ラベル Azure の投稿を表示しています。 すべての投稿を表示
ラベル Azure の投稿を表示しています。 すべての投稿を表示
2023年5月20日土曜日

Azure AD Connectバージョンアップ手順 (2.1.15.0→2.1.20.0)

本記事では、Azure AD Connectをバージョンアップする手順 (2.1.15.0→2.1.20.0)を記載する。なお、Azure AD Connect自体の導入手順については、以下別記事を参照いただきたい。

Azure ADを1.xから2.xにバージョンアップする手順は、以下別記事を参照いただきたい。

環境

バージョンアップ対象となるオンプレADは以下の通り。

  • Windows Server 2016 Standard
  • Azure AD Connect
    • バージョンアップ前 : 2.1.15.0
    • バージョンアップ後 : 2.1.20.0

Azure AD Connectバージョンアップ手順

1. インストーラをダウンロード

Azure AD Connectの最新版を以下からダウンロードし、ADに配置する。

ダウンロードされるファイルの詳細は「Details」から確認できる。今回のターゲットバージョンは「2.1.20.0」となる。

2. インストーラ実行

インストーラをダブルクリックし実行すると、「Azure Active Directory Connecのアップグレード」が表示されるので、「アップグレード」を選択する。

3. グローバル管理者のパスワードを入力

「Azure ADに接続」にてAzure ADのグローバル管理者のパスワードを指定する。

4. バージョンアップ開始

「構成の準備完了」で「アップグレード」を選択すると、バージョンアップが開始される。バージョンアップは1分もあれば完了する。

5. 動作確認

最後に、問題なくAzure AD Connectが動作していることを確認する。Azure Portalでも確認することができなるが、詳細な情報を確認できないので、Micorosoft 365管理センターより確認する。

「最新のディレクトリ同期」の時間がバージョンアップ以降であり、「ディレクトリ同期のクライアントバージョン」が最新の「2.1.20.0」に更新されていることがわかる。

以上で、Azure AD Connectのバージョンアップ手順は完了となる。

By 時刻: 0 件のコメント:
ラベル:
2021年8月21日土曜日

Azure AD Connectを1.6.4.0から2.0.8.0にメジャーバージョンアップする手順

オンプレ環境に存在するActive Directory (以下、オンプレAD) とAzure ADの情報連携を行うAzure AD Connectは、通常自動的にバージョンアップがされる。これは、Get-ADSyncAutoUpgradeコマンドレットを使うことで確認することができる。

PS C:\> Get-ADSyncAutoUpgrade
Enabled

ただし、以下Azure AD Connectのリリースノートを見ると、「Released for download only, not available for auto upgrade」となっており、自動的にバージョンアップされないものが多く存在する。

特に2021/7/10にAzure AD Connectの新メジャーバージョンとなる2.0.3.0がリリースされており、こちらも自動的にバージョンアップはされないため、手動によるバージョンアップが必要となる。

今回、Azure AD Connectを1.6.4.0の環境から2.0.8.0に手動でバージョンアップしたので、その手順を記載する。なお、Azure AD Connect自体の導入手順については、以下別記事を参照いただきたい。

環境

バージョンアップ対象となるオンプレADは以下の通り。

  • Windows Server 2016 Standard
  • Azure AD Connect 1.6.4.0

なお、Azure AD Connect 2.0.8.0は、Windows Server 2016以降のOSでなければ使うことができない。古いOSを使っている場合は、1.x台の最新バージョンとなる「1.6.11.3」を利用し続ける必要がある。

バージョンアップ手順

1. Azure AD Connectをダウンロード

Azure AD Connectの最新版を以下からダウンロードし、オンプレADに配置する。

2. TLS 1.2を有効化

Azure AD Connect 2.xはTSL 1.2の強制が必要となる。もし未設定のままインストーラを起動すると、以下の通り「TLSの正しくないバージョン」のエラーで弾かれてしまう。

本事象を解消するため、以下マニュアルに記載のレジストリ設定を行えばよい。なお、レジストリ設定後、特に再起動は不要となる。

レジストリ設定は複数個所存在するので、以下の通りPowerShellによる設定が手っ取り早い。

New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -name 'SystemDefaultTlsVersions' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -name 'SystemDefaultTlsVersions' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null
New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null
Write-Host 'TLS 1.2 has been enabled.'

3. インストールウィザードを起動

レジストリ設定後、再度インストーラを起動すると、以下の通りChange、Repair、Removeのいずれかを選択できる画面が表示される。非常にわかりづらいが、バージョンアップの場合は「Repair」を選択する。

4. バージョンアップ開始

「Azure AD Connectへようこそ」の画面では、ライセンス条項に同意にチェックを入れ、「続行」を選択する。

「Azure Active Directory Connectのアップグレード」の画面では、「アップグレード」を選択する。

バージョンアップの処理が開始されるので数分待つと、「Azure ADに接続」の画面に遷移する。ここでは、Azure ADのグローバル管理者のユーザ及びパスワードを入力する。

「構成の準備完了」の画面に遷移するので、「構成が完了したら、同期プロセスを開始する」にチェックを入れ、「アップグレード」を選択する。

特に問題なければ「構成が完了しました」の画面に遷移し、バージョンアップが完了となる。

5. インストール後確認

コントロールパネルから「プログラムと機能」を確認すると、Azure AD Connectのバージョンが2.0.8.0になっていることがわかる。また、バージョンアップ時にMicrosoft SQL Server 2019がインストールされていることがわかる。

旧バージョンで使用されていたMicrosoft SQL Server 2012が残っているが、こちらは消してよいものかわからないため、このままの手を付けないことにした。

また、Microsoft 365管理センターにて同期状況を確認すると、前回の同期が4分前になっており、問題なく同期が成功していることがわかる。

以上で、Azure AD Connectのバージョンアップは完了となる。

By 時刻: 0 件のコメント:
ラベル: ,
2021年8月10日火曜日

Office製品利用時に「共有コンピューターでのOfficeライセンス認証に使用することができません」で認証できない問題

Windows 365 Cloud PCは、Office製品がインストール済みの状態で提供される。

このOffice製品利用時には、Microsoft 365 Businessのライセンスが割り当てられたMicrosoftアカウントにて認証が必要となるが、この際に「共有コンピューターでのOfficeライセンス認証に使用することができません」のエラーで認証できない問題が発生した。アドレスバーの表示も「Unlicensed Product」となっている。

本記事では、Office製品のライセンス認証時に発生する上記エラーを解消するための手順を記載する。

環境

環境はWindows 365 Cloud PCのWindows 10のみで発生しており、通常のWindows 10では問題なく認証できることを確認している。

Microsoft 365のライセンスは、「Microsoft 365 Business Standard」を利用している。

解消手順

1. レジストリエディターを開く

タスクバーの検索ボックスに「regedit」を入力し、レジストリエディターを開く。

2. パラメータを修正

左ツリーからコンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configurationに移動し、SharedComputerLicensingを「1」から「0」に修正する。


3. ExcelなどのOffice製品を起動

設定後、ExcelなどのOffice製品を起動する。OSへのログインユーザーとシングルサインオンが構成されていれば、そのまま認証が成功し、Excelのアドレスバーが正常な状態に変わるはずだ。もし、シングルサインオンができない構成の場合は、手動でサインオン作業を行えばよい。

念のため、Officeユーザーの情報を確認すると、Microsoft 365 Apps for Bussinessのサブスクリプションを正常に認識していることがわかる。

以上でエラー解消は完了となる。

By 時刻: 0 件のコメント:
ラベル: ,
2021年8月3日火曜日

Windows 365を無料トライアルしてみた

2021/8/2よりクラウド上でWindowsクライアントを使うことができる「Windows 365 Cloud PC」が正式リリースされた。これにより、いままではPC購入時に買い切りライセンスで購入することが一般的だったWindowsクライアントをサブスクリプション (月額課金) によるサービスとして利用することができるようになった。

Windows 365 Cloud PCは、60日間の無料トライアルによる利用ができる。本記事では、Windows 365 Cloud PCの無料トライアルライセンスを使ってクラウド上にWindows OSをデプロイし、外部からリモートデスクトップ接続する手順を記載する。

環境

私の環境では、あらかじめAzure AD Freeによるユーザ認証が可能となっている。Azure AD Freeの設定手順は以下別記事を参照いただきたい。

無料トライアルライセンスを入手

1. Windows 365 Cloud PCの製品サイトにアクセス

まずは、以下URLにアクセスする。ここでは、Windows 365 Cloud PCのプランと料金を確認することができる。

BussinessとEnterpriseの2つエディションを選ぶことができ、さらにCPUやメモリのスペックに応じて、Basic、Standard、Premiumの3種類が用意されている。今回は、BussinessエディションのBasicプランを利用する。

無料トライアルを利用するため、「2か月間無料でお試し」のリンクをクリックする。

2. 無料トライアルライセンスを入手

「試用してWindowsハイブリッド特典を使用する」は「いいえ」を選び続行する。

初めに、ライセンスを紐づけるアカウントを確認される。今回はAzure ADに登録しているアカウントを指定した。この後の手順で「Microsoft 365管理センター」にてライセンスの管理を行うため、「Microsoft 365管理センター」の操作が可能な権限が必要となる。

「購入手続きへ進む」の画面では、「無料トライアル」を選択する。

「注文の受領書」画面では「続行」を選択する。以上で無料トライアルライセンスが付与される。

3. Microsoft 365管理センターにて、ライセンスをユーザに割り当て

自動的に「Microsoft 365管理センター」に遷移する。もし遷移しなかった場合は以下URLに直接アクセスしよう。

左メニューの「課金情報」→「お使いの製品」を選択し、Windows 365 Bussinessのトライアルライセンスの「ライセンスを割り当てる」のリンクを選択する。

後は画面に従って、Windows 365 Cloud PCを使用するユーザにライセンスを割り当てる。

Cloud PCをデプロイ

1. Windows 365 Cloud PCの管理画面にアクセス

以下のWindows 365 Cloud PCの管理画面にアクセスする。

アクセスすると、突然「あなたのクラウドPCは準備中です」と表示され、Cloud PCの展開が開始される。

2. Cloud PCが自動展開されるので待機

そのまま「開始」ボタンをクリックすると、以下のような画面となる。「クラウドPCを設定しています」と表示されている場合は、まだOSが展開中であり操作ができないので待機する。私の場合は20~25分程度の時間を要した。

展開が完了すると、「Cloud PC is ready」と表示される。

3. ログイン確認

「ブラウザーで開く」を選択し、Cloud PCのアイコンをダブルクリックすると、「ローカルリソースへのアクセス」の確認が表示されるので、「許可」を選択する。

ライセンスを割り当てたユーザ及びパスワードでログインをすると、以下の通りブラウザ上でWindows OSに接続できる。なお、CPUはXeon Platinum 8168 2.70GHzとなっていた。

リモートデスクトップ接続アプリによる接続

Windows 365のCloud PCに対しては、ブラウザだけでなく専用のリモートデスクトップ接続アプリによる接続が可能となる。

1. Windows用のリモートデスクトップ接続アプリをダウンロード

先ほどのWindows 365の管理画面から、「↓」メニューをクリックすると、各種リモートデスクトップ接続アプリのダウンロードできる。

今回はWindows版をダウンロードする。その際に、「サブスクリプションURL」と呼ばれる登録用URLが表示できるため、控えておくこと。

2. Windows用のリモートデスクトップ接続アプリをインストール

リモートデスクトップ接続アプリのインストーラはmsi形式となるため、ダブルクリックしウィザードに従ってインストールすれば問題ない。

インストール完了後、リモートデスクトップ接続アプリを起動したのち、「登録」ボタンを押し、先ほど控えた「サブスクリプションURL」を入力する。

3. 接続確認

ブラウザと同様に接続可能なCloud PCが表示されるので、ダブルクリックして接続する。

資格情報を入力すれば、先ほどのCloud PCにログインできる。なお、通常のリモートデスクトップ接続とは異なり、HTTPS通信によってCloud PCと接続される。そのため、プロキシサーバ経由で問題なく接続できることを確認した。

Windows 365 Cloud PCを日本語化

Cloud PCはデフォルトで英語のみ表示と入力ができる状態になっているので、日本語化を行う。

1. 言語パックをダウンロード及び設定

Windowsの「設定」画面を開き、「Time & Language」→「Language」に移動する。「Add a language」の「+」ボタンを選択し、「日本語」の言語パックの追加を行う。

OS表示言語も変更するため、「Set as my Windows display language」にもチェックすること。

数分待つとインストールが完了し、サインアウトを求められるため、「Yes」を選択する。

2. 再ログイン

再度ログインすると、以下の通り日本語に表示が変更されていることがわかる。

参考

By 時刻: 0 件のコメント:
ラベル: ,
2021年6月15日火曜日

Azure AD Connectで同期した環境でシングルサインオンを実現する

Azure AD Connectを使うと、Azure ADとオンプレミスのAD (以降、オンプレADと呼ぶ) の同期を行うことができる。これによって、オンプレADのユーザとパスワード情報を用いて、Microsoft 365関連のサイトやAzure Portalにログインすることができる。

Azure AD Connectをインストールする際に、シングルサインオンの設定を行っている場合、追加でグループポリシーの設定を行うことで、シングルサインオンを有効にすることができる。これによって、ドメインユーザでOSログインすると、ブラウザから各種サイトにアクセスする際に、認証情報の再入力が不要となる

今回は、Azure ADと同期した環境において、シングルサインオンに必要となるグループポリシーの設定手順を記載する。

環境

オンプレADのOSは以下の通り。

  • OS : Windows Server 2016 Standard
  • ドメインの機能レベル : Windows Server 2016

Azure AD Connectのインストール手順は以下記事の手順で実施済みであることを前提とする。

手順

1. シングルサインオン用のGPOを作成

「サーバーマネージャー」→「ツール」→「グループポリシーの管理」を開き、グループポリシーオブジェクト (GPO) を作成する。

今回はAzure Policyという名前で作成し、ログインユーザが格納されているOU (私の環境の場合はMy OU) にリンクさせる。

2. 「サイトとゾーンの割り当て」を設定

作成したGPOに対して、以下グループポリシーの設定を行う。

▼設定項目

[ユーザーの構成]
→[ポリシー]
 →[管理用テンプレート]
  →[Windowsコンポーネント]
   →[Internet Explorer]
    →[インターネットコントロールパネル]
     →[セキュリティページ]
      →[サイトとゾーンの割り当て一覧]

▼設定内容

  • 「未構成」→「有効」に変更
  • ここにゾーンの割り当てを入力してください。
    • 値の名前 : https://autologon.microsoftazuread-sso.com
    • 値 : 1

3. 「スクリプトを介したステータスバーの更新を許可」を設定

作成したGPOに対して、以下グループポリシーの設定を行う。

▼設定項目

[ユーザーの構成]
→[ポリシー]
 →[管理用テンプレート]
  →[Windowsコンポーネント]
   →[Internet Explorer]
    →[インターネットコントロールパネル]
     →[セキュリティページ]
      →[イントラネットゾーン]
       →[スクリプトを介したステータスバーの更新を許可する]

▼設定内容

  • 「未構成」→「有効」に変更

4. レジストリの設定

作成したGPOに対して、以下グループポリシーの設定を行う。

▼設定項目

[ユーザーの構成]
→[基本設定]
 →[Windowsの設定]
  →[レジストリ]を右クリック→[レジストリ項目]

▼設定内容

  • アクション : 更新
  • ハイブ : HKEY_CURRENT_USER
  • キーのパス : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
  • 値の名前 : https
  • 値の種類 : REG_DWORD
  • 値のデータ : 00000001

5. グループポリシーを反映

グループポリシー反映までは時間を要するので、以下の通りコマンドでグループポリシーの反映を行う。

PS C:\> gpupdate.exe
ポリシーを最新の情報に更新しています...

コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。

6. シングルサインオンを確認

Microsoft EdgeやGoogle Chromeを使って、以下サイトにアクセスをし、シングルサインオンができることを確認する。

ブラウザはChromeとEdgeにて試したところ、どちらもドメインにログインしたユーザ名があらかじめ入力された状態となっており、ユーザアカウントを選択するだけで、パスワード入力することなくシングルサインオンをすることができた

▼マイアプリポータルへシングルサインした画面

▼Azure Portalへシングルサインした画面

【参考】「アカウントの保護にご協力ください」を消す

Azure ADのアカウントにてログインをする場合、デフォルトのセキュリティ設定の場合は、ログインのたびに「アカウントの保護にご協力ください」というメッセージが表示される。これは、ログイン時に多要素認証を設定することでアカウント認証のセキュリティを強化する設定となるため、むやみに無効化すべきではないが、無効化すること自体は可能であるのでその手順を以下に記載する。

Azure ADで作成したテナントの設定画面の「プロパティ」→「セキュリティ規定値群の管理」のリンク→「セキュリティ規定値群の管理の有効化」を「いいえ」に設定する。無効にするための理由について適切なものにチェックを入れたのち、「保存」することで無効化できる。

参考

By 時刻: 0 件のコメント:
ラベル: ,
登録: 投稿 (Atom)

人気の投稿

  • LinuxでCIFS共有フォルダをマウントする
    Linuxでは通常NFSなどでネットワークファイル共有を実現するが、WindowsではCIFSが標準的に使われている。 しかし、場合によってはLinux環境からWindowsのCIFS共有フォルダにアクセスしてファイル読み書きしたい場合がある。 LinuxではCIFSであって...
  • Ubuntu 20.04でシステム領域のディスク容量の拡張を行う
    Ubuntu 20.04を仮想環境で動かしているのだが、システム領域のディスク容量はデフォルトの16GBで運用していた。しかし、Linuxとはいえ、各種GUIのソフトウェアをインストールすることで、残り容量が心もとなくなってきた。 そこで、ディスク容量を拡張をすることにしたのだ...
  • Windows標準コマンドでdiffする
    Linuxなら迷うこと無く diff コマンドがあるので問題ないが、Windowsの場合どうすれば良いか悩んでしまうことがある。フリーソフトがインストールできる環境ならまだしも、インターネットに繋がないサーバーとなると、OS標準のコマンドで実施する必要があるので調べてみた。...
  • 電源ボタンを押さずにパソコンの電源をONにする方法
    久しぶりに自作PCを作ったのだが、ケース以外のパーツが先に揃うという事態が発生した。マザーボードやメモリ等の各パーツの初期不良等チェックをしたかったので、裸のまま結線して起動させてみることにした。 組み上げて電源をつないで、いざ電源投入しようとしたところ、電源ボタンがないこと...
  • Zabbix 7.0にSNMP Trapを監視する手順 (AlmaLinux 9+SNMPTT)
    以下記事で、AlmaLinux9.4+Zabbix 7.0のインストール手順を記載した。 Zabbix 7.0インストール手順 (AlmaLinux 9+MariaDB利用) Zabbix 7.0インストール手順 (AlmaLinux 9+PostgreSQL利用) Z...