Azure AD Connect を使用した Active Directory (オンプレミス) - Azure AD 間の同期に関する基本的な設定方法について、前回 以下のブログでまとめてみました。
Azure AD Connect を使用して、 Active Directory (オンプレミス) - Azure AD 間の同期を実施する場合、Active Directory (オンプレミス) 側のドメイン名が「.local」の場合には、Azure AD 側のカスタム ドメイン名に「.local」を指定することはできず、同期の設定を工夫する必要があります。
今回は、Active Directory (オンプレミス) 側のドメイン名が「.local」の場合に、Azure AD Connect を使用した Azure AD 間の同期方法について、自分の整理も兼ねてまとめてみようと思います。
Azure AD Connect 設定手順 (Active Directory (オンプレミス) 側のドメイン名が「.local」)
Microsoft 365 と連携する場合など、Azure AD に カスタム ドメイン を設定することが多いかと思ます。
Azure AD カスタム ドメインの設定方法については、以下のブログを参照
しかしながら、Active Directory (オンプレミス) 側のドメイン名が「.local」場合、Azure AD 側のカスタム ドメイン名に「.local」を指定することができず、また、Azure AD Connect を使用して Azure AD 間で同期設定をすることができません。
そのため、以下の何れかの方法を実施する必要があります。
- 方法1 : Azure AD のカスタム ドメインに設定したカスタムドメイン名と同じ名前を、オンプレミス Active Directory 側に「代替のUPNサフィックス」として登録後、オンプレミス Active Directory 上の Azure ADと同期対象ユーザーの「UPNサフィックス」を更新
- 方法2 : オンプレミス Active Directory 上の Azure ADと同期対象ユーザーの「電子メール」(Mail) 属性に Azure AD のカスタム ドメインに設定したドメインのサフィックス名と同じ名前のメールアドレス情報を設定し、Azure AD Connect の同期設定で、UPN (userPrincipalName) の代わりに、「電子メール」(Mail) 属性を Azure AD 側の UPN (userPrincipalName) として同期するように設定
方法1 : 「代替のUPNサフィックス」による同期設定
1) オンプレミス Active Directory 上で、「Windows 管理ツール」-「Active Directory ドメインと信頼関係」を選択します。
2) 「Active Directory ドメインと信頼関係」- 右クリック -「プロパティ」を選択します。
3) Azure AD のカスタム ドメインに設定したカスタムドメイン名と同じ名前を UPN サフィックスに追加後、「適用」を選択します。
4) オンプレミス Active Directory 上で、「Windows 管理ツール」-「Active Directory ユーザーとコンピュータ」を選択します。
5) Azure AD と同期対象のユーザー - 右クリック -「プロパティ」を選択します。
6) アカウント タブ -「UPN サフィックス」に 3) で追加した UPN サフィックスを選択し、「適用」を選択します。
上記までの作業を Azure AD Connect の同期対象となる全ユーザーに対して実行します。同期対象となるユーザー数が多い場合は、コマンドから一括で登録することを検討します。
PowerShell を使用してすべてのユーザーの UPN サフィックスを変更する
方法2 : 「電子メール」(Mail) 属性による同期設定
1) オンプレミス Active Directory 上で、「Windows 管理ツール」-「Active Directory ユーザーとコンピュータ」を選択します。
2) Azure AD と同期対象のユーザー - 右クリック -「プロパティ」を選択し、「電子メール」属性に、Azure AD のカスタム ドメインに設定したカスタムドメイン名となっているメールアドレスになっていることを確認します。
3) Azure AD Connect の「Azure AD サインインの構成」画面で、「Azure AD ユーザー名として使用するオンプレミスの属性を選択」: ユーザー プリンシパル名「mail」を選択し、「一部の UPN サフィックスが確認済みドメインに一致していなくても続行する」にチェックし、Azure AD Connect の設定処理を進めます。
[補足]
方法1:「代替のUPNサフィックス」による同期設定、方法2 : 「電子メール」(Mail) 属性による同期設定 の何れかの対策を実施することにより、 Active Directory (オンプレミス) 側のドメイン名が「.local」でも、Azure AD Connect を使用した Azure ADの同期処理を設定することができるようになります。
なお、方法1:「代替のUPNサフィックス」による同期設定 を選択する場合は、オンプレミス Active Directory の変更により、既存のアプリケーションに影響を及ぼすことがないか、検証を実施する必要があるかと思います。
まとめ
今回は、Active Directory (オンプレミス) 側のドメイン名が「.local」の場合に、Azure AD Connect を使用した Azure AD 間の同期方法についてまとめてみました。
Microsoft 365 などの SaaS と連携する場合、Azure AD Connect を使用して Active Directory (オンプレミス) - Azure AD 間を同期する
※ 今回の手順は、以下 構築手順 に含まれています。
- 【保存版】Azure Virtual Desktop (AVD) 構築手順
- 【保存版】Windows Virtual Desktop (WVD) 構築手順 (検証環境)
1. Azure Virtual Desktop (AVD) のメリット
2. Azure Virtual Desktop (AVD) 構築
・事前準備
・Azure 無償/有償 サブスクリプション
・Microsoft 365 無償/有償 サブスクリプション
・Azure Active Directory カスタムドメイン設定
・構築
・Azure AD Connect 同期設定
・Azure AD Domain Services 構築
・Azure Virtual Desktop (AVD) 用イメージの作成手順
・Azure Virtual Desktop (AVD) ホストプール作成手順
・デスク トップ アプリケーション グループへ接続ユーザーの登録
・Azure Virtual Desktop (AVD) 接続手順
3. まとめ
1. Windows Virtual Desktop (WVD) のメリット
2. Windows Virtual Desktop (WVD) 構築
・事前準備
・Azure 無償/有償 サブスクリプション
・Microsoft 365 無償/有償 サブスクリプション
・Azure Active Directory カスタムドメイン設定
・構築
・Azure AD Connect 同期設定
・Azure AD Domain Services 構築
・Windows Virtual Desktop (WVD) 用イメージの作成手順
・Windows Virtual Desktop (WVD) ホストプール作成手順
・デスク トップ アプリケーション グループへ接続ユーザーの登録
・Windows Virtual Desktop (WVD) 接続手順
3. まとめ
※ 2021年12月更新
