NOBTAの気ままにITブログ

Azure全般 / SQL Serverに関する情報を発信していきます。

Azure AD Connect v2.0 設定手順 (オンプレミス Active Directory - Azure AD 間の同期)


スポンサーリンク

オンプレミス環境上の Active Directory アカウントと同じアカウントを使用して、パブリック クラウド サービス (Microsoft 365、ServiceNow、Box など) に シングル サインオン (SSO) などによりアクセスさせたいと思うことがあるかと思います。

今回は、Azure AD Connect v2.0 を使用し、オンプレミス Active Directory と Azure Active Directory 間でアカウントを同期する方法について、自分の整理も兼ねて、まとめてみようと思います。

※ Azure AD Connect v2.0 では、セットアップ時に既定で SQL Server 2019 LocalDB がインストールされるようになります。以前のバージョンでは、セットアップ時に既定で SQL Server 2012 LocalDB がインストールされていました。

なお、SQL Server 2012 LocalDB は、2022年7月に延長サポートが終了するため、新たに Azure AD Connect サーバーを構築する場合は、Azure AD Connect v2.0 をインストールしたほうが良いかと思います。

 

 

Azure AD Connect 設定手順

事前準備 

※ プロキシ経由でインターネットに接続する場合、「C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config」にプロキシ設定を追加し、Azure AD Connect サーバー - Azure Active Directory 間で通信が行える状態にする必要があります。

 

設定 

1) Azure AD Connect をインストールする Windows サーバー (今回は Windows Server 2019) を用意し、Azure Active Directory に同期させたい オンプレミス環境上の Active Directory ドメインに参加します。

※ 今回は、簡易的に構築するため、Azure 仮想マシン上に Active Directory および Azure AD Connect サーバーを構築しようと思います。

 

2) 「サーバー マネージャー」から 「IE セキュリティ強化の構成」が 「有効」の場合、「無効」に変更します。

f:id:nobtak:20210103191712p:plain

 

f:id:nobtak:20210103192058p:plain

 

3) 「Microsoft Azure Active Directory Connect」(AzureADConnect.msi)を以下の URL からダウンロードし、任意のパスに保存します。

 

4) 3) でダウンロードした「AzureADConnect.msi」を実行します。

f:id:nobtak:20210103193520p:plain

 

5) 「ライセンス条項 および プライバシーに関する声明 に同意します。」にチェックし、「続行」を選択します。

f:id:nobtak:20211207024817p:plain


6) 「カスタマイズ」を選択します。

f:id:nobtak:20211208022432p:plain

※ 今回は「カスタマイズ」を選択しますが、単一 Windows Server Active Directory ファレスト かつ パスワード ハッシュ同期 を選択する場合、「簡易設定」を選択したほうが簡易に設定が可能です。

「簡易設定」を選択した場合のインストール手順については、以下の URL を参照

 

7) 必要に応じて必須コンポーネントを選択し、「インストール」を選択します。 

f:id:nobtak:20211208022047p:plain

・カスタム インストール先を指定する :  Azure AD Connect の既定のインストール パスを変更します。

・既存の SQL Server を使用する :  既定では Azure AD Connect インストール時、SQL Server Express LocalDB がインストールされますが、データベースのサイズが 10GB に制限されます。 そのため、大量のディレクトリ オブジェクトを管理する必要が場合、データベースのサイズ制限のない SQL Server を構築する必要がでてくる可能性があり、本設定では、既知の SQL Server に接続する必要がある場合に選択します。 

※ Azure AD Connect v2.0 では、SQL Server 2019 Express LocalDB がインストールされます。

オプションの詳細については、以下の URL を確認。

 

8) Azure Active Directory の グローバル管理者 アカウントとパスワードを入力後、「次へ」を選択します。 

f:id:nobtak:20211208023135p:plain

・パスワード ハッシュの同期 :  オンプレミス Active Directory の ユーザー/パスワードを使用し、Microsoft 365、クラウド サービスにサインインが可能になります。
本方式の場合、オンプレミス Active Directory ユーザー パスワードがパスワード ハッシュとして Azure AD に同期されます。

・パススルー認証 :  オンプレミス Active Directory の ユーザー/パスワードを使用し、Microsoft 365、クラウド サービスにサインインが可能になります。
本方式の場合、ユーザー パスワードはオンプレミスの Active Directory 側で検証が行われる点が「パスワード ハッシュの同期」と異なります。

サインイン方式の詳細については、以下の URL を参照

 

9) Azure AD Connect で同期したい Azure Active Directoryの グローバル管理者 アカウント と パスワード を入力後、「次へ」を選択します。 

f:id:nobtak:20211208024820p:plain

※ 今回は、Azure Active Directory に対してカスタム ドメイン設定を実施しているため、「ユーザー名」 欄にカスタム ドメインのドメイン名を使用したアカウント情報を入力しています。

※ 指定した グローバル管理者 アカウント に対して多要素認証(MFA)が有効になっている場合は、指定された認証方式 (SNS, E-mail など) により認証します。


10) ディレクトリ タイプ :「Active Directory」、フォレスト欄に 同期するフォレスト名 を入力後、「ディレクトリの追加」を選択します。 

f:id:nobtak:20211208025420p:plain


11) 「新しい AD アカウントを作成」を選択後、オンプレミス Active Directory のエンタープライズ管理者の資格情報を入力後、「OK」を選択します。 

f:id:nobtak:20211208025926p:plain

※ 事前に Azure Directory Domain Services コネクタ用のアカウントを作成している場合は、「既存の AD アカウントを使用」を選択します。

参考 URL

 

12) 「構成済みディレクトリ」に該当のディレクトリが追加されていることを確認後、「次へ」を選択します。 

f:id:nobtak:20211208034118p:plain

 

13) 「Azure AD ドメイン」:「確認済み」になっていることを確認後、「ユーザー プリンシパル名」:「userPrincipalName」を選択し、「次へ」を選択します。 

f:id:nobtak:20210103230729p:plain

※ Azure AD、Microsoft 365 へのサインイン時には、「userPrincipalName (UPN)」が使用されるため、特に要件がない場合は、「userPrincipalName」を選択します。

 

※ Active Directory (オンプレミス) 側のドメイン名が「.local」の場合、以下のブログを参考に、事前に対策を実施する必要があります。

 

14) Azure Active Directory に同期したいドメイン および 組織 (OU) を要件に応じて選択後、「次へ」を選択します。

f:id:nobtak:20211208031746p:plain

 

15) 既定の設定のまま、「次へ」を選択します。

※ 要件に応じて設定を変更します。

f:id:nobtak:20211208031905p:plain

 

詳細については、以下の URL を参照

 

16) 必要に応じてフィルタリング設定を追加し、「次へ」を選択します。

f:id:nobtak:20211208032155p:plain


17) オプション機能を必要に応じて選択し、「次へ」を選択します。

f:id:nobtak:20211208032343p:plain

 

詳細については、以下の URL を参照

 

18) 「構成が完了したら、同期プロセスを開始する。」にチェック後、「インストール」を選択します。

f:id:nobtak:20211208032758p:plain

 

f:id:nobtak:20211208032836p:plain


19) 構成が完了後、「終了」を選択します。

f:id:nobtak:20211208033316p:plain

 

Azure AD Connect 同期状態確認

1) Azure ポータルに接続し、「Azure Active Directory」を選択します

f:id:nobtak:20210104000046p:plain

 

2) 「管理」-「Azure AD Connect」を選択し、「Azure AD Azure Connect 同期」:同期状態 : 「有効」になっていることを確認します。

※ オプション設定で追加した設定が含まれていることを合わせて確認します。

f:id:nobtak:20210104000342p:plain


3) 「管理」-「ユーザー」を選択し、Active Directory 上のユーザーが Azure Active Directory 上に同期されていることを確認します。

f:id:nobtak:20210104001039p:plain

 

f:id:nobtak:20210104001305p:plain

まとめ

今回は、Azure AD Connect を使用し、オンプレミス Active Directory と Azure AD 間でアカウントの同期をする方法についてまとめてみました。

今回の手順では、「パスワード ハッシュ同期」(オンプレミス Active Directory上のアカウントのパスワード ハッシュを Azure Active Directory と同期) を使用しましたが、Azure AD 上に オンプレミス Active Directory上のアカウントのパスワード ハッシュ を保持することができないなどの要件がある場合は、代わりに 「パススルー認証」などの他の方式を選択することを検討されると良いかと思います。

 

[参考情報]

Azure AD Connect および Connect Health とは | Microsoft Docs

Azure AD とのパスワード ハッシュ同期とは | Microsoft Docs

 

※ 今回の手順は、以下 構築手順 に含まれています。

  • 【保存版】Azure Virtual Desktop (AVD) 構築手順

1. Azure Virtual Desktop (AVD) のメリット
2. Azure Virtual Desktop (AVD) 構築
 ・事前準備
  ・Azure 無償/有償 サブスクリプション
  ・Microsoft 365 無償/有償 サブスクリプション
  ・Azure Active Directory カスタムドメイン設定
 ・構築
  ・Azure AD Connect 同期設定
  ・Azure AD Domain Services 構築
  ・Azure Virtual Desktop (AVD) 用イメージの作成手順
  ・Azure Virtual Desktop (AVD) ホストプール作成手順
  ・デスク トップ アプリケーション グループへ接続ユーザーの登録
  ・Azure Virtual Desktop (AVD) 接続手順
3. まとめ

 

※ 2021年12月更新