こんにちは。石坂です。
今回は Azure AD Connect クラウド同期 を利用して、オンプレミス Active Directory のユーザーやグループ情報を Azure AD に同期をする方法をご紹介します。
目次は、以下の通りです。
Azure AD Connect クラウド同期 ( 以下、AADC クラウド同期 ) は、オンプレミス Active Directory ( 以下、オンプレ AD ) のユーザーやグループ、連絡先情報を Azure AD に同期するサービスです。オンプレ AD の情報を Azure AD に同期する場合、従来は、同期用サーバーを構築し、Azure AD Connect アプリケーションを利用して同期構成を行う必要がありました。
それに対して AADC クラウド同期は、同期サーバーの構築や、アプリケーションのインストールは不要となります。Azure AD Connect Provisioning Agent と呼ばれる軽量のエージェントをドメインコントローラーにインストールすることで、同期構成がクラウド上で管理され、Azure AD への同期を実現することが可能となります。
AADC クラウド同期を利用することのメリットとして、複数のドメインコントローラーに軽量のエージェントをインストールして、同期の冗長構成を実現できる点があります。Azure AD Connect では一元的な同期が実現できるよう、[ アクティブ ] な状態の同期サーバーは 1 台しか存在できない仕様でした。一方で、AADC クラウド同期の場合は、複数のエージェントを使用することで、高可用な同期構成を簡素化することが可能となります。
また、その他のメリットとして、Metaverse や Connector - space などの Azure AD Connect 内部のストレージ領域はクラウド上で管理されるため、Azure AD Connect と比較するとより少ないサーバーのリソースを使用して同期構成を実現できる点や、Azure AD Connect ではサポートされていなかった信頼関係のない複数の Active Directory フォレストを Azure AD に接続できる点などがあります。
前述した通り、AADC クラウド同期は、同期サーバーの構築や Azure AD Connect アプリケーションのインストールは不要となり、軽量なエージェントを利用して オンプレ AD のユーザーやグループ情報を Azure AD に同期することが可能です。
一方で、AADC クラウド同期は、Azure AD Connect の機能を完全に代替するものではありません。両者の違いとして、Azure AD Connect クラウド同期では、デバイス情報の同期は実装されていないため Hybrid Azure AD Join 構成をとることができない点やパススルー認証が実装されていないなどの違いがあります。AADC クラウド同期とAzure AD Connect との主な差異については、下記表に記載しました。
なお、その他にも Azure AD Connect では提供されていますが、Azure AD Connect クラウド同期ではサポートされていない機能が複数あります。両者の違いに関する詳細は、以下の Microsoft 公開情報をご参照下さい。
| Azure AD Connect | Azure AD Connect クラウド同期 | |
|---|---|---|
| ユーザー・グループオブジェクトの同期 | ○ | ○ |
| デバイスオブジェクトの同期 | ○ | ✕ |
| パスワードハッシュ同期のサポート | ○ | ○ |
| パススルー認証のサポート | ○ | ✕ |
| パスワードライトバックのサポート | ○ | ○ ( ※1 ) |
| シームレスシングルサインオンのサポート | ○ | ○ ( ※2 ) |
| Exchange ハイブリットの書き戻し | ○ | ✕ |
| グループの書き戻し | ○ | ✕ |
| 同期間隔のカスタマイズ | ○ | ✕ ( ※3 ) |
※1
パスワードライトバック機能を実装するには専用のスクリプトをインストールする必要があります。詳細な実装方法は、下記の公開情報をご参照下さい。
チュートリアル : クラウド同期セルフサービスパスワードリセットのオンプレミス環境へのライトバックを有効にする
※2
AADC クラウド同期ではエージェントをインストールする際、SSO を有効にするオプションは用意されていません。AADC クラウド同期にて SSO の機能を利用する場合は、以下の公開情報の手順に沿って、SSO を構成する必要があります。
クラウド同期でシングルサインオンを使用する方法
※3
AADC クラウド同期では同期間隔をカスタマイズすることはできません。既定で 2 分おきに、ユーザー、グループ、パスワードハッシュ値が、Azure AD に同期されるようにスケジュールされています。
AADC クラウド同期を利用する場合は、Azure AD とドメインコントローラー側で、以下の前提条件を満たす必要があります。
それでは、Azure AD Connect クラウド同期を利用して、オンプレ AD のユーザーやグループ情報を Azure AD に同期する方法をご紹介します。
Azure AD Connect クラウド同期の設定は、以下の流れで行っていきます。
はじめに、Azure AD Connect Provisioning Agent のダウンロード方法についてご紹介します。
1. Azure Active Directory 管理センターにログインします。
2. [ Azure AD Connect ] - [ Azure AD クラウド同期を管理する ] をクリックします。
3. [ エージェントのダウンロード ] をクリックします。
4. [ 使用条件に同意してダウンロードする ] をクリックしてエージェントをダウンロードします。
Azure AD Connect Provisioning Agent のダウンロード手順は以上です。
続いて、ダウンロードした Azure AD Connect Provisioning Agent を利用中のドメインコントローラーにインストールします。
1. ダウンロードしたAzure AD Connect プロビジョニングのインストーラを実行します。
[ Microsoft Azure AD Connect プロビジョニング エージェント パッケージ ] 画面で、ライセンス条項に同意します。
2. インストールが完了すると、構成ウィザードが起動するので、[ 次へ ] をクリックします。
3. 資格情報の入力画面が表示されるので、Azure AD 全体管理者アカウントとパスワードを入力し、[ サインイン ] をクリックします。
4. [ サービスアカウントの構成 ] 画面が表示されます。
本手順では、新規にグループサービス管理アカウント ( Group Managed Service Accounts ) を作成するため、[ gMSA の作成 ( Create gMSA ) ]を選択し、ドメイン管理者の資格情報を入力し、[ 次へ ] をクリックします。
※既存のグループサービス管理アカウントを利用する場合は [ Use custom gMSA ( カスタム gMSA を使用する ) ] を選択します。
グループサービス管理アカウント ( Group Managed Service Accounts ) についての詳細は、下記の Microsoft 公開情報をご参照ください。
Azure AD Connect クラウド同期の前提条件
5. Active Directory のドメイン情報が正しく入力されていることを確認し、[ 次へ ] をクリックします。
6. [ エージェントのインストール ] 画面で、作成されるアカウントを確認し、[ 確認 ] をクリックします。
[ 確認 ] をクリックすると、Azure AD へのエージェントの登録が開始します。
7. 操作が終了すると、"エージェントのインストールが完了されました。"と表示されるので、[ 終了 ] をクリックします。
Azure AD Connect クラウド同期のインストール手順は以上です。
エージェントのインストールが完了したら、Azure AD 管理センターにログインし、正常にインストールされたことを確認します。
1. Azure Active Directory 管理センターにログインします。
2. [ Azure AD Connect ] - [ Azure AD クラウド同期を管理する ] をクリックします。
3. [ すべてのエージェントの確認 ] をクリックします。
4. [ オンプレミスの provisioning エージェント ] 画面に、インストールされたエージェントが表示されます。該当するエージェントが存在し、[アクティブ] としてマークされていることを確認します。
AADC クラウド同期を使用する場合は、Azure AD 側でクラウド同期構成の新規作成を行います。
1. Azure Active Directory 管理センターにログインします。
2. [ Azure AD Connect ] - [ Azure AD クラウド同期を管理する ] をクリックします。
3. [ + 新しい構成 ] をクリックします。
4. 構成画面で、同期する Active Directory のドメイン確認と、パスワードハッシュ同期を有効にするかどうかを選択し、[ 作成 ] をクリックします。
5. 作成が完了すると、[ クラウド同期構成の編集 ] 画面が表示されます。
クラウド同期構成の新規作成手順は以上となります。続いて、クラウド同期構成の編集を行います。
同期スコープの設定では、同期対象とするオンプレ AD のユーザーやグループ情報を指定します。
1. [ スコープ ] より、[ クリックしてスコープ フィルターを編集します ] をクリックします。
2. [ ユーザーのスコープを指定する ] の画面が表示されるので、同期対象とするユーザーのスコープを指定します。
セキュリティグループまたは OU 単位で同期を行う場合は、[ 選択したセキュリティグループ ] または [ 選択した組織単位 ] のいずれかを選択し、識別子名 ( DN ) を入力して、[ 追加 ] をクリックします。
ここでは、例として事前に Active Directory 上に作成した同期用 OU 名を入力します。
※識別子名 ( DN ) を入力する際は、以下の様に記入します。
例 : OU=xxxxxx,DC=example,DC=com
3. 同期対象とするオブジェクトの識別子名が追加されたことを確認し、[ 完了 ] をクリックします。
AADC クラウド同期の [ 属性の管理 ] を使用することで、Active Directory のオブジェクトと Azure AD 内のオブジェクトの属性をマッピングすることができます。
例えば、Active Directory に存在するユーザーの [ 国 / 地域 ] の属性を Azure AD 上のユーザーの [ 利用場所属性 ] にマッピングさせるなど、既定の属性マッピングをビジネスニーズに合わせてカスタマイズすることが可能です。
属性マッピングの設定方法の詳細に関しましては、下記の Microsoft 公開情報をご参照ください。
Azure AD Connect クラウド同期の属性マッピング
同期検証では、ユーザーオブジェクトの同期が正常に行われるか事前に検証します。
1. [ 検証 ( 推奨 ) ] にて、[ ユーザーのプロビジョニング ] をクリックします。
2. [ 要求時にプロビジョニング ] 画面が表示されるので、[ ユーザーを入力 ] 欄にユーザーの識別名を入力し、[ プロビジョニング ] をクリックします。
3. 緑のチェックマークが全てに付くことを確認し、[ 完了 ] をクリックします。
[ 設定 ] では、通知用のメールアドレスの指定や、誤削除の防止機能に関する設定を行います。
1. [ 通知用のメール ] に、通知用のメールアドレスメールを入力します。プロビジョニングが正常でない場合に指定したメールアドレスにメッセージが通知されます。
2. [ 誤削除を防ぐ ] にチェックが入っていることを確認します。
[ 誤削除のしきい値 ] では、削除されたオブジェクト数が指定した閾値に達すると、同期が停止し、指定されたメールアドレスに通知が送信されます。
詳細については、以下の Microsoft 公開情報をご参照ください。
誤削除防止
1. [ 配置 ] にて、セレクターが [ 有効 ] になっていることを確認します。これを有効にすることで、スコープ内のユーザーとグループが同期されます。
2. 上部の [ 保存 ] をクリックし、[ クラウド同期構成 ] のポップアップにて [ はい ] を選択します。
同期構成が完了するまでしばらく待機し、“同期が正常に完了しました”と通知が表示されたら同期構成の編集は以上で完了です。
正常に AADC クラウド同期が開始されたかを確認します。
1. Azure Active Directory 管理センターにログインします。
2. [ Azure AD Connect ] - [ Azure AD クラウド同期を管理する ] をクリックします。
3. 作成したクラウド同期構成の状態が [ 正常 ] になっていることを確認します。
4. さいごに、Active Directory のユーザー情報が Azure AD に正常に同期されていることを確認します。
[ すべてのユーザー ] にて、同期 OU 内のユーザーオブジェクトが同期されていることを確認できました。
※「 同期されたディレクトリ 」 が 「 はい 」 のユーザーが同期オブジェクトとなります。
5. 同様に、[ すべてのグループ ] にて同期 OU 内のグループオブジェクトが同期されていることを確認できました。
※「 ソース 」 が 「 Windows Server AD 」 となっているグループが同期オブジェクトとなります。
ブラウザで Office 365 にアクセスし、同期ユーザーの資格情報でサインインできることを確認します。
1. Azure AD に同期したユーザーの資格情報を入力します。
2. 無事に、同期ユーザーにて Office 365 にサインインできることを確認できました。
今回は、AADC クラウド同期を利用したユーザー同期をテーマとして、AADC クラウド同期の機能紹介や Azure AD Connect との違い、実際の設定方法についてご紹介しました。
AADC クラウド同期を利用することで、複数のエージェントを使用して同期の可用性を向上できる点や、より少ないリソースで簡単に同期環境を構築できる点など、Azure AD Connect にはないメリットについてもお伝えしました。
一方で、AADC クラウド同期は Azure AD Connect の機能を完全に代替するものではありません。本機能をご利用になる場合は、Azure AD Connect との比較に関する公開情報をご参考に、要件に沿った機能が構成可能かご検討ください。
最後までお読みいただきありがとうございました!
