20220924 JAZUG12周年記念LT ～AzureAD Domain Servicesのお話～

実際に使ってみた AzureAD Domain Services（AADDS） JAZUG 12周年イベント （2022/09/24） パーソルテクノロジースタッフ株式会社 Twitter：@iwai_d 岩井 大祐（いわい だいすけ） 2022/9/24 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.

作成者自己紹介と 簡単な会社紹介 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.

作成者自己紹介 • 自己紹介 – 岩井 大祐（いわい だいすけ）/ Twitter：@iwai_d – パーソルテクノロジースタッフ(株)でMS系プロダクトをメイン軸に Azure（主にAVD）を取り扱うおじさんインフラ技術者 – JAZUG関連イベントに割とよく出没、ちょくちょく登壇しております 【https://www.docswell.com/user/dai-peugeot306】（Slideshareからドクセルに変更しました） • 好きなもの – ウッドストック （小さきことは美しい……） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 3

• https://www.docswell.com/user/dai-peugeot306

簡単な会社紹介 • パーソルテクノロジースタッフ(株) – 旧インテリジェンスのエンジニア派遣事業を 旧テンプスタッフ・テクノロジーに統合し、2017年1月に発足 機械設計系チームとIT系チームがあります – 自動車や航空機関連、医療機器やアナログ回路のモノづくり、 RPAやIoT、ドローン系のホットな案件も積極的にやっています 2023年1月からパーソルR&D（株)と合併して 【パーソルクロステクノロジー（株）】になります ご縁がありましたらよろしくお願いいたします m(_ _)m Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 4

毎度のごとく【宣伝】…… • FSLogixのGPO設定項目アンチョコ資料、作ってます – MSのDocsとか日本語資料が少ないので、自分や関わっているメン バーがサクッと組める・説明できるようにと作ったシロモノです – Tipsも含めて逐次更新していますのでご活用くださいませ 【https://github.com/Dai-Peugeot306/FSLogix-GPO】 見て下さる方がいるので 更新継続のやる気になります Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved. 5

• https://github.com/Dai-Peugeot306/FSLogix-GPO

今回のお題目 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.

今回のお題目 JAZUG 12周年おめでとうございます！！ • （毎度毎度）技術を含め様々な引き出しを増やす場と なっておりますJAZUGには感謝しかありませぬ。 皆さまありがとうございます。m(_ _)m Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 7

今回のお題目 最近利用頻度が増えている AzureAD Domain Services (AADDS) 実際のお仕事を通じた雑感等を ご報告的に…… Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 8

その前にAzure Virtual Desktopの状況は？ • 何やかんやで今でも引き合い、実構築の仕事は多い – 2020年のWVD-ARM GAからほぼ2年扱っていますが、コンスタ ントに引き合いが発生し、現状でもほぼ途切れていない状況 • AzureAD Domain Services（AADDS）の状況は？ – 正直毛嫌いしていたが、昨年に案件で使ってみたら結構使えるの と、AzureVMを立てないで済むというメリットがあることに気が ついたので、ユーザーやグループ単位で設定をいじらないような 案件は（コスト面のメリットなどから）AADDSを使うパターンが 増えてきたのが実際（クセに慣れてきたのもあるかと） →AzureAD側が【主】になるので今後のモダン化も楽……？ Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 9

AADDSの構築については • ネットワーク設計ができていれば簡単 正直稼働状態に持ち込むだけなら待ち時間が1～2時間 程度かかるだけで簡単に作業できる – 作成はみんな大好き【くらう道】の手順を参考にするのが 手っ取り早くかつ確実 【https://www.cloudou.net/azure-active-directory-domain-services/aadds001/】 ※オンプレActive Directory＋AzureAD Connectの構成では慣れててもこうはいかない…… （何だかんだでAzureVMのデプロイから含めると1日半は欲しくなる） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 10

• https://www.cloudou.net/azure-active-directory-domain-services/aadds001/

案件で実際に使われるAADDSのパターン • 実案件でのAADDSの設定はほとんど以下パターン ※AVDでの認証目的で要求が単純という事もあるかも…… – – – – SKU：Standard フォレストの種類：ユーザー 同期の種類：すべて（ごく一部で範囲指定した例あり） セキュリティ設定：Microsoft社提供デフォルト 結論・AVDの認証目的なら一番安いSKUで十分耐える Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 11

で、実際にAADDSを使ってみる(1) • シンプルなActive Directory構成で運用するなら 当初想像以上に気にならず使えて結構快適 – GPOについてもコンピューターOUは今までと同じように 使用できるので、AVDの運用でも結果としてあまり気に ならなかった – Active Directory DCがマネージドになるのでパッチ適用 とかを考えずMicrosoftにお任せできるのはありがたい ※AzureVMで組むと制限事項もあったりで思ったよりお金も手間もかかる…… Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved. 12

で、実際にAADDSを使ってみる(2) • GPOのユーザー構成をいじる場合は難易度アップ – GPOを効かせる、効かせないの調整はセキュリティフィルターと ループバック処理のみが頼りになる セキュリティフィルターとループバック処理を駆使 して条件分岐的な設定を施した案件があったが、 狙った通りに動かないんじゃないかと正直ヒヤヒヤ した……。お客さんにも「これ以上いじると予期せぬ 動きをするかも知れません」と言うぐらい不安。 （とは言え、若手メンバーが辛抱強く検証実験を 繰り返してくれたおかげ。感謝） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 13

で、実際にAADDSを使ってみる(3) • Azure FilesをSMB運用したいときに 比較的カンタンに対応できる – オンプレActive Directory環境でコレをやろうとした際に ドメイン参加とファイル共有まではできるが、ACL設定 段階で失敗して断念することが多々あった。 AADDS環境では一発で決まるので、AVD環境のFSLogix プロファイル格納エリアとして活用できるため、AzureVM が減らせて管理が楽なのとローコスト運用が可能 ※以前、オンプレActive Directory環境でのAzure Filesのドメイン参加設定についてTwitterのフォロ ワーさんである【ろーかる氏 @localyouser（https://speakerdeck.com/localyouser/azurefilestoonpuremisuhuairusabawolian-xi-saseru）】に教えてもらったことがあるのだが、どうにも 上手くいかず時間切れで断念してしまい、以後苦手で基本的に避けている……。 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 14

• https://speakerdeck.com/localyouser/azure-

AADDS、忘れがちなついうっかりパターン • AADDS作成前に作ったAzureADアカウントは ドメインで使う場合、パスワード変更が必要 – パスワードハッシュ同期がActive Directory DC側に なされていないので当たり前なのだが、初期パスワード 変更後に再度パスワード変更を行うのは地味に面倒 – なのでAADDSを使う場合、AzureADユーザーの追加は AADDS作成後に行うのがベター （初期パスワード変更とハッシュ同期がまとめて行える） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 15

AADDS、私はコレで失敗した • AADDSの通信は【いじるな】がまず基本 – 自動作成されるAADDSのサブネットは治外法権の扱いに してくれるようお客さんときちんと握っておく ※ネットワーク設計上、上記を満たすような構成に仕立ててておくのが大事 – UDRとかは基本的に非推奨なので、都合上やらざるを得な い場合は非対称ルーティングにならないよう注意が必要 ※ExpressRouteが絡んでルーティングをいじった場合にコレに陥りやすい。私は やらかして一瞬プチパニック状態に陥った（汗） ちなみに、初めてAADDSを使った案件で設定をトチって非対称ルーティング状態にしてしまい、 AADDSが状態異常になってドメイン認証ができなくなって再作成した事がある…… （サポートに泣きついて回復を試みたが、US本国のサポートエンジニアまでエスカレーションの大事に なってしまい、最終的には時間切れでAADDS含めて環境を一度完全に潰して作り直した） Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved. 16

AADDS、ここが改善してくれると……(1) • 仮想DCのIPアドレスを決め打ちできると…… – AADDSの作成時、構成するサブネット内で使用可能な最も 若番を2つ使用するのだが、ここでサブネット内の任意の IPアドレスを設定してデプロイできるとありがたいかも。 （お客さんのネットワークアドレスポリシー的に若番を ネットワーク機器に振り割って、サーバ類をその後にする 形を取ることがあるのだが、この環境に限っては法則が崩 れてしまうので、この点が対応できればなと） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 17

AADDS、ここが改善してくれると……(2) • AADDSのアラートにAzure Monitorを使えれば – AADDSのトラブル時通報は【通知設定】内のメール通知 機能のみになるのだが、他のAzure VMの監視などでAzure Monitorを使用している場合にアラート発信元を統一したい という事があったりするので、Azure Monitor連携機能があ るとありがたいな……と Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved. 18

まとめ • 思ったより便利でトータルコストも想像より高くない – GPO周りにクセはあるものの、従来の運用スタイルの延長線上で 利用でき、Azure Files等とも組み合わせやすいので結果的にAVD をローコスト運用するには結構便利なアイテム • ネットワークの制限事項に注意 – ルーティング周りの扱いなど、MSのlearn（旧docs）記載の事項 に注意すれば動作自体は極めて安定 • 欲張るな – オンプレActive Directoryと比べると制限事項も存在するため、 アレもコレもとやりたい事を欲張らず、シンプルに留めるのが吉 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 19

謝辞 ～ いつもお世話になってる あんなサイトやこんなサイト ～ Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.

いつもいつもお世話になっております • くらう道さん【 https://www.cloudou.net/ 】 • ブチザッキさん【 https://buchizo.wordpress.com/ 】 • Made in container【 http://www.syuheiuda.com/ 】 • JAZUG【 https://www.facebook.com/groups/jazug/ 】 – AVDに関する情報を探すならまずはココ。完全にAVDの聖典状態 – Azureの更新確認など本家を見る前にざっくりチェックできて感謝 – おなじみコンテナ神宇田さんのブログ。Azureネットワークの聖典 – 中の人や参加されている皆さまには本当にお世話になっております その他、ブログ等で経験を書かれている多くの皆様のおかげです Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 21

• http://www.syuheiuda.com/

ご清聴 ありがとうございました m(_ _)m Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.