Azure AD Connect v2.0 を使用した オンプレミス Active Directory - Azure AD 間の同期に関する基本的な設定方法について、以下のブログでまとめてみました。
Azure AD Connect を使用して、 オンプレミス Active Directory - Azure AD 間の同期を実施する際、オンプレミス Active Directory 側のドメイン名が「.local」の場合、Azure AD カスタム ドメイン名に「.local」を指定することはできないため、同期の設定を工夫する必要があります。
今回は、オンプレミス Active Directory側のドメイン名が「.local」の場合に、Azure AD Connect v2.0 を使用した Azure AD 間の同期方法について、自分の整理も兼ねてまとめてみようと思います。
[環境]
オンプレミス : Windows Server 2019 Active Directory
Azure AD Connect v2.0 設定手順 (オンプレミス Active Directory側のドメイン名が「.local」の場合)
Azure AD 上においても、オンプレミスで使用しているドメインと同じドメイン名でユーザーの認証したい場合などに、Azure AD にカスタム ドメインを設定することが多いかと思います。
Azure AD カスタム ドメインの設定方法については、以下のブログを参照
しかしながら、Active Directory (オンプレミス) 側のドメイン名が「.local」場合、Azure AD 側のカスタム ドメイン名に「.local」を指定することができず、また、Azure AD Connect を使用して Azure AD 間で同期設定をすることができません。
そのため、以下の何れかの方法を実施する必要があります。
- 方法1
Azure AD のカスタム ドメインに設定したカスタムドメイン名と同じ名前を、オンプレミス Active Directory 側に「代替のUPNサフィックス」として登録後、オンプレミス Active Directory 上の Azure ADと同期対象ユーザーの「UPNサフィックス」を更新
- 方法2
オンプレミス Active Directory 上の Azure ADと同期対象ユーザーの「電子メール」(Mail) 属性に Azure AD のカスタム ドメインに設定したドメインのサフィックス名と同じ名前のメールアドレス情報を設定し、Azure AD Connect の同期設定で、UPN (userPrincipalName) の代わりに、「電子メール」(Mail) 属性を Azure AD 側の UPN (userPrincipalName) として同期するように設定
方法1 : 「代替のUPNサフィックス」による同期設定
1) オンプレミス Active Directory 上で、「Windows 管理ツール」-「Active Directory ドメインと信頼関係」を選択します。
2) 「Active Directory ドメインと信頼関係」- 右クリック -「プロパティ」を選択します。
3) Azure AD のカスタム ドメインに設定したカスタムドメイン名と同じ名前を UPN サフィックスに追加後、「適用」を選択します。
4) オンプレミス Active Directory 上で、「Windows 管理ツール」-「Active Directory ユーザーとコンピュータ」を選択します。
5) Azure AD と同期対象のユーザー - 右クリック -「プロパティ」を選択します。
6) アカウント タブ -「UPN サフィックス」に 3) で追加した UPN サフィックスを選択し、「適用」を選択します。
上記までの作業を Azure AD Connect の同期対象となる全ユーザーに対して実行します。同期対象となるユーザー数が多い場合は、コマンドから一括で登録することを検討します。
参考情報
方法2 : 「電子メール」(Mail) 属性による同期設定
1) オンプレミス Active Directory 上で、「Windows 管理ツール」-「Active Directory ユーザーとコンピュータ」を選択します。
2) Azure AD と同期対象のユーザー - 右クリック -「プロパティ」を選択し、「電子メール」属性に、Azure AD のカスタム ドメインに設定したカスタムドメイン名となっているメールアドレスになっていることを確認します。
3) Azure AD Connect の「Azure AD サインインの構成」画面で、「Azure AD ユーザー名として使用するオンプレミスの属性を選択」: ユーザー プリンシパル名「mail」を選択し、「一部の UPN サフィックスが確認済みドメインに一致していなくても続行する」にチェックし、Azure AD Connect の設定処理を進めます。
[補足]
方法1:「代替のUPNサフィックス」による同期設定、方法2 : 「電子メール」(Mail) 属性による同期設定 の何れかの対策を実施することにより、 Active Directory (オンプレミス) 側のドメイン名が「.local」でも、Azure AD Connect を使用した Azure ADの同期処理を設定することができるようになります。
なお、方法1:「代替のUPNサフィックス」による同期設定 を選択する場合は、オンプレミス Active Directory の変更により、既存のアプリケーションに影響を及ぼすことがないか、検証を実施する必要があるかと思います。
まとめ
今回は、オンプレミス Active Directory 側のドメイン名が「.local」の場合に、Azure AD Connect v2.0 を使用した Azure AD 間の同期方法についてまとめてみました。
オンプレミス Active Directory 側のドメイン名が「.local」の場合、Azure AD Connect v2.0 を利用し、Azure AD と同期させるためには工夫が必要となりますが、アカウントの二重管理が不要となるため、今回紹介した何れかの代替方法で同期させることをお勧めします。
※ 2021年12月時点
