期間があります。 管理者アカウントおよび Active Directory によって作成された他のアカウントの詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-default-user-accounts)」を参照してください。 # AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可 AWS Directory Service for Microsoft Active Directory ディレクトリを作成すると、 は組織単位 (OU) AWS を作成して、 AWS 関連するすべてのグループとアカウントを保存します。この OU の詳細については、「[AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md)」を参照してください。これには管理者アカウントも含まれます。管理者アカウントには、OU に対して次の一般的な管理アクティビティを実行するためのアクセス許可があります。 + ユーザー、グループ、コンピュータを追加、更新、または削除する。詳細については、「[AWS Managed Microsoft AD でのユーザーとグループの管理](ms_ad_manage_users_groups.md)」を参照してください。 + ファイルやプリントサーバーなどのドメインにリソースを追加して、追加したリソースへのアクセス許可を OU のユーザーとグループに割り当てる。 + 追加の OU やコンテナを作成する。 + 追加の OU とコンテナの権限を委任する。詳細については、「[AWS Managed Microsoft AD のディレクトリ結合権限の委任](directory_join_privileges.md)」を参照してください。 + グループポリシーを作成し、リンクする。 + 削除されたオブジェクトを Active Directory のごみ箱から元に戻す。 + Active Directory Web Service で Active Directory と DNS PowerShell モジュールを実行する。 + グループ管理サービスアカウントを作成して設定する。詳細については、「[グループ管理サービスアカウント](ms_ad_key_concepts.md#ms_ad_key_concepts_gmsa)」を参照してください。 + Kerberos の制約付き委任を設定する。詳細については、「[Kerberos の制約付き委任](ms_ad_key_concepts.md#ms_ad_key_concepts_kerberos)」を参照してください。 管理者アカウントには、ドメイン全体に関係する次のアクティビティを実行する権限もあります。 + DNS 設定 (レコード、ゾーン、フォワーダーの追加、削除、更新) を管理する + DNS イベントログを参照する + セキュリティイベントログを参照する ここにリストされているアクションのみが、管理者アカウントに許可されます。また、管理者アカウントには、親 OU 上など、特定の OU 以外のディレクトリ関連のアクションに対するアクセス許可はありません。 **考慮事項** + AWS ドメイン管理者は、 でホストされているすべてのドメインへの完全な管理アクセス権を持ちます AWS。 AWS がシステムに保存するディレクトリ情報を含むコンテンツ AWS を処理する方法の詳細については、 との契約 AWS と[AWS データ保護に関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。 + このアカウントを削除したり、名前を変更したりしないでください。アカウントが不要になった場合は、長いパスワード (64 個以上のランダムな文字) を設定して、アカウントを無効にすることをお勧めします。 **注記** AWS は、ドメイン管理者とエンタープライズ管理者の特権ユーザーとグループを排他的に制御します。これにより、 AWS は ディレクトリの運用管理を実行できます。 ## エンタープライズおよびドメイン管理者の特権のあるアカウント AWS は、組み込みの管理者パスワードを 90 日ごとに自動的にランダムなパスワードにローテーションします。人間が使用するために組み込み管理者パスワードがリクエストされるたびに、 AWS チケットが作成され、 Directory Service チームに記録されます。アカウントの認証情報は暗号化され、安全なチャネルで処理されます。また、管理者アカウントの認証情報は、 Directory Service 管理チームによってのみリクエストできます。 ディレクトリの運用管理を実行するために、 AWS はエンタープライズ管理者およびドメイン管理者権限を持つアカウントを排他的に制御します。これには、Active Directory 管理者アカウントの排他的な制御が含まれます。 は、パスワードボールトを使用してパスワード管理を自動化することで、このアカウント AWS を保護します。管理者パスワードの自動ローテーション中に、 は一時的なユーザーアカウント AWS を作成し、ドメイン管理者権限を付与します。この一時アカウントは、管理者アカウントでパスワードのローテーションが失敗した場合のバックアップとして使用されます。が管理者パスワードを AWS 正常に更新すると、 は一時管理者アカウント AWS を削除します。 通常、 ディレクトリは自動化によって完全に AWS 動作します。自動化プロセスで運用上の問題を解決できない場合は、サポートエンジニアがドメインコントローラー (DC) にサインインして診断を実行 AWS する必要があります。このようなまれに、 はアクセスを許可するリクエスト/通知システム AWS を実装します。このプロセスでは、 AWS オートメーションは、ドメイン管理者のアクセス許可を持つ時間制限付きのユーザーアカウントをディレクトリに作成します。 は、ユーザーアカウントをディレクトリで作業するように割り当てられたエンジニアに AWS 関連付けます。 は、この関連付けをログシステムに AWS 記録し、使用する認証情報をエンジニアに提供します。エンジニアによるアクションはすべて、Windows のイベントログに記録されます。割り当てられた時間が経過すると、ユーザーアカウントはオートメーションによって削除されます。 管理者アカウントアクションをモニタリングするには、ディレクトリのログ転送機能を使用します。この機能では、モニタリングソリューションを実装できる CloudWatch システムに AD セキュリティイベントを転送することができます。詳細については、「[AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化](ms_ad_enable_log_forwarding.md)」を参照してください。 誰かが DC にインタラクティブにログオンすると、セキュリティイベント ID 4624、4672、および 4648 はすべてログに記録されます。イベントビューワー Microsoft 管理コンソール (MMC) を使用すると、ドメインに結合している Windows コンピュータから各 DC の Windows セキュリティイベントログを表示できます。また、[AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化](ms_ad_enable_log_forwarding.md) を行って、すべてのセキュリティイベントログをアカウントの CloudWatch Logs に送信することもできます。 AWS リザーブド OU 内で作成および削除されたユーザーが表示されることがあります。 AWS は、この OU 内のすべてのオブジェクト、およびアクセスおよび管理のためのアクセス許可を委任していないその他の OU またはコンテナの管理とセキュリティを担当します。その OU 内の作成と削除が表示される場合があります。これは、 が自動化 Directory Service を使用してドメイン管理者パスワードを定期的に更新するためです。パスワードがローテーションされると、ローテーションが失敗した場合にバックアップが作成されます。ローテーションが成功すると、バックアップアカウントは自動的に削除されます。また、トラブルシューティングの目的で DCs にインタラクティブアクセスが必要なまれな場合は、 Directory Service エンジニアが使用する一時的なユーザーアカウントが作成されます。エンジニアが作業を完了すると、一時的なユーザーアカウントは削除されます。ディレクトリにインタラクティブな認証情報がリクエストされるたびに、 Directory Service 管理チームに通知されることに注意してください。