Google Cloud のマネージド Microsoft AD にオンデマンド バックアップ、スキーマ拡張のサポートを導入
Google Cloud Japan Team
※この投稿は米国時間 2022 年 8 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。
Microsoft Active Directory のマネージド サービス(マネージド Microsoft AD)は、Windows 仮想マシン上で動作する、高可用性かつ堅牢な Microsoft Active Directory を提供する Google Cloud のサービスです。先日、オンデマンド バックアップとスキーマ拡張の機能を追加し、Google Cloud ユーザーが AD タスクをより簡単かつ効果的に管理できるようになりました。
マネージド Microsoft AD は、AD サーバーの更新、メンテナンス、セキュリティ構成を自動化したフルマネージド サービスであり、ハードウェアの管理やパッチ適用は必要ありません。このサービスは進化を続けており、クラウドベースの AD 依存のワークロードを効果的に管理する新しい機能も追加されました。ここでは、新しいオンデマンド バックアップとスキーマ拡張機能による Google Cloud ユーザーへのメリットについて詳しく説明します。
オンデマンド バックアップと復元により、AD ドメインを柔軟に管理
マネージド Microsoft AD は、すでにスケジュール設定されたバックアップの機能を提供しており、これは 12 時間ごとに自動的に取り込まれます。オンデマンド バックアップと復元により、任意の時点でチェックポイント(スナップショット)を作成し、必要なときにその状態に復元することができるようになりました。スケジュール設定されたバックアップに加え、新しいオンデマンド バックアップおよび復元の機能も一般提供されています。この機能を使うと、お客様の各自のニーズに基づいてバックアップと復元を柔軟に開始できます。オンデマンド バックアップと復元を利用するシナリオを 2 つご紹介します。
重要なドメイン変更は、次回のバックアップ スケジュールに合わせることなく、いつでも行うことができます。
ユーザーはサポート リクエストを送信することなく、バックアップから任意の地点に復元できます。
今回のリリースでは、ユーザーは最大 5 つのオンデマンド バックアップを作成できます。マネージド Microsoft AD API は、バックアップの管理機能も提供しています。この機能により、すべてのバックアップの一覧表示(オンデマンドおよびスケジュール)、選択したバックアップへの復元、ラベルの更新、バックアップの削除などが行えます。こうした機能により、ユーザーは効果的にバックアップ管理タスクを管理できます。
スキーマ拡張のサポートでアプリケーション インテグレーションを強化
注: スキーマ拡張機能は現在公開プレビュー版であり、Google Cloud 利用規約の pre-GA サービス規約が適用されます。
Active Directory(AD)は、ディレクトリ データを整理して保存するためにスキーマに依存しています。AD スキーマには、Active Directory オブジェクトに存在する可能性があるすべての属性とクラスが正式に定義されています。マネージド Microsoft AD インスタンスを作成すると、ドメイン コントローラ上にもデフォルト スキーマが作成されます。しかし、クラスや属性をカスタマイズしたい状況もあるでしょう。たとえば、Active Directory に新しいタイプの情報を保存する必要があるアプリケーション(シングル サインオン機能をサポートするためなど)がある場合などがそれにあたります。マネージド Microsoft AD は、スキーマ拡張に対応しており、LDIF(LDAP Data Interchange Format)ファイルを用いて、API 経由で既存のスキーマを変更し、属性をカスタマイズできます。LDIF の変更タイプは、add、modify、modrdn、moddn に対応しています。一般に、スキーマの変更を適用する前に、ドメインのバックアップを行うことが推奨されます。簡略化のため、マネージド Microsoft AD はスキーマの変更がトリガーされるたびにバックアップを開始します。このスキーマ拡張のサポートを利用すると、ユーザーや、特定のクラスや属性に依存するアプリケーションとのインテグレーションのためのコンテキストを追加できるようになります。
ユースケース: LAPS のスキーマ拡張
Microsoft 社のパスワード管理ツールである LAPS(Local Administrator Password Solution)を使えば、ドメインに参加しているパソコンのローカル アカウントのパスワードを AD に保存し、ローテーションすることができます。LAPS がデプロイされたデバイスは、ローカル管理者パスワードをランダム化して Active Directory に保存し、設定されたスケジュールに沿ってそのパスワードを変更します。LAPS が Active Directory と連携するためには、必要な属性を保存するためのスキーマを拡張する必要があります。このユースケースでは、すでに LAPS がインストールされ、マネージド Microsoft AD が稼働していることを想定しています。
LAPS では、次の 2 つの追加の属性が必要です。
ms-Mcs-AdmPwd – この属性には、ローカル管理者のパスワードが保存されます
ms-Mcs-AdmPwdExpirationTime – この属性には、管理者パスワードの有効期限が保存されます
ここでは、マネージド Microsoft AD スキーマ拡張の機能を使用して、必要な属性を追加する方法を説明します。
ステップ 1: LDIF ファイルを用意して、ms-Mcs-AdmPwd と ms-Mcs-AdmPwdExpirationTime 属性を追加します。
ステップ 2: Google Cloud でホストされ、マネージド Microsoft AD でドメインに参加済みの VM に、委任管理者としてログインします。
ステップ 3: 次の gCloud CLI コマンドを実行して、スキーマを拡張します。
スキーマ拡張が開始されると、マネージド Microsoft AD は自動的にバックアップを作成します。このバックアップを利用して、信頼できる復元を実行し、ドメインをこれらの属性が追加される前の地点まで戻すことができます。
ステップ 4: スキーマの変更を確認するには、Windows PowerShell で以下のコマンドを実行します。
こうして、マネージド Microsoft AD スキーマは、LAPS の構成に必要な属性で拡張されました。これで、パスワード設定、アクセス権設定、GPO 構成といった LAPS の残りの設定を通常通り行うことができます。
これらの新機能により、マネージド Microsoft AD とアプリケーションの統合が容易になり、バックアップや復元などの運用にも柔軟に対応できるようになりました。マネージド AD とこれらの新機能について詳しくは、以下の補足資料をご覧ください。
Microsoft AD 用のマネージド サービスのドキュメント
- Google Cloud シニア プロダクト マネージャー Muthuraj Thangavel
