社内レポート

イベントレポート

2020年2月5日(水)

ハイブリッドクラウドへの道 ~The road to hybrid cloud.~ Vol.2

Azure Active Directoryの基本操作

「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~ Vol.2」では、ハイブリッドクラウドのキモとなるAzure Active Directory(AAD)の基本操作を確認します。ドメインコントローラーをAzure Active Directory Domain Servicesに置き換えるにしろ、Office365などを利用するにしろ、AADは必ず必要となるシステムです。

今回はAADの構築方法から、クライアントPCのAAD参加方法、AADのユーザーアカウントによるリモートデスクトップの接続方法までを紹介します。

記事INDEX

Azure Active Directoryの作成

まずはディレクトリの構築から始めてみましょう。Azureポータルにログインします。ログインした時点で、実はすでにディレクトリは1つ作成されている状態となっています。TOPページから「Azure Active Directory」を選択します。

「既定のディレクトリ」という名前で、ログインしているユーザーのメールアドレスから生成された名前(*****.onmicrosoft.com)で既定のディレクトリが作成されています。Azureのサブスクリプションは必ず1つのディレクトリと紐づいている(別のディレクトリにサブスクリプションの紐づけを変更=「ディレクトリの変更」することも可能です)ので、ポータルにログインした時点(Azureのアカウントを作成した時点)でサブスクリプションとディレクトリが割り当てられます。

ログイン直後は登録されているユーザーは自分1人だけの状態です。このまま既定のディレクトリを利用してもよいのですが、AADの理解を深めるために新しくディレクトリを作成してみましょう。

ポータルのTOPページから「リソースの作成」-「新規」-「ID」を選択します。

ディレクトリ作成に必要な情報を入力します。

たったこれだけの操作で新しいAADが無料で作成されました。

ユーザーの作成

ユーザーメニューから作成します。新しいディレクトリを作成したユーザー自身がすでに管理者として登録されていますが、「ソース」の項目に“外部のAzure Active Directory”と表示されています。元々のディレクトリと、新しく作成したディレクトリなど複数のディレクトリに跨ってユーザーは所属することができます。

この新しいディレクトリにユーザーを追加してみましょう。

左メニューから「ユーザー」-「新しいユーザー」を選択します。ユーザー情報を入力して作成します。

ユーザーを追加しました。ユーザー名はwin1@win2019ad.onmicrosoft.com(ユーザー名@ディレクトリ名)という表記になります。「ソース」の項目には“Azure Active Directory”と表示されています。このディレクトリが既定のユーザーとなります。

ユーザーにロール(権限)を設定します。このディレクトリの管理者として「グローバル管理者」のロールを割り当てます。

Azure Active Directoryに参加

では、新しく作成したアカウントでAADに参加してみましょう。今回はAzure上に仮想マシンとして作成したWindows10からの参加となります。ノートPCなどからでも、インターネットに接続できている環境であれば同様にAADに参加することが可能です。これは「Azure AD Join」と呼ばれる機能ですが、Windows10のみ利用できる機能となります(Windows Serverでは利用できません)。


【参考】Azure Active Directoryへの「参加」と「登録」
AADに「参加」というと、Windows Server Active Directory(WSAD)=オンプレミスのWindowsドメインに参加するのと同じようなものというイメージが強いとは思いますが、AADに参加することとは意味合いが異なります。前回も書きましたが、AADとWSADは別物です。AADに参加するということは、新しい認証サービスを利用するために参加する(登録する)ということになります。AADを利用することによって、様々なOSのデバイスからOffice365やAADに登録されたサービスのID管理を行うことが目的となります(Bring Your Own Device=BYOD)。AADではユーザーが利用するデバイス単位にアクセス制限や管理することが可能です。

AADを利用する場合には、利用するデバイスに対して許可を与える必要があります。その方法が「参加」と「登録」になります。AADに「参加」できるデバイスはOSとしてWindows10を利用している場合だけです。Windows10からは「Azure AD Join」で参加が可能です。一方、AADに「登録」できるのはWindows OSだけでなく、Androidやアップル製のOSも含まれます。「参加」または「登録」されたデバイスだけがAADを利用して各種サービスにサインインし利用可能となります。

AAD参加AAD登録
対象デバイスOS Windows10Windows OS
Android
macOS
iOS




Windows10からAADへの参加手順です。

まずはローカルアカウントでWindows10にログインします。スタートメニューから「設定」-「アカウント」を選択します。

左メニューから「職場または学校にアクセスする」を選択して「接続」クリックします。

「このデバイスをAzure Active Directoryに参加させる」を選択します。

先ほど作成したユーザー名を入力します。

ユーザー作成時のパスワードを入力します。

AADに初めてサインインする場合、パスワードの更新が必要となります。

「参加する」を選択します。

AADに参加できました。

参加後には「Azure ADに接続済み」との表示が確認できます。

ドメインとワークグループの設定では、変化はなくワークグループのままです。

Windows10の管理ツール「ローカルユーザーとグループ」から、Administratorsグループを確認してみると、”AzureAD\wini1”のユーザーがローカル管理者グループに登録されています。

Azureに戻ってAADのデバイスメニューを確認してみると、AADに参加したWindows10デバイスと所有者(ユーザー)が紐づいて確認できます。

AADのアカウントでリモートデスクトップ接続

AADに参加できたので、一度サインアウトして、AADのユーザーからリモートデスクトップ接続でWindows10にサインインをしてみましょう。

一度サインアウトする
一度サインアウトする

リモートデスクトップ接続のクライアントツールを利用します。AADのアカウントで接続する場合、いくつか特別な設定が必要となります。

まず、接続するためのユーザー名は“.\AzureAd\ユーザー名”という形式になるため、“.\AzureAd\win1@win2019ad.onmicrosoft.com”となります。

ユーザー名は接続設定ファイルに保存したほうが便利ですが、未入力で接続のたびに入力しても問題ありません。

一度この接続情報でRDPファイルとして保存します。

先ほどの設定で保存したRDPファイルをメモ帳で開きます。AADのアカウントでリモートデスクトップ接続を行う場合は、「CredSSPを用いた接続を行わない」という設定が必要となります。

“enablecredsspsupport:i:0”
この一文を追加します。

ユーザー名まで含めると、
enablecredsspsupport:i:0
username:s:.\AzureAd\win1@win2019ad.onmicrosoft.com

を追加して保存します。

RDPファイルをダブルクリックしてみましょう。ユーザー名のところに“AzureAD\”から始まるユーザー名が入力されています。パスワードを入力すればAADのアカウントでサインインし、通常のリモートデスクトップ接続が利用できます。

リモートデスクトップから確認してみると、ログインしているユーザーがAADのアカウントとなっています。

AADのアカウントでサインインしているので、AADでサービスを登録すれば、Windows10からは以後追加の認証無しにシングルサインオンで様々なサービスを利用することができるようになっています。

以上、Azure Active Directoryの基本操作の紹介となりました。
少しずつですがハイブリッドクラウド実現に向けて近づいていきましょう。

次回は、Azure Active Directory Domain Servicesを紹介します。