developersIO
[アップデート] AWS Managed Microsoft ADの機能レベルが Windows Server 2016 に更新されました

[アップデート] AWS Managed Microsoft ADの機能レベルが Windows Server 2016 に更新されました

AWS Managed Microsoft ADAWS Directory ServiceAWSActive Directory(AD)
2026.05.11

しばたです。

先月下旬の話なのですが、AWS Managed Microsoft ADの利用者に対し「AWS Managed Microsoft ADの機能レベルをWindows Server 2016に更新した」旨の通知が行われました。
併せて4月20日付けでWhat's newでも以下のアナウンスも行われていました。

https://aws.amazon.com/jp/about-aws/whats-new/2026/04/aws-managed-microsoft-ad-2016-functional-level/

更新内容

更新内容は前述の通りでAWS Managed Microsoft ADのドメイン機能レベルとフォレスト機能レベルの両方がWindows Server 2016に更新されました。
通知およびWhat's newのアナウンスは事後報告であり、既にすべての環境が更新済みであるため現時点で問題が起きていないのであれば利用者側で追加の対応は不要です。

ちなみに更新前の機能レベルはWindows Server 2012 R2で、これはAWS Managed Microsoft ADリリース当初のサーバーOSがWindows Server 2012 R2の時代からWindows Server 2019になった後も変わりありませんでした。

更新による影響範囲など

Active Directoryの機能レベルに応じてサポートされる機能は以下のドキュメントにまとめられています。

https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/active-directory-functional-levels

ここからWindows Server 2016機能レベルで追加された内容をピックアップすると次の通りです。

  • フォレスト機能レベル
    1. Microsoft Identity Manager (MIM) を使用した特権アクセス管理(Privileged Access Management:PAM)
  • ドメイン機能レベル
    1. PKI 認証を必要とするよう構成(「対話型ログオンにスマートカードが必要」に設定)されたユーザーアカウントに対するNTLMシークレットの自動ローリング
    2. ユーザーが特定のドメイン参加デバイスに制限されている場合にもNTLMを許可
    3. PKInit Freshness Extensionのサポート

正直なところ個別の詳細に関して理解しきれていない部分もあるんですが、とりあえずは「細かいセキュリティ関連の機能が新たにサポートされた」くらいの認識で問題ないでしょう。
AWSの通知においてもこの変更によりWindows LAPSといったセキュリティ周りのサポートが増えた点[1]が強調されていました。

本日に至るまでActive Directoryの機能レベルが上がることでWindowsの機能が制限されたことは無く、逆に新機能のサポートが増えるだけだったのでActive Directoryの利用は従来どおり何ら変わらず継続できているはずです。
機能レベルの変更で唯一影響を受けるのはドメインコントローラー間のOSバージョン互換性だけですが、AWS Managed Microsoft ADではAWSが全てのドメインコントローラーを管理し利用者が介入する余地がないためこちらも問題ありません。

このため利用者側で追加の対応は原則不要となります。
もし「これまで機能レベルが低くて導入したいWindowsの機能やサードパーティ製品を導入できずにいた」という方がいれば今回の更新を機に導入を試みると良いでしょう。

確認してみた

ここからは実際に環境を確認していきます。

私が管理する既存の環境が無かったので、今回は私の検証用AWSアカウントの東京リージョンに新規にcorp.contoso.comドメインのAWS Managed Microsoft AD環境と接続用EC2インスタンスを用意しました。
各種リソースの構築手順は割愛します。

aws-managed-microsoft-ad-win2016-functional-level-01

aws-managed-microsoft-ad-win2016-functional-level-02

接続用EC2インスタンスからcorp.contoso.comドメインの機能レベルを確認すると下図の様にドメイン機能レベル、フォレスト機能レベルともにWindows Server 2016になっていました。

aws-managed-microsoft-ad-win2016-functional-level-03

一応PowerShellから確認した結果も載せておきます。

aws-managed-microsoft-ad-win2016-functional-level-04

最後に

簡単ですが以上となります。

事後報告のアナウンスで利用者側では原則対応不要なので機能レベルが更新された点だけ把握しておいてください。

脚注

  1. Windows LAPSの全ての機能を使うにはWindows Server 2016ドメイン機能レベルが必要 ↩︎

この記事をシェアする

AWSのお困り事はクラスメソッドへ

関連記事

[アップデート] AWS Managed Microsoft ADに新しいセキュリティ設定が増えました
Takuya Shibata
2026.05.13
[アップデート] AWS Managed Microsoft ADのエディション変更がAPIから可能になりました
Takuya Shibata
2025.10.30
AWS Managed Microsoft ADのユーザー・グループ操作をAWS CLIから試してみた
Takuya Shibata
2024.12.13
[アップデート] AWS Managed Microsoft ADにHybrid Editionが登場しました
Takuya Shibata
2025.08.07