NOBTAの気ままにITブログ

Azure全般 / SQL Serverに関する情報を発信していきます。

Azure AD Connect 設定手順 (Active Directory (オンプレミス) - Azure AD 間の同期)

Azure WVD Tips Azure AD Connect

スポンサーリンク

オンプレミス環境上の Active Directory アカウントと同じアカウントを使用して、パブリック クラウド (SaaS, PaaS) にアクセス (シングルサインオン : SSO 含む) させたいと思うことがあるかと思います。

今回は、Azure AD Connect を使用し、オンプレミス Active Directory と Azure Active Directory 間でアカウントの同期をする方法について、自分の整理も兼ねて、まとめてみようと思います。

 

Azure AD Connect v2.0 については、以下の URL を参照。

 

 

Azure AD Connect 設定手順

事前準備 

※ 特に、プロキシ経由でインターネットに接続する場合、「C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config 」 に設定を追加し、Azure AD Connect - Azure Active Directory 間で接続できる状態にする必要があります。

 

設定

1) Azure AD Connect をインストールする Windows サーバー (今回は Windows Server 2019) を用意し、Azure Active Directory に同期させたい オンプレミス環境上の Active Directory ドメインに参加します。

※ 今回は、簡易に構築するため、Azure 仮想マシン上に Active Directry および Azure AD Connect サーバーを構築します。

※ Azure AD Connect サーバーについては、Staging サーバーを使用した冗長化構成を構成することができます。今回は、シングル サーバーとして Azure AD Connect を構成しますが、冗長化構成が必要な場合は、「ステージング サーバーのすゝめ | Japan Azure Identity Support Blog」を参照すると良いかと思います。

 

2) 「サーバー マネージャー」から 「IE セキュリティ強化の構成」が 「有効」の場合、「無効」に変更します。

f:id:nobtak:20210103191712p:plain

 

f:id:nobtak:20210103192058p:plain


3) 「Microsoft Azure Active Directory Connect」(AzureADConnect.msi)を以下の URL からダウンロードし、任意のパスに保存します。

 

f:id:nobtak:20210103192425p:plain

 

4) 3) でダウンロードした「AzureADConnect.msi」を実行します。

f:id:nobtak:20210103193520p:plain


5) 「ライセンス条項 および プライバシーに関する声明 に同意します。」にチェックし、「続行」を選択します。

f:id:nobtak:20210103193710p:plain

 

6) 「カスタマイズ」を選択します。

f:id:nobtak:20210103194022p:plain

※ 今回は「カスタマイズ」を選択しますが、単一 Windows Server Active Directory ファレスト かつ パスワード ハッシュ同期 を選択する場合、「簡易設定」を選択したほうが簡易に設定が可能です。 詳細は「Azure AD Connect: 簡単設定を使用した開始 | Microsoft Docs」を参照。

 

7) 必要に応じて必須コンポーネントを選択し、「インストール」を選択します。 

f:id:nobtak:20210103195613p:plain

・カスタム インストール先を指定する :  Azure AD Connect の既定のインストール パスを変更します。

・既存の SQL Server を使用する :  既定では Azure AD Connect インストール時、SQL Server Express LocalDB がインストールされますが、データベースのサイズが 10GB に制限されます。 そのため、大量のディレクトリ オブジェクトを管理する必要が場合、データベースのサイズ制限のない SQL Server を構築する必要がでてくる可能性があり、本設定では、既知の SQL Server に接続する必要がある場合に選択します。 

※ その他 コンポーネントの詳細については、「Azure Active Directory Connect のインストールのカスタマイズ | Microsoft Docs」を参照。

 

8) Azure Active Directory の グローバル管理者 アカウントとパスワードを入力後、「次へ」を選択します。 

f:id:nobtak:20210103224007p:plain

※ 今回は、Azure Active Directory に対してカスタム ドメイン設定を実施しているため、「ユーザー名」 欄にカスタム ドメインのドメイン名を使用したアカウント情報を入力しています。

※ 指定した グローバル管理者 アカウント に対して多要素認証(MFA)が有効になっている場合は、指定された認証方式 (SNS, E-mail など) により認証します。

 

9) ディレクトリ タイプ :「Active Directory」、フォレスト欄に 同期するフォレスト名 を入力後、「ディレクトリの追加」を選択します。 

f:id:nobtak:20210103224936p:plain

 

10) 「新しい AD アカウントを作成」を選択後、オンプレミス Active Directory のエンタープライズ管理者の資格情報を入力後、「OK」を選択します。 

f:id:nobtak:20210103225400p:plain

※ 事前に Azure Directory Domain Services コネクタ用のアカウントを作成している場合は、「既存の AD アカウントを使用」を選択します。「Azure AD Connect:アカウントとアクセス許可 | Microsoft Docs」参照。

 

11) 「構成済みディレクトリ」に該当のディレクトリが追加されていることを確認後、「次へ」を選択します。 

f:id:nobtak:20210103230301p:plain

 

12) 「Azure AD ドメイン」:「確認済み」になっていることを確認後、「ユーザー プリンシパル名」:「userPrincipalName」を選択し、「次へ」を選択します。 

f:id:nobtak:20210103230729p:plain

※ Azure AD、Microsoft 365 へのサインイン時には、「userPrincipalName (UPN)」が使用されるため、特に要件がない場合は、「userPrincipalName」を選択します。

 

※ Active Directory (オンプレミス) 側のドメイン名が「.local」の場合、以下のブログを参考に、事前に対策を実施する必要があります。

 

13) Azure Active Directory に同期したいドメイン および 組織 (OU) を要件に応じて選択後、「次へ」を選択します。

f:id:nobtak:20210103231411p:plain


14) 既定の設定のまま、「次へ」を選択します。

※ 要件に応じて設定を変更します。

f:id:nobtak:20210103231816p:plain

※ 詳細については「Azure Active Directory Connect のインストールのカスタマイズ | Microsoft Docs」を参照。

 

15) 必要に応じてフィルタリング設定を追加し、「次へ」を選択します。

f:id:nobtak:20210103232144p:plain

 

16) オプション機能を必要に応じて選択し、「次へ」を選択します。

f:id:nobtak:20210103232944p:plain

※ 詳細については「Azure Active Directory Connect のインストールのカスタマイズ | Microsoft Docs」を参照。

 

17) シングル サインオンを有効にする場合は、「資格情報の入力」を選択し、ドメイン管理者のアカウントの資格情報を入力後、「次へ」を選択します。

f:id:nobtak:20210103234656p:plain

 

18) 「構成が完了したら、同期プロセスを開始する。」にチェック後、「インストール」を選択します。

f:id:nobtak:20210103235059p:plain

f:id:nobtak:20210103235402p:plain

 

19) 構成が完了後、「終了」を選択します。

f:id:nobtak:20210103235526p:plain

 

Azure AD Connect 同期状態確認

1) Azure ポータルに接続し、「Azure Active Directory」を選択します

f:id:nobtak:20210104000046p:plain

 

2) 「管理」-「Azure AD Connect」を選択し、「Azure AD Azure Connect 同期」:同期状態 : 「有効」になっていることを確認します。

※ オプション設定で追加した設定が含まれていることを合わせて確認します。

f:id:nobtak:20210104000342p:plain


3) 「管理」-「ユーザー」を選択し、Active Directory 上のユーザーが Azure Active Directory 上に同期されていることを確認します。

f:id:nobtak:20210104001039p:plain

 

f:id:nobtak:20210104001305p:plain

まとめ

今回は、Azure AD Connect を使用し、オンプレミス Active Directory と Azure Active Directory 間でアカウントの同期をする方法についてまとめてみました。

今回は、「パスワード ハッシュ同期」(オンプレミス Active Directory上のアカウントのパスワード ハッシュを Azure Active Directory と同期) を使用しましたが、要件に応じて、「パススルー認証」、「フェデレーション統合」などを選択されると良いかと思います。

 

[参考情報]

Azure AD Connect および Connect Health とは | Microsoft Docs

Azure AD とのパスワード ハッシュ同期とは | Microsoft Docs

 

※ 今回の手順は、【保存版】Windows Virtual Desktop (WVD) 構築手順 (検証環境) に含まれています。

1. Windows Virtual Desktop (WVD) のメリット
2. Windows Virtual Desktop (WVD) 構築
 ・事前準備
  ・Azure 無償/有償 サブスクリプション
  ・Microsoft 365 無償/有償 サブスクリプション
  ・Azure Active Directory カスタムドメイン設定
 ・構築
  ・Azure AD Connect 同期設定
  ・Azure AD Domain Services 構築
  ・Windows Virtual Desktop (WVD) 用イメージの作成手順
  ・Windows Virtual Desktop (WVD) ホストプール作成手順
  ・デスク トップ アプリケーション グループへ接続ユーザーの登録
  ・Windows Virtual Desktop (WVD) 接続手順
3. まとめ