翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Managed Microsoft AD を保護する
Managed AWS Microsoft AD を保護するには、パスワードポリシー、多要素認証 (MFA) などの機能、および設定を使用できます。ディレクトリを保護する方法は次のとおりです:
+ AWS Managed Microsoft AD ユーザーに適用できるように、[Active Directory のパスワードポリシーがどのように機能するかを理解](ms_ad_password_policies.md)します。 AWS Managed Microsoft AD パスワードポリシーを管理できるユーザーを委任することもできます。
+ AWS Managed Microsoft AD セキュリティを強化する [MFA を有効にします](ms_ad_mfa.md)。
+ 「[>Secure Socket Layer (SSL)/Transport Layer Security (TLS) (LDAPS) を介した Lightweight Directory Access Protocol を有効にする](ms_ad_ldap.md)」と、LDAP を介した通信が暗号化され、セキュリティが向上します。
+ [AWS Managed Microsoft AD のコンプライアンスを、Federal Risk and Authorization Management Program (FedRAMP) や Payment Card Industry (PCI) Data Security Standard (DSS) などの標準に従って管理します](ms_ad_compliance.md)。 FedRAMP
+ 環境のニーズに合わせて AWS セキュリティグループを変更することで、 [AWS Managed Microsoft AD ネットワークセキュリティ設定> ](ms_ad_network_security.md)を強化します。
+ ニーズに合わせて、証明書ベース認証、セキュアチャネル暗号、プロトコルなどの [AWS Managed Microsoft AD ディレクトリのセキュリティ設定を編集](ms_ad_directory_settings.md)します。
+ [AWS Private Certificate Authority Connector for AD を設定](ms_ad_pca_connector.md)して、 AWS Managed Microsoft AD の証明書を発行および管理できるようにします AWS Private CA。
# AWS Managed Microsoft AD パスワードポリシーについて
AWS Managed Microsoft AD を使用すると、 Managed Microsoft AD ドメインで管理するユーザーのグループに対して、異なるパスワードおよびアカウントロックアウトポリシー ([きめ細かなパスワードポリシー](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)とも呼ばれます) AWS を定義して割り当てることができます。 AWS Managed Microsoft AD ディレクトリを作成すると、デフォルトのドメインポリシーが作成され、Active Directory に適用されます。このポリシーには、以下の設定が含まれます。
****
| ポリシー | 設定 |
| --- | --- |
| 適用されるパスワード履歴 | 24 個のパスワードを記憶 |
| パスワードの最長有効期間 | 42 日間 \$1 |
| パスワードの最短有効期間 | 1 日 |
| パスワードの最小長 | 7 文字 |
| パスワードに一定の複雑さを要求 | 有効 |
| 可逆的暗号化を使用したパスワードの保存 | Disabled |
**注記**
\$1 パスワードにおける 42 日間の最大有効期間は、管理者パスワードにも適用されます。
例えば、機密レベルが低い情報にのみアクセスする従業員には、厳格度の低いポリシー設定を割り当てることができます。機密情報に定期的にアクセスする上級管理者には、より厳格な設定を適用します。
以下のリソースでは、Microsoft Active Directory のきめ細かなパスワードポリシーとセキュリティポリシーに関する詳細情報を提供します。
+ [セキュリティポリシー設定を構成する](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [パスワードの複雑さに関する要件](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [パスワードの複雑さに関するセキュリティ上の考慮事項](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)
AWS には、 AWS Managed Microsoft AD で設定してグループに割り当てることができる詳細なパスワードポリシーのセットが用意されています。これらのポリシーは、標準の Microsoft ポリシーツール ([Active Directory 管理センター (ADAC)](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center) など) を使用して設定できます。Microsoft ポリシーツールの使用を開始するには、[AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール](ms_ad_install_ad_tools.md) を参照してください。
## パスワードポリシーの適用方法
きめ細かなパスワードポリシーの適用方法は、パスワードがリセットされたか変更されたかによって異なります。ドメインユーザーも自分のパスワードを変更できます。必要なアクセス許可を持つ Active Directory 管理者またはユーザーは、[ユーザーのパスワードをリセット](ms_ad_manage_users_groups_reset_password.md)できます。詳細については、以下の図表を参照してください。
****
| ポリシー | パスワードのリセット | パスワードの変更 |
| --- | --- | --- |
| 適用されるパスワード履歴 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードの最長有効期間 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードの最短有効期間 | ![\[No\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-no.png) いいえ | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードの最小長 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
| パスワードに一定の複雑さを要求 | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい | ![\[Yes\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/icon-yes.png) はい |
これらの違いにはセキュリティ上の影響があります。例えば、ユーザーのパスワードがリセットされるたびに、パスワードの実施履歴とパスワードの最小有効期間ポリシーは実施されません。詳細については、「[パスワード履歴を強制適用](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations)」と「[パスワードの最小有効期間](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations)」ポリシーと関わるセキュリティ上の考慮事項に関する Microsoft ドキュメントを参照してください。
## サポートされているポリシー設定
AWS Managed Microsoft AD には、編集不可能な優先順位値を持つ 5 つのきめ細かなポリシーが含まれています。このポリシーでは複数のプロパティの設定が可能で、パスワードの強度を指定したり、ログインが失敗した場合のアカウントロックアウトのアクションを適用したりできます。ポリシーは、ゼロ個以上の Active Directory グループに割り当てることができます。エンドユーザーが複数のグループのメンバーであり、複数のパスワードポリシーが適用されている場合には、Active Directory が優先順位値の最も小さいポリシーを適用します。
### AWS 事前定義されたパスワードポリシー
次の表に、 AWS Managed Microsoft AD ディレクトリに含まれる 5 つのポリシーと、割り当てられた優先順位の値を示します。詳細については、「[優先順位](#precedence)」を参照してください。
****
| ポリシー名 | 優先順位 |
| --- | --- |
| CustomerPSO-01 | 10 |
| CustomerPSO-02 | 20 |
| CustomerPSO-03 | 30 |
| CustomerPSO-04 | 40 |
| CustomerPSO-05 | 50 |
#### パスワードポリシーのプロパティ
パスワードポリシーにおいて以下のプロパティを編集することで、ビジネスからのニーズに応じたコンプライアンス標準に準拠させられます。
+ ポリシー名
+ [適用されるパスワード履歴](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [パスワードの最小長](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [パスワードの最短有効期間](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [パスワードの最長有効期間](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [可逆的暗号化を使用したパスワードの保存](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [パスワードに一定の複雑さを要求](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
これらのポリシーの優先順位値は、変更することはできません。これらの設定がパスワードの適用に及ぼす影響の詳細については、*Microsoft TechNet* ウェブサイトの「[AD DS: Fine-grained password policies](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)」(AD DS: きめ細かなパスワードポリシー) を参照してください。これらのポリシーの一般的な情報については、[Microsoft TechNet](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx) ウェブサイトの「*Password policy*」(パスワードポリシー) を参照してください。
### アカウントロックアウトのポリシー
パスワードポリシーでは以下のプロパティを変更することもでき、Active Directory がログインの失敗後にアカウントをロックアウトするかどうかと、その方法を指定できます。
+ ログオン試行の失敗の許容回数
+ アカウントをロックアウトする期間
+ 失敗したログオン試行の特定期間後のリセット
これらのポリシーの一般的な情報については、*Microsoft TechNet* ウェブサイトの「[Account lockout policy](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx)」(アカウントロックアウトのポリシー) を参照してください。
### 優先順位
優先順位値が低いポリシーほど、その優先順位が高くなります。ユーザーは、パスワードポリシーを Active Directory セキュリティグループに割り当てます。パスワードポリシーは各セキュリティグループに通常 1 つ適用するものですが、単一のユーザーに複数のポリシーを適用することはできます。例えば、`jsmith` は HR グループのメンバーであり、さらに MANAGERS グループのメンバーでもあるとします。**CustomerPSO-05** (優先順位値は 50) を HR グループに割り当て、**CustomerPSO-04** (優先順位値は 40) を MANAGERS に割り当てると、優先順位は **CustomerPSO-04** の方が高いため、Active Directory ではこのポリシーを `jsmith` に適用します。
ユーザーまたはグループに複数のポリシーを割り当てた場合、Active Directory は適用するポリシーを、次のように決定します。
1. ユーザーオブジェクトに直接割り当てたポリシーが適用されます。
1. ユーザーオブジェクトに直接割り当てられたポリシーがない場合には、グループのメンバーに参加することでユーザーが受け取ったすべてのポリシーの中で、優先順位値が最も小さいポリシーが適用されます。
詳細については、*Microsoft TechNet* ウェブサイトの「[AD DS: Fine-grained password policies](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)」(AD DS: きめ細かなパスワードポリシー) を参照してください。
**Topics**
+ [パスワードポリシーの適用方法](#how_password_policies_applied)
+ [サポートされているポリシー設定](#supportedpolicysettings)
+ [AWS Managed Microsoft AD ユーザーへのパスワードポリシーの割り当て](assignpasswordpolicies.md)
+ [AWS Managed Microsoft AD パスワードポリシーを管理できるユーザーを委任する](delegatepasswordpolicies.md)
**関連する AWS セキュリティブログ記事**
+ [Directory Service for AWS Managed Microsoft AD を使用して、セキュリティ基準を満たすためにさらに強力なパスワードポリシーを設定する方法](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
# AWS Managed Microsoft AD ユーザーへのパスワードポリシーの割り当て
[**AWS が委任したきめ細かいパスワードポリシーの管理者**] セキュリティグループのメンバーであるユーザーアカウントは、次の手順に従ってユーザーとセキュリティグループにポリシーを割り当てることができます。
**パスワードポリシーをユーザーに割り当てるには**
1. Managed Microsoft AD ドメインに結合したマネージド EC2 インスタンスから [Active Directory 管理センター (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) を起動します。 AWS
1. **[Tree View]** (ツリービュー) に切り替え、**System\$1Password Settings Container** に移動します。
1. 編集対象の、きめ細かなポリシーをダブルクリックします。**[Add]** (追加) をクリックして、ポリシーのプロパティを編集し、ユーザーまたはセキュリティグループをそのポリシーに追加します。 AWS Managed Microsoft AD にデフォルトで用意された、きめ細かなポリシーの詳細については、「[AWS 事前定義されたパスワードポリシー](ms_ad_password_policies.md#supportedpwdpolicies)」を参照してください。
1. パスワードポリシーが適用されていることを確認するには、次の PowerShell コマンドを実行します。
```
[Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
```
**注記**
結果が不正確になる可能性があるため、`net user` コマンドは使用しないでください。
AWS Managed Microsoft AD ディレクトリで 5 つのパスワードポリシーのいずれかを設定しない場合、Active Directory はデフォルトのドメイングループポリシーを使用します。**Password Settings Container (パスワード設定コンテナ)** の詳細な使用方法については、こちらの [Microsoft ブログ記事](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)を参照してください。
# AWS Managed Microsoft AD パスワードポリシーを管理できるユーザーを委任する
Managed AWS Microsoft AD で作成した特定のユーザーアカウントにパスワードポリシーを管理するアクセス許可を委任するには、そのアカウントを**AWS 委任されたきめ細かなパスワードポリシー管理者**セキュリティグループに追加します。このグループのメンバーに参加したアカウントには、[上記で](ms_ad_password_policies.md#supportedpwdpolicies)示したパスワードポリシーのすべてを、編集および設定する権限が与えられます。
**パスワードポリシーの管理権限を委任するには**
1. Managed Microsoft AD ドメインに結合したマネージド EC2 インスタンスから [Active Directory 管理センター (ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx) を起動します。 AWS
1. [**ツリービュー**] に切り替え、[**AWS の委任グループ**] OU に移動します。この OU の詳細については、「[AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md)」を参照してください。
1. [**AWS が委任したきめ細かいパスワードポリシーの管理者**] ユーザーグループを検索します。使用しているドメインからこのグループに、任意のユーザーまたはグループを追加します。
# AWS Managed Microsoft AD の多要素認証の有効化
AWS Managed Microsoft AD ディレクトリの多要素認証 (MFA) を有効にして、ユーザーがサポートされている Amazon Enterprise アプリケーションにアクセスするための AD 認証情報を指定するときにセキュリティを強化できます。MFA が有効化されている場合、ユーザーは、通常と同じくユーザーネームとパスワード (第 1 要素) を入力した後、仮想 MFA ソリューションまたはハードウェア MFA ソリューションから取得する認証コード (第 2 要素) も入力する必要があります。これらの要素によって、有効なユーザー認証情報に加えて MFA コードをユーザーが提供しない限り、Amazon エンタープライズアプリケーションへのアクセスが許可されないというセキュリティが追加されます。
MFA を有効にするには、MFA ソリューションとして [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) サーバーを使用するか、オンプレミスインフラストラクチャに RADIUS サーバー用の MFA プラグインを実装しておく必要があります。MFA ソリューションでは、ワンタイムパスコード (OTP) を実装する必要があります。ユーザーは、ハードウェアデバイスから、または携帯電話などのデバイスで実行されるソフトウェアから、このコードを取得します、
RADIUS は、業界標準のクライアント/サーバープロトコルであり、ユーザーをネットワークサービスに接続するための認証、認可、アカウント管理の機能を提供します。 AWS Managed Microsoft AD には、MFA ソリューションを実装した RADIUS サーバーに接続する RADIUS クライアントが含まれています。この RADIUS サーバーが、ユーザーネームと OTP コードを検証します。RADIUS サーバーがユーザーを正常に検証すると、 AWS マネージド Microsoft AD は Active Directory に対してユーザーを認証します。Active Directory に対する認証に成功したユーザーは、 AWS アプリケーションにアクセスできるようになります。 AWS Managed Microsoft AD RADIUS クライアントと RADIUS サーバー間の通信では、ポート 1812 を介した通信を有効にする AWS セキュリティグループを設定する必要があります。
Managed AWS Microsoft AD ディレクトリの多要素認証を有効にするには、次の手順を実行します。RADIUS サーバーと Directory Service および MFA を連携させるための設定方法については、「[Multi-Factor·Authentication の前提条件](ms_ad_getting_started.md#prereq_mfa_ad)」を参照してください。
## 考慮事項
AWS Managed Microsoft AD の多要素認証に関する考慮事項を次に示します:
+ Multi-Factor·Authentication は、Simple AD では使用できません。ただし、AD Connector ディレクトリでは、MFA を有効にすることができます。詳細については、「[AD Connector の多要素認証を有効にする](ad_connector_mfa.md)」を参照してください。
+ MFA は AWS Managed Microsoft AD のリージョン機能です。[マルチリージョンレプリケーション](ms_ad_configure_multi_region_replication.md)を使用している場合は、 AWS Managed Microsoft AD のプライマリリージョンでのみ MFA を使用できます。
+ Managed AWS Microsoft AD を外部通信に使用する場合は、これらの通信用に AWS ネットワーク外のネットワークアドレス変換 (NAT) インターネットゲートウェイまたはインターネットゲートウェイを設定することをお勧めします。
+ AWS Managed Microsoft AD と AWS ネットワークでホストされている RADIUS サーバー間の外部通信をサポートする場合は、 にお問い合わせください[サポート](https://console.aws.amazon.com/support/home#/)。
+ WorkSpaces、WorkDocs、Amazon WorkMail、Amazon Quick、 および へのアクセスを含むすべての Amazon Enterprise IT アプリケーション AWS IAM アイデンティティセンター AWS マネジメントコンソール は、MFA で AWS Managed Microsoft AD および AD Connector を使用する場合にサポートされます。MFA を使用するこれらの AWS アプリケーションは、マルチリージョンではサポートされていません。
詳細については、[AWS 「 Managed Microsoft AD とオンプレミス認証情報を使用して AWS サービスの多要素認証を有効にする方法](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)」を参照してください。
+ Amazon Enterprise アプリケーションへの基本的なユーザーアクセス、 AWS シングルサインオン、 AWS マネジメントコンソール の使用を設定する方法については Directory Service、「」および[AWS Managed Microsoft AD から AWS アプリケーションとサービスへのアクセス](ms_ad_manage_apps_services.md)「」を参照してください[AWS Managed Microsoft AD 認証情報を使用した AWS マネジメントコンソール アクセスの有効化](ms_ad_management_console_access.md)。
+ Managed Microsoft AD で Amazon WorkSpaces ユーザーの MFA を有効にする方法、 AWS Managed Microsoft AD とオンプレミス認証情報を使用してサービスの多要素認証を有効にする方法については、次の AWS セキュリティブログ記事を参照してください。 [AWSAWS](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
## AWS Managed Microsoft AD の多要素認証を有効にする
次の手順では、 AWS Managed Microsoft AD の多要素認証を有効にする方法を示します。
1. RADIUS MFA サーバーと AWS Managed Microsoft AD ディレクトリの IP アドレスを特定します。
1. Virtual Private Cloud (VPC) セキュリティグループを編集して、 AWS Managed Microsoft AD IP エンドポイントと RADIUS MFA サーバー間のポート 1812 経由の通信を有効にします。
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. AWS Managed Microsoft AD ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、MFA を有効にするリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Multi-factor authentication]** セクションで、**[Actions]** (アクション)、**[Enable]** (有効化) の順に選択します。
1. **[Enable multi-factor authentication (MFA)]** (Multi-Factor·Authentication (MFA) の有効化) ページで、次の値を指定します。
**[Display label]** (表示ラベル)
ラベル名を指定します。
**[RADIUS server DNS name or IP addresses]** (RADIUS サーバーの DNS 名または IP アドレス)
RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます (例えば、`192.0.0.0,192.0.0.12`)。
RADIUS MFA は、、WorkSpaces AWS マネジメントコンソール、Amazon Quick、Amazon Chime などの Amazon Enterprise アプリケーションおよびサービスへのアクセスを認証する場合にのみ適用されます。 WorkSpaces Amazon Enterprise のアプリケーションとサービスは、マルチリージョンレプリケーションが AWS Managed Microsoft AD 用に設定されている場合、プライマリリージョンでのみサポートされます。EC2 インスタンスで実行されている Windows ワークロード、または EC2 インスタンスにサインインするための MFA は提供されません。 Directory Service は RADIUS チャレンジ/レスポンス認証をサポートしていません。
ユーザーは、ユーザー名とパスワードを入力するときに MFA コードが必要になります。または、ユーザーのプッシュ通知や認証ワンタイムパスワード (OTP) などの MFA out-of-bandを実行するソリューションを使用する必要があります。帯域外 MFA ソリューションでは、ソリューションに合わせて RADIUS タイムアウト値を適切に設定する必要があります。帯域外 MFA ソリューションを使用している場合、ユーザーはサインインページで MFA コードの入力を求められます。この場合、ユーザーはパスワードフィールドと MFA フィールドの両方に、自分のパスワードを入力します。
**[Port]** (ポート)
RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークでは、 Directory Service サーバーからのデフォルトの RADIUS サーバーポート (UDP:1812) 経由のインバウンドトラフィックを許可する必要があります。
**[Shared secret code]** (共有シークレットコード)
RADIUS エンドポイントの作成時に指定された共有シークレットコード。
**[Confirm shared secret code]** (共有シークレットコードの確認)
RADIUS エンドポイントの共有シークレットコードを確認します。
**[Protocol]** (プロトコル)
RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。
**[Server timeout (in seconds)]** (サーバータイムアウト (秒単位))
RADIUS サーバーのレスポンスを待つ時間 (秒)。これは 1~50 の範囲の値にする必要があります。
RADIUS サーバのタイムアウトは、20 秒以下に設定することが推奨されます。20 秒を超えるタイムアウトを使用すると、システムは別の RADIUS サーバで再試行できなくなり、タイムアウトで失敗する可能性があります。
**[Max RADIUS request retries]** (RADIUS リクエストの最大再試行数)
RADIUS サーバーとの通信を試みる回数。これは 0~10 の範囲の値にする必要があります。
Multi-Factor·Authentication は、**[RADIUS Status]** (RADIUS 状態) が **[Enabled]** (有効) に変わると使用できます。
1. **[Enable]** (有効化) を選択します。
# Secure LDAP (LDAPS) の有効化
LDAP (Lightweight Directory Access Protocol) は、Active Directory に対するデータの読み書きに使用される標準の通信プロトコルです。一部のアプリケーションでは、LDAP を使用して Active Directory のユーザーやグループの追加、削除、または検索を行なったり、そのユーザーを認証するための認証情報を転送したりします。すべての LDAP 通信には、クライアント (アプリケーションなど) とサーバー (Active Directory など) が含まれています。
デフォルトでは、LDAP を介した通信は暗号化されません。そのため、悪意のあるユーザーがネットワークモニタリング用のソフトウェアを使用して、送信されるデータパケットを傍受する可能性があります。この傍受を防止するために、通常、多くの企業のセキュリティポリシーでは、すべての LDAP 通信を暗号化することを組織に義務付けています。
この形式のデータ漏洩を軽減するために、 AWS マネージド Microsoft AD には、LDAPS とも呼ばれる Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 経由で LDAP を有効にするオプションがあります。LDAPS を使用するユーザーは、ネットワーク全体のセキュリティを向上させることができます。LDAP 対応アプリケーションと AWS Managed Microsoft AD 間のすべての通信を暗号化することで、コンプライアンス要件を満たすこともできます。
AWS Managed Microsoft AD では、以下のデプロイシナリオで LDAPS がサポートされています。
+ **サーバー側 LDAPS** は、商用または自社製の (LDAP クライアントとして動作する) LDAP 対応アプリケーションと、(LDAP サーバーとして動作する) AWS Managed Microsoft AD との間で、LDAP 通信を暗号化します。詳細については、「[AWS Managed Microsoft AD を使用したサーバー側の LDAPS の有効化](ms_ad_ldap_server_side.md)」を参照してください。
+ **クライアント側の LDAPS**: WorkSpaces などの (LDAP クライアントとして動作する) AWS アプリケーションと、自己管理型 (オンプレミス) Active Directory (LDAP サーバーとして動作する) の間の LDAP 通信を暗号化します。詳細については、「[AWS Managed Microsoft AD を使用したクライアント側の LDAPS の有効化](ms_ad_ldap_client_side.md)」を参照してください。
Microsoft Active Directory Certificate Services の実装の保護に関するベストプラクティスの詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate)」を参照してください。
**Topics**
+ [AWS Managed Microsoft AD を使用したサーバー側の LDAPS の有効化](ms_ad_ldap_server_side.md)
+ [AWS Managed Microsoft AD を使用したクライアント側の LDAPS の有効化](ms_ad_ldap_client_side.md)
# AWS Managed Microsoft AD を使用したサーバー側の LDAPS の有効化
サーバー側のLightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS)サポートは、商用または自社開発の LDAP対応アプリケーションと AWS Managed Microsoft AD ディレクトリ間のLDAP通信を暗号化します。これにより、Secure Sockets Layer (SSL) 暗号化プロトコルを使用してネットワーク全体のセキュリティを強化し、コンプライアンス要件を満たすことができます。
## を使用してサーバー側の LDAPS を有効にする AWS Private Certificate Authority
を使用してサーバー側の LDAPS と認証機関 (CA) サーバーをセットアップおよび設定する方法の詳細については AWS Private CA、「」を参照してください[AWS Managed Microsoft AD の AWS Private CA Connector for AD をセットアップする](ms_ad_pca_connector.md)。
## Microsoft CA を使用したサーバー側 LDAPS の有効化
サーバー側の LDAPS と認証機関 (CA) サーバーをセットアップおよび設定する方法の詳細については、 AWS セキュリティブログの[AWS 「 Managed Microsoft AD Directory のサーバー側の LDAPS を有効にする方法](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)」を参照してください。
ほとんどの設定は、 AWS Managed Microsoft AD ドメインコントローラーの管理に使用されている Amazon EC2 インスタンスから行う必要があります。以下の手順を通じて、 AWS クラウド上にあるドメインの LDAPS を有効化します。
オートメーションを使用してPKIインフラストラクチャを設定する場合は、[Microsoft「パブリックキーインフラストラクチャ on AWS QuickStart ガイド](https://aws.amazon.com/quickstart/architecture/microsoft-pki/)」を使用できます。具体的には、「[Deploy MicrosoftPKI into an existing VPC on AWS](https://aws-quickstart.github.io/quickstart-microsoft-pki/#_deployment_steps)」で、テンプレートをロードする方法に関するガイドの指示に従います。テンプレートをロードした場合には、**[Active Directory Domain Services Type]** (Active Directory ドメインのサービスタイプ) のオプション設定時に、必ず **`AWSManaged`** を選択します。QuickStart ガイドを使用している場合は、直接 [ステップ 3: 証明書テンプレートを作成する](#createcustomcert) に移動できます。
**Topics**
+ [ステップ 1: LDAPS を有効化する権限を委任する](#grantpermsldaps)
+ [ステップ 2: 認証機関を設定する](#setupca)
+ [ステップ 3: 証明書テンプレートを作成する](#createcustomcert)
+ [ステップ 4: セキュリティグループのルールを追加する](#addgrouprules)
### ステップ 1: LDAPS を有効化する権限を委任する
サーバー側の LDAPS を有効にするには、 AWS Managed Microsoft AD ディレクトリの管理者または AWS 委任されたエンタープライズ認証機関管理者グループのメンバーである必要があります。または、デフォルトの管理ユーザー (管理者アカウント) であれば、この権限を保持しています。必要に応じて、LDAPS を設定するために、管理者アカウント以外のユーザーを使用することができます。この場合、そのユーザーを AWS Managed Microsoft AD ディレクトリの管理者または AWS 委任されたエンタープライズ認証機関管理者グループに追加します。
### ステップ 2: 認証機関を設定する
サーバー側の LDAPS を有効にする前に、証明書を作成する必要があります。この証明書は、 AWS Managed Microsoft AD ドメインに参加している Microsoft Enterprise CA サーバーによって発行される必要があります。作成された証明書は、対象ドメインの各ドメインコントローラーにインストールします。この証明書により、ドメインコントローラーの LDAP サービスは LDAP クライアントからの SSL 接続をリッスンし、自動的に承認できます。
**注記**
AWS Managed Microsoft AD を使用したサーバー側の LDAPS は、スタンドアロン CA によって発行された証明書をサポートしていません。また、サードパーティーの認証機関により発行された証明書もサポートしていません。
ドメインの CA の設定または接続には、ビジネスのニーズに応じて以下のオプションを使い分けることができます。
+ **下位サーバーの作成 Microsoft Enterprise CA** – (推奨) このオプションを使用すると、 AWS クラウドに下位MicrosoftEnterprise CAサーバーをデプロイできます。サーバーは、Amazon EC2 を使用することで、既存のルート Microsoft との連携が可能です。下位 を設定する方法の詳細についてはMicrosoftEnterprise CA、「 Managed Microsoft AD ** AD Directory の AWS Microsoftサーバー側の LDAPS を有効にする方法」の「ステップ 4: ディレクトリMicrosoftEnterprise CAに を追加する**」を参照してください。 [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)
+ **ルートの作成 Microsoft Enterprise CA** – このオプションを使用すると、Amazon EC2 を使用して AWS クラウドMicrosoftEnterprise CAにルートを作成し、 AWS Managed Microsoft AD ドメインに結合できます。このルート CA からは、ドメインコントローラーに対し証明書を発行できます。新しいルート CA の設定の詳細については、「 Managed Microsoft AD Directory のサーバー側の LDAPS を有効にする方法」の**「ステップ 3: オフライン CA をインストールして設定**する」を参照してください。 [AWS](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)
EC2 インスタンスをドメインに結合する方法の詳細については、「[Amazon EC2 インスタンスを AWS Managed Microsoft AD に結合する方法](ms_ad_join_instance.md)」を参照してください。
### ステップ 3: 証明書テンプレートを作成する
Enterprise CA の設定後は、Kerberos 認証証明書テンプレートを設定することが可能になります。
**証明書テンプレートを作成するには**
1. **Microsoft Windows サーバーマネージャー** を起動します。**[Tools > Certification Authority]** (ツール > 認証機関) をクリックします。
1. **[Certificate Authority]** (認証機関) ウィンドウで、左サイドペインにある **[Certificate Authority]** (認証機関) ツリーを展開します。**[Certificate Templates]** (証明書テンプレート) を右クリックし、**[Manage]** (管理) を選択します。
1. **[Certificate Templates Console]** (証明書テンプレートコンソール) ウィンドウで、**[Kerberos Authentication]** (Kerberos 認証) を右クリックし、**[Duplicate Template]** (テンプレートの複製) を選択します。
1. **[Properties of New Template] ** (新しいテンプレートのプロパティ) ウィンドウがポップアップ表示されます。
1. **[Properties of New Template]** (新しいテンプレートのプロパティ) ウィンドウで、**[Compatibility]** (互換性) のタブを開いた上で以下を実行します。
1. **[認証機関]** を CA に適合する OS に変更します。
1. **[Resulting changes]** (変更の結果) ウィンドウが表示されたら、**[OK]** をクリックします。
1. **[認証の受信者]** を **[Windows 10/Windows Server 2016]** に変更します。
**注記**
AWS Managed Microsoft AD は を利用していますWindows Server 2019。
1. **[Resulting changes]** (変更の結果) ウィンドウが表示されたら、**[OK]** をクリックします。
1. **[General]** (一般) タブをクリックし、**[Template display name]** (テンプレートの表示名) を、「**LDAPOverSSL**」、または自分が選択した他の名前に変更します。
1. **[Security]** (セキュリティ) タブを開き、**[Group or user names]** (グループ名またはユーザー名) セクションで、**[Domain Controllers]** (ドメイン コントローラー) を選択します。**[ドメインコントローラーのアクセス許可]** セクションで、**[読み取り]**、**[登録]**、**[自動登録]** の **[許可]** チェックボックスが、それぞれオンになっていることを確認します。
1. **[OK]** をクリックして、「**LDAPOverSSL**」(または先に指定した独自の名前) として証明書テンプレートを作成します。**[Certificate Templates Console]** (証明書テンプレートコンソール) ウィンドウを閉じます。
1. **[Certificate Authority]** (認証機関) ウィンドウで、**[Certificate Templates]** (証明書テンプレート) を右クリックした上で、**[New > Certificate Template to Issue]** (新規 > 発行する証明書テンプレート) を選択します。
1. **[Enable Certificate Templates]** (証明書テンプレートの有効化) ウィンドウで、「**LDAPOverSSL**」(または先に指定した名前) を選択し、**[OK]** をクリックします。
### ステップ 4: セキュリティグループのルールを追加する
最後のステップでは、Amazon EC2 コンソールを開き、セキュリティグループのルールを追加する必要があります。これらのルールにより、ドメインコントローラは Enterprise CA に接続して証明書をリクエストできるようになります。これを行うには、ドメインコントローラーからの着信トラフィックを Enterprise CA が承認できるように、インバウンドのルールを追加します。次に、アウトバウンドのルールを追加して、ドメインコントローラーから Enterprise CA へのトラフィックを許可します。
両方のルールが設定されると、ドメインコントローラーは、Enterprise CA に対し証明書を自動的にリクエストし、さらにディレクトリの LDAPS を有効化します。これでドメインコントローラーの LDAP サービスで LDAPS 接続を受け入れる準備が整いました。
**セキュリティグループのルールを設定するには**
1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2)) にアクセスし、管理者の認証情報を使用してサインインを行います。
1. 左側のペインで、**[Network & Security]** (ネットワークとセキュリティ) の **[Security Groups]** (セキュリティセキュリティグループ) をクリックします。
1. メインペインで、CA AWS のセキュリティグループを選択します。
1. **[Inbound]** (インバウンド) タブを開き、**[Edit]** (編集) をクリックします。
1. **Edit inbound rules** (インバウンドのルールの編集) ダイアログボックスで、次の操作を行います。
+ **[Add Rule]** (ルールの追加) をクリックします。
+ **[Type]** (タイプ) では **[All traffic]** (すべてのトラフィック) を、**[Source]** (送信元) では **[Custom]** (カスタム) をそれぞれ選択します。
+ **ソース**の横にあるボックスに、ディレクトリ AWS のセキュリティグループ ( など`sg-123456789`) を入力します。
+ **[保存]** を選択します。
1. 次に、 AWS Managed Microsoft AD ディレクトリ AWS のセキュリティグループを選択します。**[Outbound]** (アウトバウンド) タブを開き、**[Edit]** (編集) をクリックします。
1. **[Edit outbound rules]** (アウトバウンドルールの編集) ダイアログボックスで、次の操作を行います。
+ **[Add Rule]** (ルールの追加) をクリックします。
+ **[Type]** (タイプ) では **[All traffic]** (すべてのトラフィック) を、**[Destination]** (送信先) では **[Custom]** (カスタム) をそれぞれ選択します。
+ 送信**先**の横にあるボックスに CA AWS のセキュリティグループを入力します。
+ **[保存]** を選択します。
LDP ツールを使用して AWS Managed Microsoft AD ディレクトリへの LDAPS 接続をテストできます。LDP ツールには Active Directory Administrative Tools が付属しています。詳細については、「[AWS Managed Microsoft AD 用の Active Directory 管理ツールのインストール](ms_ad_install_ad_tools.md)」を参照してください。
**注記**
LDAPS 接続をテストする前に、下位 CA からドメインコントローラーに証明書が発行されるまで、最大 30 分間待機する必要があります。
サーバー側の LDAPS の詳細については、セキュリティ AWS ブログの[AWS 「 Managed Microsoft AD Directory でサーバー側の LDAPS を有効にする](https://aws.amazon.com/blogs/security/how-to-enable-ldaps-for-your-aws-microsoft-ad-directory/)方法」を参照してください。
# AWS Managed Microsoft AD を使用したクライアント側の LDAPS の有効化
AWS Managed Microsoft AD でのクライアント側の Lightweight Directory Access Protocol Secure Sockets Layer (SSL)/Transport Layer Security (TLS) (LDAPS) サポートは、セルフマネージド (オンプレミス) Microsoft Active Directory (AD) と AWS アプリケーション間の通信を暗号化します。このようなアプリケーションの例には、WorkSpaces AWS IAM アイデンティティセンター、Quick、Amazon Chime などがあります。この暗号化により、組織の ID データの保護を強化し、セキュリティ要件を満たすことができます。
## 前提条件
クライアント側 LDAPS を有効にする前に、次の要件を満たす必要があります。
**Topics**
+ [AWS Managed Microsoft AD とセルフマネージド Microsoft Active Directory の間に信頼関係を作成する](#trust_relationship_MAD_and_self_managed)
+ [Active Directory にサーバー証明書をデプロイする](#ldap_client_side_deploy_server_certs)
+ [認証機関の証明書要件](#ldap_client_side_get_certs_ready)
+ [ネットワーク要件](#ldap_client_side_considerations_enabling)
### AWS Managed Microsoft AD とセルフマネージド Microsoft Active Directory の間に信頼関係を作成する
まず、 AWS Managed Microsoft AD とセルフマネージド Microsoft Active Directory の間に信頼関係を確立して、クライアント側の LDAPS を有効にする必要があります。詳細については、「[AWS Managed Microsoft AD とセルフマネージド AD 間の信頼関係の作成](ms_ad_setup_trust.md)」を参照してください。
### Active Directory にサーバー証明書をデプロイする
クライアント側の LDAPS を有効にするには、Active Directory 内のドメインコントローラーごとに、サーバー証明書を取得しインストールする必要があります。これらの証明書は、LDAP サービスが LDAP クライアントからの SSL 接続をリッスンして自動的に承認するために使用されます。SSL 証明書は、社内の Active Directory 証明書サービス (ADCS) のデプロイから発行されたもの、または商用発行者から購入したものを使用できます。Active Directory サーバー証明書の要件の詳細については、Microsoft のウェブサイト「[LDAP over SSL (LDAPS) Certificate](https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx)」(LDAP over SSL (LDAPS) 証明書) を参照してください。
### 認証機関の証明書要件
クライアント側 LDAPS のオペレーションには、サーバー証明書の発行元を表す認証機関 (CA) 証明書が必要です。LDAP 通信を暗号化するために、CA 証明書は、Active Directory のドメインコントローラーから提示されるサーバー証明書と照合されます。次の CA 証明書の要件に注意してください。
+ クライアント側 LDAPS を有効にするには、エンタープライズ認証機関 (CA) が必要です。Active Directory Certificate Service、サードパーティーの商用認証機関、または [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) を使用できます。Microsoft Enterprise Certificate Authority の詳細については、「[Microsoft ドキュメント](https://learn.microsoft.com/en-us/previous-versions/tn-archive/cc875810(v=technet.10)?redirectedfrom=MSDN)」をご参照ください。
+ 証明書を登録するには、有効期限までに 90 日超の期間があることが必要です。
+ 証明書は、プライバシー強化メール (PEM) 形式である必要がありす。Active Directory 内から CA 証明書をエクスポートする場合は、そのファイル形式として Base64 でエンコードされた X.509 (.CER) を選択します。
+ AWS Managed Microsoft AD ディレクトリごとに最大 5 つの (5) CA 証明書を保存できます。
+ RSASSA-PSS 署名アルゴリズムを使用する証明書はサポートされていません。
+ 信頼される各ドメイン内の、すべてのサーバー証明書にチェーンされる CA 証明書は、登録を済ませておく必要があります。
### ネットワーク要件
AWS アプリケーション LDAP トラフィックは TCP ポート 636 でのみ実行され、LDAP ポート 389 へのフォールバックはありません。ただし、レプリケーション、信頼などをサポートする Windows LDAP 通信は、Windows ネイティブセキュリティを備えた LDAP ポート 389 を引き続き使用します。 AWS Managed Microsoft AD (アウトバウンド) とセルフマネージド Active Directory (インバウンド) のポート 636 で TCP 通信を許可するように AWS セキュリティグループとネットワークファイアウォールを設定します。 AWS Managed Microsoft AD と自己管理型 Active Directory の間で LDAP ポート 389 を、開いたままに維持します。
## クライアント側 LDAPS を有効にする
クライアント側の LDAPS を使用するには、認証期間 (CA) 証明書を AWS Managed Microsoft AD にインポートした上で、ディレクトリの LDAPS を有効にします。この有効化により、 AWS アプリケーションと自己管理型 Active Directory 間のすべての LDAP トラフィックには、Secure Sockets Layer (SSL) チャネルの暗号化が使用されます。
2 つの異なる方法を使用して、ディレクトリのクライアント側 LDAPS を有効にできます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。
**注記**
クライアント側の LDAPS は AWS Managed Microsoft AD のリージョン機能です。「[マルチリージョンレプリケーション](ms_ad_configure_multi_region_replication.md)」を使用している場合、次の手順を各リージョンで個別に適用する必要があります。詳細については、「[グローバル機能とリージョン機能](multi-region-global-region-features.md)」を参照してください。
**Topics**
+ [ステップ 1: で証明書を登録する Directory Service](#ms_ad_registercert)
+ [ステップ 2: 登録ステータスを確認する](#ms_ad_check-registration-status)
+ [ステップ 3: クライアント側 LDAPS を有効にする](#ms_ad_enableclientsideldapssteps)
+ [ステップ 4: LDAPS ステータスを確認する](#ms_ad_check-ldaps-status)
### ステップ 1: で証明書を登録する Directory Service
証明書を登録するには、次のいずれかの方法を使用します Directory Service。
**方法 1: 証明書を Directory Service (AWS マネジメントコンソール) に登録するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合には、証明書を登録するリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Actions]** (アクション) メニューを選択してから、**[Register certificate]** (証明書の登録) を選択します。
1. **[Register a CA certificate]** (CA 証明書を登録する) ダイアログボックスで **[Browse]** (参照) をクリックしてから、証明書を選択し、**[Open]** (開く) をクリックします。
1. **[Register certificate]** (証明書の登録) を選択します。
**方法 2: 証明書を Directory Service (AWS CLI) に登録するには**
+ 以下のコマンドを実行してください。証明書データについては、CA 証明書ファイルの場所を指定します。証明書 ID がレスポンスとして提供されます。
```
aws ds register-certificate --directory-id your_directory_id --certificate-data file://your_file_path
```
### ステップ 2: 登録ステータスを確認する
証明書登録のステータスまたは登録済み証明書のリストを表示するには、次のいずれかの方法を使用します。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録ステータスを確認するには**
1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。
1. **[Registration status]** (登録ステータス) 列に表示される現在の証明書登録状態を確認します。登録ステータスの値が **[Registered]** (登録済み) に変わると、証明書は正常に登録されています。
**方法 2: ( Directory Service AWS CLI) で証明書の登録ステータスを確認するには**
+ 次のコマンドを実行します。ステータス値として `Registered` が返される場合、証明書は正常に登録されています。
```
aws ds list-certificates --directory-id your_directory_id
```
### ステップ 3: クライアント側 LDAPS を有効にする
でクライアント側の LDAPS を有効にするには、次のいずれかの方法を使用します Directory Service。
**注記**
クライアント側 LDAPS を有効にするには、1 つ以上の証明書が正常に登録されている必要があります。
**方法 1: Directory Service (AWS マネジメントコンソール) でクライアント側の LDAPS を有効にするには**
1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。
1. **[Enable]** (有効化) を選択します。このオプションを使用できない場合は、有効な証明書が正常に登録されていることを確認してから、もう一度やり直してください。
1. **[Enable client-side LDAPS]** (クライアント側 LDAPS を有効にする) ダイアログボックスで、**[Enable]** (有効化) を選択します。
**方法 2: Directory Service (AWS CLI) でクライアント側の LDAPS を有効にするには**
+ 以下のコマンドを実行してください。
```
aws ds enable-ldaps --directory-id your_directory_id --type Client
```
### ステップ 4: LDAPS ステータスを確認する
LDAPS ステータスを確認するには、次のいずれかの方法を使用します Directory Service。
**方法 1: LDAPS ステータスを確認するには Directory Service (AWS マネジメントコンソール)**
1. **[Directory details]** (ディレクトリの詳細) ページの **[Client-side LDAPS]** (クライアント側 LDAPS) セクションに移動します。
1. ステータス値が **[Enabled]** (有効) と表示されている場合、LDAPS は正常に設定されています。
**方法 2: LDAPS ステータスを確認するには Directory Service (AWS CLI)**
+ 以下のコマンドを実行してください。ステータス値として `Enabled` が返される場合、LDAPS は正常に設定されています。
```
aws ds describe-ldaps-settings –-directory-id your_directory_id
```
## クライアント側 LDAPS を管理する
LDAPS 設定を管理するには、以下のコマンドを使用します。
2 つの異なる方法を使用して、クライアント側 LDAPS 設定を管理できます。 AWS マネジメントコンソール メソッドまたは AWS CLI メソッドを使用できます。
### 証明書の詳細を表示する
以下のいずれかの方法を使用して、証明書の有効期限を確認します。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の詳細を表示するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書を表示するリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションの **[CA certificates]** (CA 証明書) に、証明書に関する情報が表示されます。
**方法 2: ( Directory Service AWS CLI) で証明書の詳細を表示するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。
```
aws ds describe-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### 証明書の登録解除
以下のいずれかの方法を使用して、証明書を登録解除します。
**注記**
登録されている証明書が 1 つのみの場合は、証明書を登録解除する前に、まず LDAPS を無効にする必要があります。
**方法 1: ( Directory Service AWS マネジメントコンソール) で証明書の登録を解除するには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、証明書の登録を解除するリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Actions]** (アクション) を選択してから、**[Deregister certificate]** (証明書の登録解除) を選択します。
1. **[Deregister a CA certificate]** (CA 証明書を登録解除する) ダイアログボックスで、**[Deregister]** (登録解除) をクリックします。
**方法 2: ( Directory Service AWS CLI) で証明書の登録を解除するには**
+ 以下のコマンドを実行してください。証明書 ID として、`register-certificate` または `list-certificates` から返される識別子を使用します。
```
aws ds deregister-certificate --directory-id your_directory_id --certificate-id your_cert_id
```
### クライアント側 LDAPS の無効化
以下のいずれかの方法を使用して、クライアント側 LDAPS を無効にします。
**方法 1: Directory Service (AWS マネジメントコンソール) でクライアント側の LDAPS を無効にするには**
1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ) をクリックします。
1. ディレクトリのディレクトリ ID リンクを選択します。
1. **[Directory details]** (ディレクトリ詳細) ページで、以下のいずれかの操作を行います。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下に複数のリージョンが表示されている場合は、クライアント側の LDAPS を無効にするリージョンを選択した上で、**[Networking & security]** (ネットワークとセキュリティ) タブを開きます。詳細については、「[プライマリリージョンと追加のリージョン](multi-region-global-primary-additional.md)」を参照してください。
+ **[Multi-Region replication]** (マルチリージョンレプリケーション) の下にリージョンが表示されない場合は、**[Networking & security]** (ネットワークとセキュリティ) タブを選択します。
1. **[Client-side LDAPS]** (クライアント側 LDAPS) セクションで、**[Disable]** (無効化) を選択します。
1. **[Disable client-side LDAPS]** (クライアント側 LDAPS を無効にする) ダイアログボックスで、**[Disable]** (無効化) をクリックします。
**方法 2: Directory Service (AWS CLI) でクライアント側の LDAPS を無効にするには**
+ 以下のコマンドを実行してください。
```
aws ds disable-ldaps --directory-id your_directory_id --type Client
```
## 証明書登録に関する問題
AWS Managed Microsoft AD ドメインコントローラーを CA 証明書に登録するプロセスには、最大 30 分かかる場合があります。証明書の登録で問題が発生し、 AWS Managed Microsoft AD ドメインコントローラーを再起動する場合は、 にお問い合わせください サポート。サポートケースの作成については、「[サポートケースの作成とケース管理](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)」を参照してください。
# AWS Managed Microsoft AD のコンプライアンスを管理する
AWS Managed Microsoft AD を使用して、以下のコンプライアンス要件の対象となる Active Directory 対応アプリケーションを AWS クラウドでサポートできます。ただし、Simple AD を使用すると、アプリケーションはコンプライアンス要件に従いません。
## サポートされるコンプライアンス標準
AWS Managed Microsoft AD は、以下の規格の監査を受けており、コンプライアンス認定を取得する必要があるソリューションの一部として使用できます。
****
| | |
| --- |--- |
| ![\[FedRamp Logo\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/FedRAMP.png) | AWS Managed Microsoft AD は、Federal Risk and Authorization Management Program (FedRAMP) のセキュリティ要件を満たしており、FedRAMP Moderate and High Baseline で FedRAMP Joint Authorization Board (JAB) Provisional Authority to Operate (P-ATO) を取得しています。FedRAMP の詳細については、「[FedRAMP コンプライアンス](https://aws.amazon.com/compliance/fedramp/)」を参照してください。 |
| ![\[PCI Logo\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/PCI.png) | AWS Managed Microsoft AD には、サービスプロバイダーレベル 1 の「PCI (Payment Card Industry) データセキュリティ標準 (DSS) バージョン 3.2 への準拠証明書」があります。製品やサービスを使用して AWS カード所有者データを保存、処理、または送信するお客様は、独自の PCI DSS コンプライアンス証明書を管理する際に AWS Managed Microsoft AD を使用できます。 PCI コンプライアンスパッケージのコピーをリクエストする方法など、 AWS PCI DSS の詳細については、[「PCI DSS レベル 1](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)」を参照してください。重要なのは、PCI DSS バージョン 3.2 標準に準拠するように AWS Managed Microsoft AD できめ細かなパスワードポリシーを設定する必要があります。適用する必要があるポリシーの詳細については、以下の AWS 「Managed Microsoft AD Directory の PCI コンプライアンスを有効にする」というタイトルのセクションを参照してください。 |
| ![\[HIPPA Logo\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/images/HIPAA.jpg) | AWS は、医療保険の相互運用性と説明責任に関する法律 (HIPAA) コンプライアンスプログラムを拡張し、 AWS Managed Microsoft AD を [HIPAA 対応サービス](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/)として含めました。と事業提携契約 (BAA) を締結している場合は AWS、 AWS Managed Microsoft AD を使用して HIPAA 準拠のアプリケーションを構築できます。 AWS は、医療情報の処理と保存 AWS に を活用する方法の詳細に関心のあるお客様向けに、[HIPAA に重点を置いたホワイトペーパー](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf)を提供しています。詳細については、「[HIPAA コンプライアンス](https://aws.amazon.com/compliance/hipaa-compliance/)」を参照してください。 |
## 責任共有
セキュリティ (FedRAMP、HIPAA、PCI へのコンプライアンスを含む) は[責任共有](https://aws.amazon.com/compliance/shared-responsibility-model/)の対象です。 AWS Managed Microsoft AD のコンプライアンスステータスは、 AWS クラウドで実行するアプリケーションに自動的には適用されないことを理解することが重要です。 AWS サービスの使用が標準に準拠していることを確認する必要があります。
AWS Managed Microsoft AD がサポートするさまざまな AWS コンプライアンスプログラムの完全なリストについては、[AWS コンプライアンスプログラムによる対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)を参照してください。
## AWS Managed Microsoft AD ディレクトリの PCI コンプライアンスを有効にする
AWS Managed Microsoft AD ディレクトリの PCI コンプライアンスを有効にするには、 が提供する PCI DSS 準拠証明書 (AOC) および責任の概要ドキュメントで指定されているように、きめ細かなパスワードポリシーを設定する必要があります AWS Artifact。
詳細なパスワードポリシーの使用の詳細については、「[AWS Managed Microsoft AD パスワードポリシーについて](ms_ad_password_policies.md)」を参照してください。
# AWS Managed Microsoft AD ネットワークセキュリティ設定の強化
AWS Managed Microsoft AD ディレクトリ用にプロビジョニングされる AWS セキュリティグループは、 AWS Managed Microsoft AD ディレクトリのすべての既知のユースケースをサポートするために必要な最小限のインバウンドネットワークポートで設定されます。プロビジョニングされた AWS セキュリティグループの詳細については、「」を参照してください[AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md)。
AWS Managed Microsoft AD ディレクトリのネットワークセキュリティをさらに強化するために、以下の一般的なシナリオに基づいて AWS セキュリティグループを変更できます。
**[カスタマードメインコントローラー CIDR]** - この CIDR ブロックは、ドメインオンプレミスドメインコントローラーが存在する場所です。
**カスタマークライアント CIDR** - この CIDR ブロックは、コンピュータやユーザーなどのクライアントが AWS Managed Microsoft AD に対して認証する場所です。 AWS Managed Microsoft AD ドメインコントローラーもこの CIDR ブロックにあります。
**Topics**
+ [AWS アプリケーションは のみをサポートします](#aws_apps_support)
+ [AWS 信頼サポートのあるアプリケーションのみ](#aws_apps_trust_support)
+ [AWS アプリケーションとネイティブ Active Directory ワークロードのサポート](#aws_apps_native_ad_support)
+ [AWS アプリケーションとネイティブ Active Directory ワークロードのサポートと信頼サポート](#aws_apps_native_ad_trust_support)
## AWS アプリケーションは のみをサポートします
すべてのユーザーアカウントは AWS Managed Microsoft AD でのみプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ AWS Client VPN
+ AWS マネジメントコンソール
次の AWS セキュリティグループ設定を使用して、 AWS Managed Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックできます。
**注記**
以下は、この AWS セキュリティグループ設定と互換性がありません。
Amazon EC2 インスタンス
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory での信頼
ドメイン参加済みのクライアントまたはサーバー
**インバウンドルール**
なし。
**アウトバウンドルール**
なし。
## AWS 信頼サポートのあるアプリケーションのみ
すべてのユーザーアカウントは AWS Managed Microsoft AD または信頼できる Active Directory にプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Quick
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ Amazon WorkSpaces
+ AWS Client VPN
+ AWS マネジメントコンソール
Managed AWS Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックするように、プロビジョニングされた AWS セキュリティグループ設定を変更できます。
**注記**
以下は、この AWS セキュリティグループ設定と互換性がありません。
Amazon EC2 インスタンス
Amazon FSx
Amazon RDS for MySQL
Amazon RDS for Oracle
Amazon RDS for PostgreSQL
Amazon RDS for SQL Server
WorkSpaces
Active Directory での信頼
ドメイン参加済みのクライアントまたはサーバー
この設定では、「カスタマードメインコントローラ CIDR」ネットワークのセキュリティを確保する必要があります。
TCP 445 は、信頼の作成時にだけ使用し、信頼の確立後は削除できます。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
**インバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
**アウトバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック | |
## AWS アプリケーションとネイティブ Active Directory ワークロードのサポート
ユーザーアカウントは Managed Microsoft AD AWS でのみプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 インスタンス
+ Amazon FSx
+ Quick
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS マネジメントコンソール
Managed AWS Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックするように、プロビジョニングされた AWS セキュリティグループ設定を変更できます。
**注記**
Active Directory の信頼は、 AWS Managed Microsoft AD ディレクトリとカスタマードメインコントローラー CIDR の間で作成および維持することはできません。
そのためには、「カスタマークライアント CIDR」ネットワークのセキュリティを確保する必要があります。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
**インバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| TCP と UDP | 53 | カスタマークライアント CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマークライアント CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマークライアント CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマークライアント CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマークライアント CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマークライアント CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマークライアント CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマークライアント CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマークライアント CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマークライアント CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマークライアント CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマークライアント CIDR | DFSN と NetLogon | DFS、グループポリシー |
**アウトバウンドルール**
なし。
## AWS アプリケーションとネイティブ Active Directory ワークロードのサポートと信頼サポート
すべてのユーザーアカウントは AWS Managed Microsoft AD または信頼できる Active Directory にプロビジョニングされ、次のようなサポートされている AWS アプリケーションで使用されます。
+ Amazon Chime
+ Amazon Connect
+ Amazon EC2 インスタンス
+ Amazon FSx
+ Quick
+ Amazon RDS for MySQL
+ Amazon RDS for Oracle
+ Amazon RDS for PostgreSQL
+ Amazon RDS for SQL Server
+ AWS IAM アイデンティティセンター
+ WorkDocs
+ Amazon WorkMail
+ WorkSpaces
+ AWS Client VPN
+ AWS マネジメントコンソール
Managed AWS Microsoft AD ドメインコントローラーへの重要でないトラフィックをすべてブロックするように、プロビジョニングされた AWS セキュリティグループ設定を変更できます。
**注記**
「顧客ドメインコントローラー CIDR」と「顧客クライアント CIDR」ネットワークが安全であることを確認する必要があります。
「カスタマードメインコントローラ CIDR」での TCP 445 は、信頼の作成時にのみ使用され、信頼の確立後は削除できます。
「カスタマークライアント CIDR」での TCP 445 は、グループポリシーの処理に必要なため、開いたままにしておきます。
TCP 636 は、SSL 経由で LDAP を使用している場合にのみ必要となります。
この設定エンタープライズ CA を使用する場合は、アウトバウンドルールとして「TCP、443、CA CIDR」を作成する必要があります。
**インバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| TCP と UDP | 53 | カスタマードメインコントローラー CIDR | DNS | ユーザーとコンピュータの認証、名前解決、信頼 |
| TCP と UDP | 88 | カスタマードメインコントローラー CIDR | Kerberos | ユーザーとコンピュータの認証、フォレストレベルの信頼 |
| TCP と UDP | 389 | カスタマードメインコントローラー CIDR | LDAP | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 445 | カスタマードメインコントローラー CIDR | SMB / CIFS | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP と UDP | 464 | カスタマードメインコントローラー CIDR | Kerberos パスワードの変更 / 設定 | レプリケーション、ユーザーとコンピュータの認証、信頼 |
| TCP | 135 | カスタマードメインコントローラー CIDR | レプリケーション | RPC、EPM |
| TCP | 636 | カスタマードメインコントローラー CIDR | LDAP SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 49152 - 65535 | カスタマードメインコントローラー CIDR | RPC | レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 3268 - 3269 | カスタマードメインコントローラー CIDR | LDAP GC および LDAP GC SSL | ディレクトリ、レプリケーション、ユーザーとコンピュータの認証、グループポリシー、信頼 |
| TCP | 9389 | カスタマードメインコントローラー CIDR | SOAP | AD DS ウェブサービス |
| UDP | 123 | カスタマードメインコントローラー CIDR | Windows タイム | Windows タイム、信頼 |
| UDP | 138 | カスタマードメインコントローラー CIDR | DFSN と NetLogon | DFS、グループポリシー |
**アウトバウンドルール**
****
| プロトコル | ポート範囲 | ソース | トラフィックの種類 | Active Directory の使用 |
| --- | --- | --- | --- | --- |
| すべて | すべて | カスタマードメインコントローラー CIDR | すべてのトラフィック | |
# AWS Managed Microsoft AD ディレクトリのセキュリティ設定の編集
AWS Managed Microsoft AD の詳細なディレクトリ設定は、運用ワークロードを増やすことなく、コンプライアンスとセキュリティの要件を満たすように設定できます。ディレクトリ設定では、ディレクトリで使用されるプロトコルと暗号のセキュアチャネル設定を更新できます。たとえば、RC4 や DES などの個々のレガシー暗号、および SSL 2.0/3.0 や TLS 1.0/1.1 などのプロトコルを柔軟に無効にできます。 AWS マネージド Microsoft AD は、ディレクトリ内のすべてのドメインコントローラーに設定をデプロイし、ドメインコントローラーの再起動を管理し、追加の をスケールアウトまたはデプロイするときにこの設定を維持します AWS リージョン。使用できるすべての設定については、「[ディレクトリセキュリティ設定のリスト](#list-ds-settings)」を参照してください。
## ディレクトリセキュリティ設定の編集
任意のディレクトリ設定を構成および編集することができます。
**ディレクトリ設定を編集するには**
1. AWS マネジメントコンソールにサインインし、 で Directory Service コンソールを開きます[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. [**Networking & security**] (ネットワークとセキュリティ) で、[**Directory settings**] (ディレクトリ設定) を見つけ、[**Edit settings**] (設定の編集) を選択します。
1. [**Edit settings**] (設定の編集) で、編集したい設定の [**Value**] (値) を変更します。設定を編集すると、そのステータスは **[Default]** (デフォルト) から **[Ready to Update]** (更新準備完了) に変わります。以前に設定を編集したことがある場合、そのステータスは **[Updated]** (更新済み) から **[Ready to Update]** (更新準備完了) に変わります。次に、**[Review]** (確認) を選択します。
1. [**Review and update settings**] (設定の確認と更新) で、[**Directory settings**] (ディレクトリ設定) を調べ、新しい値がすべて正しいことを確認します。設定にその他の変更を加えたい場合は、[**Edit settings**] (設定の編集) を選択します。変更を加え、新しい値を実装する準備ができたら、**[設定を更新]** を選択します。次に、ディレクトリ ID ページに戻ります。
**注記**
**[Directory settings]** (ディレクトリ設定) で、更新された設定の **[Status]** (ステータス) を確認できます。設定が実装されている間、**[Status]** (ステータス) には **[Updating]** (更新中) と表示されます。設定で **[Status]** (ステータス) に **[Updating]** (更新中) と表示されている間は、他の設定を編集することができません。設定が編集内容で正常に更新された場合、**[Status]** (ステータス) に **[Updated]** (更新済み) と表示されます。設定が編集内容で更新されなかった場合、**[Status]** (ステータス) に **[Failed]** (失敗) と表示されます。
## ディレクトリセキュリティ設定が失敗した
設定の更新中にエラーが発生した場合、[**Status**] (ステータス) に [**Failed**] (失敗) と表示されます。失敗ステータスでは、設定は新しい値に更新されず、元の値が実装されたままになります。これらの設定の更新を再試行するか、以前の値に戻すことができます。
**更新が失敗した設定を解決するには**
+ **[Directory settings]** (ディレクトリ設定) で、**[Resolve failed settings]** (失敗した設定を解決する) を選択します。次に、以下のいずれかを行います。
+ 設定を失敗状態の前の値に戻すには、**[Revert failed settings]** (失敗した設定を元に戻す) を選択します。次に、ポップアップモーダルで **[Revert]** (元に戻す) を選択します。
+ ディレクトリ設定の更新を再試行するには、**[Retry failed settings]** (失敗した設定を再試行する) を選択します。失敗した更新を再試行する前に、ディレクトリ設定にさらに変更を加える場合は、**[Continue editing]** (編集を続行) を選択します。**[Review and retry failed updates]** (失敗した更新を確認して再試行する) で、**[Update settings]** (設定の更新) を選択します。
## ディレクトリセキュリティ設定のリスト
以下のリストは、使用可能なすべてのディレクトリセキュリティ設定のタイプ、設定名、API 名、可能性のある値、および設定の説明を示しています。
他のすべてのセキュリティ設定が無効な場合、TLS 1.2 と AAES 256/256 がデフォルトのディレクトリセキュリティ設定です。これらを無効にすることはできません。
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)
# AWS Managed Microsoft AD ユーザーの初回認証 (PKINIT) 用のパブリックキー暗号化を有効にする
AWS Managed Microsoft AD ディレクトリは、デフォルトで強力な証明書バインディングを使用します。そのためには、証明書と AD オブジェクト間の明示的なマッピングが必要です。 AWS Managed Microsoft AD では、次のマッピングが強力と見なされます。
+ `altSecurityIdentities` 発行者とシリアル番号
+ `altSecurityIdentities` サブジェクトキー識別子
+ `altSecurityIdentities` パブリックキーの SHA1 ハッシュ
これらの属性により強力な証明書マッピングが可能になり、Active Directory で定義された明示的な証明書certificate-to-userベースの認証のセキュリティが向上します。これにより、証明書ベースの特権エスカレーション攻撃を防ぐことができます。
この手順を使用して、証明書認証機能を維持しながら特権エスカレーション攻撃を防ぐのに役立つ強力な証明書バインディングを設定できます。
詳細については、Microsoft Support ドキュメントの「[Microsoft KB5014754: Windows ドメインコントローラーでの証明書ベースの認証の変更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)」を参照してください。
## 前提条件
+ 認証局が設定された AWS Managed Microsoft AD ディレクトリ
+ Active Directory 環境への管理アクセス
+ Active Directory のモジュールを使用した PowerShell
+ AD オブジェクトにマッピングする証明書
## AltSecurityIdentity 属性をマッピングする
1. 証明書情報に基づいて、次のいずれかの `AltSecurityIdentity` マッピング方法を選択します。
+ **SHA1 ハッシュ** – 証明書のパブリックキーの SHA1 ハッシュを使用する
SHA1 ハッシュマッピングでは、証明書ハッシュを抽出し、ユーザーオブジェクトに適用します。
```
$Username = 'YourUsername'
$cert = certutil -dump "YourCertificate.cer"
$certHash = ($cert | Select-String -Pattern "(sha1):*" |
Select-String -Pattern "Cert").ToString().TrimStart('Cert Hash(sha1): ').Replace(' ','')
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$CertHash"}
```
+ **発行者とシリアル番号** – 証明書の発行者名とシリアル番号を使用します。
発行者とシリアル番号のマッピングでは、証明書の発行者とシリアル番号を使用します。
```
$Username = 'YourUsername'
$IssuerName = 'YourCertificateIssuer'
$SerialNumber = 'YourCertificateSerialNumber'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$IssuerName$SerialNumber"}
```
+ **サブジェクトキー識別子** – 証明書のサブジェクトキー識別子拡張を使用します
サブジェクトキー識別子マッピングには、証明書のサブジェクトキー識別子を使用します。
```
$Username = 'YourUsername'
$SubjectKeyIdentifier = 'YourSubjectKeyIdentifier'
Set-ADUser -Identity $Username -Add @{'altSecurityIdentities'="X509:$SubjectKeyIdentifier"}
```
1. マッピングが正常に適用されたことを確認します。
```
Get-ADUser -Identity $Username -Properties altSecurityIdentities |
Select-Object -ExpandProperty altSecurityIdentities
```
1. Active Directory レプリケーションが完了するまで (通常は 15~30 秒) 待ってから、証明書認証をテストします。
## 例: AltSecurityIdentity 属性をマッピングする一括証明書
次の例は、認証機関から複数のユーザー証明書の `AltSecurityIdentity` 属性をマッピングする方法を示しています。
```
$CertificateTemplateName = 'User'
$Now = $((Get-Date).ToString($(Get-culture).DateTimeFormat.ShortDatePattern))
$Restrict = "Disposition=20,NotAfter>=$Now,Certificate Template=$CertificateTemplateName"
$Out = "SerialNumber,Certificate Hash,User Principal Name,RequesterName,CommonName,CertificateTemplate,NotBefore,NotAfter"
$Certs = certutil -view -restrict $Restrict -out $Out csv | ConvertFrom-CSV
$UserSha1HashMapping = @{}
ForEach ($Cert in $Certs) {
$UPN = $Cert.'User Principal Name'
$Username, $Domain = $UPN.Split('@')
$CertificateThumbprint = ($Cert.'Certificate Hash').Replace(' ','')
$AdUserObject = Get-ADUser -Identity $Username
If ($AdUserObject -And $AdUserObject.Count -gt 1) {
Write-Output "Unable to map user: $Username, multiple user objects found"
Continue
}
If ($AdUserObject) {
If ($UserSha1HashMapping.Keys -Contains $Username) {
$UserSha1HashMapping[$Username] += $CertificateThumbprint
} Else {
$UserSha1HashMapping[$Username] = @($CertificateThumbprint)
}
}
}
ForEach ($User in $UserSha1HashMapping.Keys) {
Write-Output "Mapping altSecurityIdentity for $User"
$UserObject = Get-ADUser -Identity $User | Get-ADObject -Properties 'altSecurityIdentities'
$altSecurityIdentities = $UserObject.altSecurityIdentities
ForEach ($thumbprint in $UserSha1HashMapping[$User]) {
$SHA1PUKEY = "X509:$thumbprint"
If ($altSecurityIdentities -Contains $SHA1PUKEY) {
Write-Output "Skipping $thumbprint, already mapped."
Continue
}
Write-Output "Adding $thumbprint to $User as altSecurityIdentity"
Set-ADUser -Identity $User -Add @{'altSecurityIdentities'=$SHA1PUKEY}
}
}
```
## 次の手順
+ マッピングされた証明書を使用して証明書ベースの認証をテストする
+ マッピングされた証明書を認証に使用するようにアプリケーションを設定する
+ 認証イベント用 [AWS Managed Microsoft AD のモニタリング](ms_ad_monitor.md)
# AWS Managed Microsoft AD の AWS Private CA Connector for AD をセットアップする
AWS Managed Microsoft AD を [AWS Private Certificate Authority (CA)](https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-ad.html) と統合して、Active Directory ドメインコントローラー、ドメインに参加しているユーザー、グループ、マシンの証明書を発行および管理できます。Active Directory 用 AWS Private CA コネクタを使用すると、ローカルエージェントまたはプロキシサーバーをデプロイ、パッチ適用、更新することなく、セルフマネージド型エンタープライズ CAs の完全マネージド型 AWS Private CA ドロップイン置換を使用できます。
ディレクトリと AWS Private CA の統合を設定するには、 Directory Service コンソール、 AWS Private CA Connector for Active Directory コンソール、または [https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html](https://docs.aws.amazon.com/pca-connector-ad/latest/APIReference/API_CreateTemplate.html) API を呼び出します。 AWS Private CA Connector for Active Directory コンソールを使用してプライベート CA 統合を設定するには、[「コネクタテンプレートの作成](https://docs.aws.amazon.com/privateca/latest/userguide/create-ad-template.html)」を参照してください。 Directory Service コンソールからこの統合を設定する方法については、次の手順を参照してください。
## AWS Private CA Connector for AD のセットアップ
**Private CA Connector for Active Directory を作成するには**
1. にサインイン AWS マネジメントコンソール し、 で Directory Service コンソールを開きます[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[アプリケーション管理]** タブと **[AWS アプリケーションとサービス]** セクションで、**[AWS Private CA Connector for AD]** を選択します。
1. **[Active Directory のプライベート CA 証明書を作成する]** ページで、Active Directory Connector のプライベート CA を作成するステップを完了します。
詳細については、「[コネクタの作成](https://docs.aws.amazon.com/privateca/latest/userguide/create-connector-for-ad.html)」を参照してください。
## AWS Private CA Connector for AD の表示
**Private CA Connector の詳細を表示するには**
1. にサインイン AWS マネジメントコンソール し、 で Directory Service コンソールを開きます[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。
1. **[Directories]** (ディレクトリ) ページで、ディレクトリ ID を選択します。
1. **[アプリケーション管理]** タブと **[AWS アプリケーションとサービス]** セクションで、ユーザーの Private CA Connector とそれに関連するプライベート CA を表示します。以下のフィールドが表示されます。
1. **AWS Private CA コネクタ ID** – AWS Private CA コネクタの一意の識別子。それを選択して、その詳細ページを表示します。
1. **AWS Private CA subject** – CA の識別名に関する情報。それを選択して、その詳細ページを表示します。
1. **ステータス** – AWS Private CA Connector のステータスチェックの結果と AWS Private CA:
+ **[アクティブ]** – 両方のチェックが合格
+ **[1/2 チェックが失敗]** – 1 つのチェックが失敗
+ **[失敗]** — 両方のチェックが失敗
失敗ステータスの詳細については、ハイパーリンクにカーソルを合わせると、失敗したチェックが表示されます。
1. **[DC 証明書の登録ステータス]** – ドメインコントローラー証明書のステータスチェック:
+ **[有効]** — 証明書の登録が有効になっている
+ **[無効]** – 証明書の登録は無効になっている
1. **作成日** – AWS Private CA コネクタが作成された日時。
詳細については、「[コネクタの詳細表示](https://docs.aws.amazon.com/privateca/latest/userguide/view-connector-for-ad.html)」を参照してください。
次の表は、 を使用した AWS Managed Microsoft AD のドメインコントローラー証明書登録のさまざまなステータスを示しています AWS Private CA。
| DC 登録ステータス | 説明 | 必要なアクション |
| --- | --- | --- |
| 有効 | ドメインコントローラー証明書がディレクトリに正常に登録されました。 | 対処は必要ありません。 |
| 失敗 | ディレクトリのドメインコントローラー証明書の登録の有効化または無効化に失敗しました。 | 有効化アクションが失敗した場合は、ドメインコントローラー証明書をオフにして再試行し、再度オンにします。無効化アクションが失敗した場合は、ドメインコントローラー証明書をオンにして再試行し、もう一度オフにします。再試行に失敗した場合は、 AWS サポートにお問い合わせください。 |
| [障害] | ドメインコントローラーには、 AWS Private CA エンドポイントとの通信に関するネットワーク接続の問題があります。 | AWS Private CA VPC エンドポイントと S3 バケットポリシーをチェックして、ディレクトリとのネットワーク接続を許可します。詳細については、[AWS 「プライベート認証機関の例外メッセージのトラブルシューティング](https://docs.aws.amazon.com/privateca/latest/userguide/PCATsExceptions.html)」および[AWS Private CA 「証明書失効問題のトラブルシューティング](https://docs.aws.amazon.com/privateca/latest/userguide/troubleshoot-certificate-revocation.html)」を参照してください。 |
| Disabled | ディレクトリのドメインコントローラー証明書の登録が正常にオフになりました。 | 対処は必要ありません。 |
| 無効化 | ドメインコントローラー証明書の登録の無効化が進行中です。 | 対処は必要ありません。 |
| 有効化 | ドメインコントローラー証明書の登録の有効化が進行中です。 | 対処は必要ありません。 |
## AD ポリシーの設定
AWS Private CA Connector for AD は、 AWS Managed Microsoft AD ドメインコントローラーとオブジェクトが証明書をリクエストおよび受信できるように設定する必要があります。が AWS Managed Microsoft AD オブジェクトに証明書 AWS Private CA を発行できるように、グループポリシーオブジェクト ([GPO](https://learn.microsoft.com/previous-versions/windows/desktop/policy/group-policy-objects)) を設定します。
### ドメインコントローラーの Active Directory ポリシーの設定
**ドメインコントローラーの Active Directory ポリシーを有効にする**
1. **[ネットワークとセキュリティ]** タブを開きます。
1. **[AWS Private CA コネクタ]** を選択します。
1. ディレクトリにドメインコントローラー証明書を発行する AWS Private CA サブジェクトにリンクされたコネクタを選択します。
1. **[アクション]**、**[ドメインコントローラー証明書を有効にする]** の順に選択します。
**重要**
更新が遅れないように、ドメインコントローラー証明書を有効にする前に有効なドメインコントローラーテンプレートを設定します。
ドメインコントローラー証明書の登録を有効にすると、ディレクトリのドメインコントローラーは AWS Private CA Connector for AD から証明書をリクエストして受信します。
ドメインコントローラー証明書 AWS Private CA の発行を変更するには、まず新しい AWS Private CA Connector for AD を使用して新しい AWS Private CA をディレクトリに接続します。新しい で証明書登録を有効にする前に AWS Private CA、既存の証明書登録をオフにします。
**ドメインコントローラー証明書をオフにする**
1. **[ネットワークとセキュリティ]** タブを開きます。
1. **[AWS Private CA コネクタ]** を選択します。
1. ディレクトリにドメインコントローラー証明書を発行する AWS Private CA サブジェクトにリンクされたコネクタを選択します。
1. **[アクション]**、**[ドメインコントローラー証明書を無効にする]** の順に選択します。
### ドメインに参加しているユーザー、コンピュータ、マシンの Active Directory ポリシーの設定
**グループポリシーオブジェクトを設定する**
1. AWS Managed Microsoft AD 管理者インスタンスに接続し、**スタート**メニューから [Server Manager](https://learn.microsoft.com/windows-server/administration/server-manager/server-manager) を開きます。
1. **[ツール]** で、**[グループポリシー管理]** を選択します。
1. **[フォーレストとドメイン]** で、サブドメイン組織単位 (OU) を検索し (例えば、[AWS Managed Microsoft AD の作成](ms_ad_getting_started.md#ms_ad_getting_started_create_directory) で説明されている手順に従っている場合、サブドメイン組織単位は `corp` になります)、サブドメイン OU を右クリックします。**[このドメインに GPO を作成してここにリンクする]** を選択し、名前に PCA GPO を入力します。[**OK**] を選択してください。
1. 新しく作成された GPO は、サブドメイン名の後に表示されます。`PCA GPO` を右クリックして、**[編集]** を選択します。ダイアログボックスが開き、「これはリンクであり、変更は全体に適用されます」という警告メッセージが表示されたら、**[OK]** を選択してメッセージを了承して続行します。**[グループポリシー管理エディター]** が開きます。
1. **[グループポリシー管理エディター]** で、**[コンピュータの設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] (フォルダを選択)** に移動します。
1. **[オブジェクトのタイプ]** で **[証明書サービスクライアント - 証明書登録ポリシー]** を選択します。
1. **[証明書サービスクライアント – 証明書登録ポリシー]** ウィンドウで、**[設定モデル]** を **[有効]** に変更します。
1. **[Active Directory 登録ポリシー]** が オン で、**[有効]** になっていることを確認します。**[Add]** (追加) を選択します。
1. **[証明書登録ポリシーサーバー]** ダイアログボックスを開きます。コネクタを作成したときに生成された証明書登録ポリシーサーバーエンドポイントを **[登録サーバーポリシー URI を入力]** フィールドに入力します。**[認証タイプ]** は **[Windows 統合]** のままにします。
1. **[検証]** を選択します。検証が成功したら、**[追加]** を選択します。
1. **[証明書サービスクライアント – 証明書登録ポリシー]** に戻り、新しく作成したコネクタの横にあるダイアログボックスを選択して、コネクタをデフォルトの登録ポリシーにします。
1. **[Active Directory 登録ポリシー]** を選択し、**[削除]** を選択します。
1. 確認ダイアログボックスで **[はい]** を選択して LDAP ベースの認証を削除します。
1. **[証明書サービスクライアント] > [証明書登録ポリシー]** ウィンドウで **[適用]** と **[確認]** を選択し、閉じます。次に、ウィンドウを閉じます。
1. **[パブリックキーポリシー]フォルダーの**[オブジェクトの種類]**で「Certificate Services Client – 自動登録」を選択します。**
1. **[設定モデル]** オプションを **[有効]** に変更します。
1. **[期限切れの証明書を更新する]** と **[証明書を更新する]** の両方が選択されていることを確認します。他の設定はそのままにします。
1. **[適用]**、**[確認]** の順に選択し、ダイアログボックスを閉じます。
次に、**[ユーザー設定] > [ポリシー] > [Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー]** セクションのステップ 6~17 を繰り返して、ユーザー設定のパブリックキーポリシーを設定します。
GPOs とパブリックキーポリシーの設定が完了すると、ドメイン内のオブジェクトは AWS Private CA Connector for AD から証明書をリクエストし、 によって発行された証明書を受け取ります AWS Private CA。
## 証明書 AWS Private CA の発行の確認
AWS Managed Microsoft AD の証明書を発行 AWS Private CA するために を更新するプロセスには、最大 8 時間かかる場合があります。
次のいずれかを試すことができます。
+ この期間を待つことができます。
+ から証明書を受信するように設定された AWS Managed Microsoft AD ドメイン参加マシンを再起動できます AWS Private CA。その後、 ドキュメントの手順に従って、 AWS Private CA が AWS Managed Microsoft AD ドメインのメンバーに証明書を発行したことを確認できます[https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in](https://learn.microsoft.com/dotnet/framework/wcf/feature-details/how-to-view-certificates-with-the-mmc-snap-in)。
+ 次のPowerShellコマンドを使用して、 AWS Managed Microsoft AD の証明書を更新できます。
```
certutil -pulse
```