このページでは、既存の Active Directory ドメインをオンプレミスから SID 履歴を持つ Managed Service for Microsoft Active Directory に移行するために必要な権限を確認する方法について説明します。また、移行の完了後にこれらの権限を無効にする方法についても説明します。
準備
次のいずれかの Identity and Access Management(IAM)ユーザーロールがあることを確認します。
- Google Cloud Managed Identities ドメイン管理者(
roles/managedidentities.domainAdmin) - Google Cloud Managed Identities 管理者(
roles/managedidentities.admin)
詳細については、Cloud Managed Identities のロールをご覧ください。
権限を確認してください
SID 履歴を持つドメインを移行するために必要な権限が Managed Microsoft AD ドメインで使用可能かどうかを確認できます。
権限を確認するには、次の gcloud CLI コマンドを実行します。
gcloud beta active-directory domains migration check-permissions DOMAIN_NAME
DOMAIN_NAME は、Managed Microsoft AD ドメインの名前に置き換えます。例: my-domain.com
このオペレーションは、Managed Microsoft AD に Cloud Service
Migrate SID Administrators グループが作成されているかどうかと、信頼できるすべてのドメインでの SID フィルタリングの状態を検証します。
レスポンスには、信頼できるすべてのドメインの SID フィルタリング状態と Managed Microsoft AD ドメインで必要な権限の状態が一覧表示されます。
onpremDomains: - name: domain-one.com sidFilteringState: ENABLED - name: domain-two.com sidFilteringState: DISABLED state: ENABLED
Managed Microsoft AD ドメインは、次のいずれかの状態になります。
| 状態 | 説明 |
|---|---|
DISABLED |
Managed Microsoft AD ドメインに、SID 履歴を持つオンプレミス ドメインを移行するために必要な権限がありません。SID フィルタリングは、信頼できるすべてのドメインで有効になっています。 |
ENABLED |
Managed Microsoft AD ドメインに、SID 履歴を持つオンプレミス ドメインを移行するために必要な権限があります。SID フィルタリングの状態を確認するには、レスポンス内の信頼できるすべてのドメインの sidFilteringState フィールドをご覧ください。 |
NEEDS MAINTENANCE |
Managed Microsoft AD ドメインに対する権限は断続的な状態になっているようです。この状態をリセットするには、必要に応じて権限を有効にするか権限を無効にします。 |
Managed Microsoft AD ドメインの権限を無効にする
移行が完了したら、SID 履歴を持つオンプレミス ドメインを移行するための権限を無効にする必要があります。
権限を無効にするには、次の gcloud CLI コマンドを実行します。
gcloud beta active-directory domains migration disable DOMAIN_NAME
DOMAIN_NAME は、Managed Microsoft AD ドメインの名前に置き換えます。例: my-domain.com
このオペレーションは、Managed Microsoft AD から Cloud Service Migrate SID Administrators グループを削除することでドメインに与えられた権限を無効にし、信頼できるすべてのドメインで SID フィルタリングを有効にします。