Azure Active Directory(AAD)の基本操作

ハイブリッドクラウドへの道 ~The road to hybrid cloud.~ Vol.2

「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~ Vol.2」では、ハイブリッドクラウドのキモとなるAzure Active Directory(AAD)の基本操作を確認します。ドメインコントローラーをAzure Active Directory Domain Servicesに置き換えるにしろ、Office365などを利用するにしろ、AADは必ず必要となるシステムです。

今回はAADの構築方法から、クライアントPCのAAD参加方法、AADのユーザーアカウントによるリモートデスクトップの接続方法までを紹介します。

Azure Active Directoryの作成

まずはディレクトリの構築から始めてみましょう。Azureポータルにログインします。ログインした時点で、実はすでにディレクトリは1つ作成されている状態となっています。TOPページから「Azure Active Directory」を選択します。

「既定のディレクトリ」という名前で、ログインしているユーザーのメールアドレスから生成された名前(*****.onmicrosoft.com)で既定のディレクトリが作成されています。Azureのサブスクリプションは必ず1つのディレクトリと紐づいている(別のディレクトリにサブスクリプションの紐づけを変更=「ディレクトリの変更」することも可能です)ので、ポータルにログインした時点(Azureのアカウントを作成した時点)でサブスクリプションとディレクトリが割り当てられます。

ログイン直後は登録されているユーザーは自分1人だけの状態です。このまま既定のディレクトリを利用してもよいのですが、AADの理解を深めるために新しくディレクトリを作成してみましょう。

ポータルのTOPページから「リソースの作成」-「新規」-「ID」を選択します。

ディレクトリ作成に必要な情報を入力します。

たったこれだけの操作で新しいAADが無料で作成されました。

ユーザーの作成

ユーザーメニューから作成します。新しいディレクトリを作成したユーザー自身がすでに管理者として登録されていますが、「ソース」の項目に“外部のAzure Active Directory”と表示されています。元々のディレクトリと、新しく作成したディレクトリなど複数のディレクトリに跨ってユーザーは所属することができます。

この新しいディレクトリにユーザーを追加してみましょう。

左メニューから「ユーザー」-「新しいユーザー」を選択します。ユーザー情報を入力して作成します。

ユーザーを追加しました。ユーザー名は[email protected](ユーザー名@ディレクトリ名)という表記になります。「ソース」の項目には“Azure Active Directory”と表示されています。このディレクトリが既定のユーザーとなります。

ユーザーにロール(権限)を設定します。このディレクトリの管理者として「グローバル管理者」のロールを割り当てます。

Azure Active Directoryに参加

では、新しく作成したアカウントでAADに参加してみましょう。今回はAzure上に仮想マシンとして作成したWindows10からの参加となります。ノートPCなどからでも、インターネットに接続できている環境であれば同様にAADに参加することが可能です。これは「Azure AD Join」と呼ばれる機能ですが、Windows10のみ利用できる機能となります(Windows Serverでは利用できません)。

【参考】Azure Active Directoryへの「参加」と「登録」
AADに「参加」というと、Windows Server Active Directory(WSAD)=オンプレミスのWindowsドメインに参加するのと同じようなものというイメージが強いとは思いますが、AADに参加することとは意味合いが異なります。前回も書きましたが、AADとWSADは別物です。AADに参加するということは、新しい認証サービスを利用するために参加する(登録する)ということになります。AADを利用することによって、様々なOSのデバイスからOffice365やAADに登録されたサービスのID管理を行うことが目的となります(Bring Your Own Device=BYOD)。AADではユーザーが利用するデバイス単位にアクセス制限や管理することが可能です。

AADを利用する場合には、利用するデバイスに対して許可を与える必要があります。その方法が「参加」と「登録」になります。AADに「参加」できるデバイスはOSとしてWindows10を利用している場合だけです。Windows10からは「Azure AD Join」で参加が可能です。一方、AADに「登録」できるのはWindows OSだけでなく、Androidやアップル製のOSも含まれます。「参加」または「登録」されたデバイスだけがAADを利用して各種サービ

AAD参加AAD登録
対象デバイスOSWindows10Windows OS
Android
macOS
iOS

Windows10からAADへの参加手順です。

まずはローカルアカウントでWindows10にログインします。スタートメニューから「設定」-「アカウント」を選択します。

左メニューから「職場または学校にアクセスする」を選択して「接続」クリックします。

「このデバイスをAzure Active Directoryに参加させる」を選択します。

先ほど作成したユーザー名を入力します。

ユーザー作成時のパスワードを入力します。

AADに初めてサインインする場合、パスワードの更新が必要となります。

「参加する」を選択します。

AADに参加できました。

参加後には「Azure ADに接続済み」との表示が確認できます。

ドメインとワークグループの設定では、変化はなくワークグループのままです。

Windows10の管理ツール「ローカルユーザーとグループ」から、Administratorsグループを確認してみると、”AzureAD\wini1”のユーザーがローカル管理者グループに登録されています。

Azureに戻ってAADのデバイスメニューを確認してみると、AADに参加したWindows10デバイスと所有者(ユーザー)が紐づいて確認できます。

AADのアカウントでリモートデスクトップ接続

AADに参加できたので、一度サインアウトして、AADのユーザーからリモートデスクトップ接続でWindows10にサインインをしてみましょう。

リモートデスクトップ接続のクライアントツールを利用します。AADのアカウントで接続する場合、いくつか特別な設定が必要となります。

まず、接続するためのユーザー名は“.\AzureAd\ユーザー名”という形式になるため、“.\AzureAd\[email protected]となります。

ユーザー名は接続設定ファイルに保存したほうが便利ですが、未入力で接続のたびに入力しても問題ありません。

一度この接続情報でRDPファイルとして保存します。

先ほどの設定で保存したRDPファイルをメモ帳で開きます。AADのアカウントでリモートデスクトップ接続を行う場合は、「CredSSPを用いた接続を行わない」という設定が必要となります。

“enablecredsspsupport:i:0”
この一文を追加します。

ユーザー名まで含めると、
enablecredsspsupport:i:0
username:s:.\AzureAd\[email protected]

を追加して保存します。

RDPファイルをダブルクリックしてみましょう。ユーザー名のところに“AzureAD\”から始まるユーザー名が入力されています。パスワードを入力すればAADのアカウントでサインインし、通常のリモートデスクトップ接続が利用できます。

リモートデスクトップから確認してみると、ログインしているユーザーがAADのアカウントとなっています。

AADのアカウントでサインインしているので、AADでサービスを登録すれば、Windows10からは以後追加の認証無しにシングルサインオンで様々なサービスを利用することができるようになっています。

以上、Azure Active Directoryの基本操作の紹介となりました。
少しずつですがハイブリッドクラウド実現に向けて近づいていきましょう。

次回は、Azure Active Directory Domain Servicesを紹介します。

著書の紹介欄

Hyper-Vで本格的なサーバー仮想環境を構築。仮想環境を設定・操作できる!

できるPRO Windows Server 2016 Hyper-V

◇Hyper-Vのさまざまな機能がわかる ◇インストールからの操作手順を解説 ◇チェックポイントやレプリカも活用できる Windows Server 2016 Hyper-Vは、仮想化ソフトウェア基盤を提供する機能であり、クラウドの実現に不可欠のものです。 本書では、仮想化の基礎知識から、Hyper-Vでの仮想マシンや仮想スイッチの設定・操作、プライベートクラウドの構築、Azureとの連携などを解説します。

初めてのWindows Azure Pack本が発売

Windows Azure Pack プライベートクラウド構築ガイド

本書は、Windows Azure PackとHyper-Vを利用し、企業内IaaS(仮想マシン提供サービス)を構成するための、IT管理者に向けた手引書です。試用したサーバーは、最小限度の物理サーバーと仮想マシンで構成しています。Windows Azure Packに必要なコンポーネントのダウンロード、実際にプライベートクラウド構築する過程を、手順を追って解説しています。これからプライベートクラウドの構築を検討するうえで、作業負担の軽減に役立つ一冊です。

ブログの著者欄

樋口 勝一

GMOインターネットグループ株式会社

1999年6月GMOインターネットグループ株式会社に入社。Windows Serverをプラットフォームとしたサービス開発から運用・保守まで幅広く担当。講演登壇や出版、ネット記事連載などでマイクロソフト社と強い信頼関係を構築。「マイクロソフトMVPアワード」を15度受賞し、インターネットソリューションのスペシャリストとして活躍。

採用情報

関連記事

KEYWORD

採用情報

SNS FOLLOW

GMOインターネットグループのSNSをフォローして最新情報をチェック