翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Managed Microsoft AD の開始方法
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD AWS クラウド は、 Microsoft Active Directoryでフルマネージド型 を作成し、WindowsServer 2019 を搭載し、2012 R2 フォレストおよびドメインの機能レベルで動作します。 AWS Managed Microsoft AD でディレクトリを作成すると、 は 2 つのドメインコントローラー Directory Service を作成し、ユーザーに代わって DNS サービスを追加します。ドメインコントローラーは、1 つの Amazon VPC の異なるサブネットに作成されます。この冗長性により、障害が発生してもディレクトリに確実にアクセスできます。さらに追加のドメインコントローラーが必要になれば、後で追加できます。詳細については、「[AWS Managed Microsoft AD 用の追加のドメインコントローラーのデプロイ](ms_ad_deploy_additional_dcs.md)」を参照してください。

 AWS Managed Microsoft AD のデモと概要については、次のYouTube動画を参照してください。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [AWS Managed Microsoft AD を作成するための前提条件](#ms_ad_getting_started_prereqs)
+ [AWS IAM アイデンティティセンター 前提条件](#prereq_aws_sso_ms_ad)
+ [Multi-Factor·Authentication の前提条件](#prereq_mfa_ad)
+ [AWS Managed Microsoft AD の作成](#ms_ad_getting_started_create_directory)
+ [AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md)
+ [AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md)

## AWS Managed Microsoft AD を作成するための前提条件
<a name="ms_ad_getting_started_prereqs"></a>

 AWS Managed Microsoft AD Active Directory を作成するには、以下を含む Amazon VPC が必要です。
+ 少なくとも 2 つのサブネット。各サブネットはそれぞれ異なるアベイラビリティーゾーンに属し、同一のネットワークタイプである必要があります。

  VPC には IPv6 を使用できます。詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[VPC の IPv6 サポート](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html)」を参照してください。
+ VPC にはデフォルトのハードウェアテナンシーが必要です。
+ 198.18.0.0/15 アドレス空間のアドレスを使用して VPC に AWS Managed Microsoft AD を作成することはできません。

 AWS Managed Microsoft AD ドメインを既存のオンプレミス Active Directory ドメインと統合する必要がある場合は、オンプレミスドメインのフォレストとドメインの機能レベルを Windows Server 2003 以上に設定する必要があります。

Directory Service は 2 つの VPC 構造を使用します。ディレクトリを構成する EC2 インスタンスは、 AWS アカウント外で実行され、 によって管理されます AWS。これらには、2 つのネットワークアダプタ (`ETH0` および `ETH1`) があります。`ETH0` は管理アダプタで、アカウント外部に存在します。`ETH1` はアカウント内で作成されます。

ディレクトリの ETH0 ネットワークの管理 IP 範囲は 198.18.0.0/15 です。

 AWS 環境と AWS Managed Microsoft AD を作成する方法のチュートリアルについては、「」を参照してください[AWS Managed Microsoft AD テストラボのチュートリアル](ms_ad_tutorial_test_lab.md)。

## AWS IAM アイデンティティセンター 前提条件
<a name="prereq_aws_sso_ms_ad"></a>

 AWS Managed Microsoft AD で IAM Identity Center を使用する予定がある場合は、以下が満たされていることを確認する必要があります。
+  AWS Managed Microsoft AD ディレクトリは、 AWS 組織の管理アカウントに設定されます。
+ IAM Identity Center のインスタンスは、 AWS Managed Microsoft AD ディレクトリがセットアップされているのと同じリージョンにあります。

詳細については、AWS IAM アイデンティティセンター ユーザーガイドの「[IAM Identity Center prerequisites](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html)」を参照してください。**

## Multi-Factor·Authentication の前提条件
<a name="prereq_mfa_ad"></a>

 AWS Managed Microsoft AD ディレクトリで多要素認証をサポートするには、次の方法でオンプレミスまたはクラウドベースの [Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS) (RADIUS) サーバーを設定して、 の AWS Managed Microsoft AD ディレクトリからのリクエストを受け入れる必要があります AWS。

1. RADIUS サーバーで、両方の AWS Managed Microsoft AD ドメインコントローラー (DCs) を表す 2 つの RADIUS クライアントを作成します AWS。次の一般的なパラメータ (RADIUS サーバーが異なる場合があります) を使用して両方のクライアントを設定する必要があります。
   + **アドレス (DNS または IP)**: これは AWS Managed Microsoft AD DCs。どちらの DNS アドレスも、MFA を使用する予定の AWS Managed Microsoft AD ディレクトリ**の詳細**ページの AWS Directory Service Console にあります。表示される DNS アドレスは、 で使用される AWS Managed Microsoft AD DCs の両方の IP アドレスを表します AWS。
**注記**  
RADIUS サーバーが DNS アドレスをサポートしている場合は、RADIUS クライアント設定を 1 つだけ作成する必要があります。それ以外の場合は、 AWS Managed Microsoft AD DC ごとに 1 つの RADIUS クライアント設定を作成する必要があります。
   + **ポート番号**: RADIUS サーバーが RADIUS クライアント接続を受け付けるポート番号を設定します。標準の RADIUS ポートは 1812 です。
   + **共有シークレット**: RADIUS サーバーの RADIUS クライアントとの接続に使用される共有シークレットを入力または生成します。
   + **プロトコル**: AWS Managed Microsoft AD DCs と RADIUS サーバーの間で認証プロトコルを設定する必要がある場合があります。サポートされているプロトコルは、PAP、CHAP MS-CHAPv1、および MS-CHAPv2 です。非常に強力な 3 つのオプションのセキュリティを用意している MS-CHAPv2 を推奨します。
   + **アプリケーション名**: これは一部の RADIUS サーバーでは必須ではなく、通常はメッセージまたはレポートでアプリケーションを識別します。

1. RADIUS クライアント (AWS マネージド Microsoft AD DCsDNS アドレス、ステップ 1 を参照) から RADIUS サーバーポートへのインバウンドトラフィックを許可するように既存のネットワークを設定します。

1.  AWS Managed Microsoft AD ドメインの Amazon EC2 セキュリティグループに、前に定義した RADIUS サーバーの DNS アドレスとポート番号からのインバウンドトラフィックを許可するルールを追加します。詳細については、「*EC2 ユーザーガイド*」の「[セキュリティグループへのルールの追加](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule)」を参照してください。

MFA で AWS Managed Microsoft AD を使用する方法の詳細については、「」を参照してください[AWS Managed Microsoft AD の多要素認証の有効化](ms_ad_mfa.md)。

## AWS Managed Microsoft AD の作成
<a name="ms_ad_getting_started_create_directory"></a>

新しい AWS Managed Microsoft AD Active Directory を作成するには、次の手順を実行します。この手順を開始する前に、「[AWS Managed Microsoft AD を作成するための前提条件](#ms_ad_getting_started_prereqs)」で定義されている前提条件を満たしていることを確認します。

**AWS Managed Microsoft AD を作成するには**

1. [AWS Directory Service コンソール](https://console.aws.amazon.com/directoryservicev2/)のナビゲーションペインで、**[Directories]** (ディレクトリ)、**[Set up directory]** (ディレクトリの設定) の順に選択します。

1. **[Select directory type]** (ディレクトリタイプの選択) ページで **[AWS Managed Microsoft AD]** を選択してから、**[Next]** (次へ) をクリックします。

1. **[Enter directory information]** (ディレクトリ情報の入力) ページに、以下の情報を指定します。  
**エディション**  
 AWS Managed Microsoft AD の **Standard Edition** または **Enterprise Edition** から選択します。エディションの詳細については、「[AWS Directory Service for Microsoft Active Directory](what_is.md#microsoftad)」を参照してください。  
**[Directory DNS name]** (ディレクトリの DNS 名)  
ディレクトリの完全修飾名 (例: `corp.example.com`)。  
DNS に Amazon Route 53 を使用する予定の場合、 AWS Managed Microsoft AD のドメイン名は Route 53 ドメイン名とは異なる必要があります。Route 53 と AWS Managed Microsoft AD が同じドメイン名を共有している場合、DNS 解決の問題が発生する可能性があります。  
**[Directory NetBIOS name]** (ディレクトリの NetBIOS 名)  
ディレクトリの短縮名 (例: `CORP`)。  
**[Directory description]** (ディレクトリの説明)  
必要に応じて、ディレクトリの説明。この説明は、 AWS Managed Microsoft AD の作成後に変更できます。  
**管理者パスワード**  
ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名 `Admin` とこのパスワードを使用して管理者アカウントが作成されます。 AWS Managed Microsoft AD の作成後に管理者パスワードを変更できます。  
パスワードには、「admin」という単語を含めることはできません。  
ディレクトリ管理者のパスワードは大文字と小文字が区別され、8 文字以上 64 文字以下の長さにする必要があります。また、次の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があります。  
   + 小文字 (a〜z)
   + 大文字 A〜Z
   + 数字 (0〜9)
   + アルファベットと数字以外の文字 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)  
**[Confirm password]** (パスワードを確認)  
管理者のパスワードをもう一度入力します。  
**(オプション) ユーザーとグループの管理**  
から AWS Managed Microsoft AD のユーザーとグループの管理を有効にするには AWS マネジメントコンソール、 **でユーザーとグループの管理を選択します AWS マネジメントコンソール**。ユーザーおよびグループ管理の使用方法の詳細については、「[AWS Managed Microsoft AD ユーザーとグループを AWS マネジメントコンソール、 AWS CLI、または で管理する AWS Tools for PowerShell](ms_ad_manage_users_groups_procedures.md)」を参照してください。

1. **[Choose VPC and subnets]** (VPC とサブネットの選択) ページで、次の情報を指定して **[Next]** (次へ) をクリックします。  
**[VPC]**  
ディレクトリ用の VPC を選択します。  
**ネットワークの種類**  
VPC とサブネットに関連付けられたインターネットプロトコル (IP) アドレス指定システム。  
既存の VPC に関連付けられている CIDR ブロックを選択します。サブネット内のリソースは、IPv4 のみ、IPv6 のみ、または IPv4 と IPv6 の両方 (デュアルスタック) を使用するように設定できます。詳細については、「*Amazon Virtual Private Cloud ユーザーガイド*」の「[Compare IPv4 and IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html)」を参照してください。  
**サブネット**  
ドメインコントローラーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリティーゾーンに存在している必要があります。

1. **[Review & create]** (確認と作成) ページでディレクトリ情報を確認し、必要に応じて変更を加えます。情報が正しい場合は、**[Create directory]** (ディレクトリの作成) を選択します。ディレクトリの作成所要時間は 20～40 分です。作成が完了すると、**[Status]** (ステータス) 値が **[Active]** (アクティブ) に変わります。

 AWS Managed Microsoft AD で作成される内容の詳細については、以下を参照してください。
+ [AWS Managed Microsoft AD で作成される内容](ms_ad_getting_started_what_gets_created.md)
+ [AWS Managed Microsoft AD 管理者アカウントとグループのアクセス許可](ms_ad_getting_started_admin_account.md)

**関連する AWS セキュリティブログ記事**
+ [AWS Managed Microsoft AD ディレクトリの管理をオンプレミスの Active Directory ユーザーに委任する方法](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Directory Service for AWS Managed Microsoft AD を使用して、セキュリティ基準を満たすためにさらに強力なパスワードポリシーを設定する方法](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [ドメインコントローラーを追加して Directory Service 、 AWS for Managed Microsoft AD の冗長性とパフォーマンスを向上させる方法](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [AWS Managed Microsoft AD にリモートデスクトップライセンスマネージャーをデプロイしてMicrosoftリモートデスクトップの使用を有効にする方法](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [AWS Managed Microsoft AD とオンプレミス認証情報 AWS マネジメントコンソール を使用して にアクセスする方法](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [AWS Managed Microsoft AD とオンプレミス認証情報を使用して AWS サービスの多要素認証を有効にする方法](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [オンプレミス Active Directory を使用して AWS サービスに簡単にログオンする方法](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)