Microsoft 365 (旧Office 365) などのサブスクリプションを所有していると、Azure ADをFree版として使用することができる。
Azure ADに対してオンプレミスで構築しているActive Directoryのユーザやグループ情報を同期させることで、ユーザ情報を統合管理することができる。オンプレミスのAD (以下、オンプレADと呼ぶ) からAzure ADに同期するためのツールとして、「Azure AD Connect」が提供されており、オンプレミス側のドメインに所属するサーバに本ツールをインストールすることで、Azure ADに対し情報を同期させることができる。
今回、Azure AD Connectを使って、オンプレADのユーザ、グループの情報を同期させる検証を行った。その手順を記載をする。
環境
オンプレADのOSは以下の通り。Azure AD Connectは、ドメインコントローラと同居させる形でインストールする。
- OS : Windows Server 2016 Standard
- ドメインの機能レベル : Windows Server 2016
また、本作業後にグループポリシーの設定を行うことで、Microsoft 365関連のサイトやAzure Portalにシングルサインオンを行うことができる。こちらについては、以下記事にて手順を記載しているので参照いただきたい。
事前準備
1. テナントを作成
まず、Azure Portalにログインし、「Azure Active Directoryの管理」を選択する。
初期状態ではテナントが作成されていない状態となるため、テナントの「ライセンス」が「…」となっている。まずテナントを作成する必要があるため、「テナントの作成」を選択する。
テナントは以下のように設定し、作成した。
| 設定項目 | 説明 |
|---|---|
| テナントの種類 | 「Azure Active Directory」を選択。 |
| 構成 - 組織名 | 任意で指定。 |
| 構成 - 初期ドメイン名 | 任意で指定。ここで指定した名称で、Azure ADのプライマリドメイン名が[指定した名称].onmicrosoft.comといった名前で作成される。 |
| 構成 - 国/地域 | 「日本」を選択する。これによって、Azure ADのデータセンターの場所も「アジア太平洋」で設定される。 |
テナントが作成されると、「ライセンス」が「Azure AD Free」となる。
2. Azure ADにグローバル管理者を作成
Azure AD Connectをインストールする際に、Azure ADの「グローバル管理者」のロールを持つ管理者が必要となる。
Azure PortalのAzure AD管理画面で「ユーザー」を選択し、「新しいユーザー」を選択して、ユーザを作成しておく。作成後、ユーザ管理画面の「割り当てられたロール」を選択し、「グローバル管理者」のロールを付与しておく。
なお、新規に作成したユーザは、初回ログイン時にパスワード変更が求められログインできないため、一度そのユーザでAzure Portalにログインをし、パスワードを設定しておくこと。
3. オンプレADの「ごみ箱の有効化」を実施
Azure AD Connectのインストール前提として、「ごみ箱の有効化」が推奨されることから、事前に有効化作業を行う。
ADの「ごみ箱の有効化」は、「サーバーマネージャー」の「ツール」→「Active Directory管理センター」にて実施する。
対象のドメインを選択し、「タスク」の「ごみ箱の有効化」を選択する。
「このアクションを実行しますか? 一度有効にしたごみ箱は無効にはできません。」というポップアップが表示されるので、「OK」を選択する。
4. オンプレADの同期用管理者ユーザを作成
Azure AD Connectは、インストールする際にオンプレADに以下権限を持つユーザの認証情報が求められるので、事前にインストール用のユーザを作成しておく。
- Domain Admins
- Enterprise Admins
5. IdFixにてユーザ情報のチェック
「IdFix」と呼ばれるツールを使い、Azure ADと同期する際に問題となるユーザについて事前にチェックしておく。IdFixは以下URLからダウンロードできる。
※ダウンロード箇所がわかりにくいが、以下「ClickOnce Launch」に記載の「launch」のリンクからsetup.exeをダウンロードすることができる。
私の環境では以下のようになった。「ERROR」列にて情報があるのだが、「Blank」と「TopLevelDomain」の2種類のエラーが表示された。
「Blank」のエラーはアカウントの情報において、必要な情報に空欄があるというものとなる。今回、DefaultAccountが該当したのだが、以下URLにある通り、そもそもデスクトップ機能付きのWindows Serverの場合は無効化されているアカウントのようなので、特に対処しないものとした。
TopLevelDomainは、.localといったインターネット上にて名前解決できないドメインをUPN (User Principal Name) として使用している場合に表示されるエラーとなるようだ。UPNを変更するということはドメイン名を変更することになるため、影響が大きいことから、こちらも対処しないこととする。
6. .Net Framework 4.8のインストール
Azure AD Connectは、.Net Framework 4.8が必要となる。Windows Server 2016では通常インストールがされていないので、以下URLより.Net Framework 4.8 Runtimeのダウンロードを行い事前にインストールしておく。
.Net Framework 4.8 Runtimeのインストールは、特に設定項目はないため割愛するが、インストール後に一度再起動が必要となるため注意すること。
7. (プロキシ環境の場合) Azure AD Connectのプロキシの設定
オンプレADが直接インターネットに接続できないようなプロキシ環境にある場合は、Azure AD Connectのインストール時が失敗するので、以下URLに記載の対処を行う。
具体的には、C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configのファイルを編集し、以下の情報を追記する。[PROXY_IP]:[PROXY_PORT]は環境に合わせて、プロキシサーバのIPアドレス及びポート番号に修正すること。
<system.net>
<defaultProxy>
<proxy
usesystemdefault="true"
proxyaddress="http://[PROXY_IP]:[PROXY_PORT]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Azure AD Connectのインストール
いよいよAzure AD Connectをインストールする。設定項目が多いので、一つ一つ進めていく。なお、以下手順はあくまでも私の環境におけるインストール例となる。実際の要件や環境に合わせて、設定内容は変更する必要があることを注意いただきたい。
1. 簡単設定
Azure AD Connectのインストーラを実行すると、「カスタマイズ」と「簡易設定」のどちらかを選択することができるが、「カスタマイズ」を選択する。
2. 必須コンポーネントのインストール
そのまま「インストール」を選択する。
3. ユーザーサインイン
以下を設定して、「次へ」を選択する。
- サインオン方式 : パスワードハッシュの同期
- シングルサインオンを有効にする : チェック
4. Azure ADに接続
Azure ADのグローバル管理者のユーザを指定し、「次へ」を選択する。
5. ディレクトリの接続
以下を設定して、「次へ」を選択する。
- ディレクトリタイプ : Active Directory
- フォレスト : ドメイン名を指定して「ディレクトリの追加」ボタンを押して選択する。この際に、オンプレADのEnterprise Admins権限のユーザ情報の入力が必要となる
6. Azure ADサインインの構成
以下を設定して、「次へ」を選択する。
- ユーザープリンシパル名 : mail
- 一部のUPNサフィックスが確認済みドメインに一致していなくても続行する : チェック
これは、IdFix実行時にもエラーとなった.localをドメインに持つ場合の対処となる。本来Azure ADと同期する場合は、オンプレADのドメインをインターネット上にて名前解決できるものにしなければならない。しかし、実際にはドメイン名の変更は困難を極めるので、ADのmail属性をAzure ADのユーザ名 (UPN) として設定することで回避する。
なお、mail属性が空欄の場合でも、ユーザ名から自動で[ユーザ名]@[テナント名].onmicrosoft.comという名前でAzure ADに同期できていることを確認している。
7. ドメインとOUのフィルタリング
「すべてのドメインとOUの同期」を指定し、「次へ」を選択する。
8. 一意のユーザー識別
そのまま「次へ」を選択する。
9. ユーザーおよびデバイスのフィルタリング
そのまま「次へ」を選択する。
10. オプション機能
そのまま「次へ」を選択する。
11. シングルサインオンを有効にする
「資格情報の入力」を押したのちDomain Admins権限のユーザを選択し、「次へ」を選択する。
12. 構成の準備完了
最後に設定内容を確認して、「インストール」を選択する。私の環境ではユーザ数は20程度しかないため5分程度で完了した。
Azure Portalにおいても、「Azure AD Connect」の「最終同期」が更新されるようになった。
さらに、Azure Portal上でオンプレADのユーザが表示されるようになり、同期に成功していることが確認できた。
同期したユーザにてAzure Portalへのログイン確認
最後に、実際に同期したユーザにてAzure Portalにログインできることを確認する。
同期されたAzure AD上のユーザ名 ([ユーザ名]@[テナント名].onmicrosoft.com) をユーザ名として入力し、オンプレADで設定したパスワード情報を使うことで、問題なくAzuer Portalにログインすることができた。
なお、シングルサインオンを有効にしたうえで、必要な設定を行うことで、ログインする際のユーザ名、パスワードの入力を省略し、シングルサインオンすることが可能となる。これは以下別記事にて記載することにする。
0 件のコメント:
コメントを投稿