社内レポート

イベントレポート

2020年3月18日(水)

ハイブリッドクラウドへの道 ~The road to hybrid cloud.~ Vol.4

Azure AD Connectを使ったアカウントの同期方法

「ハイブリッドクラウドへの道 ~The road to hybrid cloud.~ Vol.4」では、ハイブリッドクラウドで重要なポイントとなるオンプレミスとAzureとのアカウント同期です。元々利用しているオンプレミスのアカウントを自動的にAzure Active Directory(AAD)と同期できる「Azure AD Connect」というツールが提供されています。

AADとアカウントの同期ができれば、その情報を利用してAzure Active Directory Domain Service(AADDS)ともアカウント情報を共有して利用可能となります。今回はこのAzure AD Connectを使って実際にアカウントを同期する方法を解説します。

記事INDEX

Azure AD Connect利用の事前準備と注意事項① ドメイン名

Azure AD Connectを利用して、オンプレミスとAADのアカウント同期を行う前に、事前準備や利用環境の構成で注意すべき点があります。

ハイブリッドクラウドを目指すのであれば、オンプレミスの資格情報を利用して、そのままOffice365やAzureの各種サービスを利用(シングルサインオン)できることが望ましいです。各種サービスを利用するごとに、わざわざサインインし直したり、複数のアカウントやパスワードを管理するのでは作業効率が悪くなります。

オンプレミスでは特に制限なくドメイン名を決めることができました。例えば、“ad.local”などです。オンプレミスの運用上はこれで問題はなかったのですが、AADを利用する場合、インターネットを介してクラウド上のサービスにログインするために、ドメイン名にはインターネット上で有効なドメイン名(.net .com .co.jp など)であることが必要となります。

もし、新規にこれからオンプレミスのActive Directoryを構築して、AADとアカウントの同期をするのであれば、DNS参照が可能なドメイン名にするべきです。すでにオンプレミスを運用していて、ドメイン名がインターネット上で有効でない名前の場合(DNS参照できない場合)は、以下のいずれかの設定を行う必要があります。


1.VPN Gateway接続の作成
Azure上の仮想マシンをオンプレミスと同様のドメイン名でActive Directoryに参加させて管理するのであれば、VPN Gateway 接続をAzure上に作成し、オンプレミスから直接Azure上の仮想ネットワークに接続できるようにします。この場合は、オンプレミスのプライベートネットワークの延長としてAzureの仮想マシンもドメイン参加し、管理が可能となります。一方、Azureの各種サービスをシングルサインオンで利用する場合には利用が制限されることになります。
(VPN Gateway接続の作成方法については次回以降解説予定)


2.ユーザープリンシパル名の変更
ユーザープリンシパル名(UPN)はActive Directory上でアカウントを認識するための名前付けルールです。オンプレミスのActive Directoryでは”User01@ad.local”のように表記されます。AADでは”.local”などインターネット上で参照できないドメイン名は推奨されておらず、実際Azure AD Connectを利用する場合に、”.local”のようなドメイン名ではアカウントの同期ができません。オンプレミスで“ad.local”というドメイン名をすでに利用している場合は、ドメイン名を変更するか、代わりのUPNサフィックスを追加して、インターネットで参照できるドメイン名を指定することになります。

ドメイン名の変更はActive Directoryではサポートされているものの、すでに運用しているオンプレミス環境で実施するには失敗した場合のリスクが高いため(ログインができなくなるなど)お勧めしません。UPNの変更方法として、代わりのUPNサフィックスの追加方法を紹介します。

オンプレミス環境で、ドメインコントローラーのスタートメニューから「Active Directory ドメインと信頼関係」を起動します。左メニューから「Active Directory ドメインと信頼関係」を右クリックして「プロパティー」を選択します。

「UPNサフィックス」で「代わりのUPNサフィックス」にAADで利用するのと同じドメイン名(後で設定)を指定します。このドメイン名はインターネット上で有効なドメイン名(DNS参照可能)を指定します。

代わりのUPNサフィックスを追加した場合、今回の例のようにこれまで”User01@ad.local”でログインしていたユーザーは、”User01@ad.win1.jp”というUPNでログインすることになります。Azure AD Connectでアカウントの同期後は、”User01@ad.win1.jp”でオンプレミスのPCにログインして、そのままシングルサインオンで各種クラウドサービスを利用できるようになります。


新しいUPNサフィックスの指定方法は以下の通りです。

ドメインコントローラーのスタートメニューから「Active Directoryユーザーとコンピューター」を起動します。ユーザーを新しく作成する場合は、ユーザーログイン名で追加したサフィックスが選択できるようになっています。

既存ユーザーの場合はユーザーのプロパティーで「アカウント」-「ユーザーログオン名」で追加したサフィックスが選択できるようになっています。



3.Azure Active Directoryのユーザー名にメールアドレスを利用する
オンプレミスのActive Directoryユーザーのプロパティーにメールアドレスが指定されていれば、Azure AD ConnectでADDとのアカウントの同期時にメールアドレスをアカウント名として利用することが可能です。システムの都合上、オンプレミス上でUPNサフィックスを変更できない場合や、UNPサフィックス変更作業を避けたい場合などはこちらをお勧めします。

後ほど紹介しますが、Azure AD Connectではアカウント名としてメールアドレスを指定することができます。

Azure AD Connect利用の事前準備と注意事項② グローバル管理者の設定

Azure AD Connectの設定はウィザード形式で進めていきます。その中で、ADDに対してアカウントを追加したり、各種設定を行うために、AADの最高権限であるグローバル管理者のロールを持ったアカウントを指定する必要があります。事前に特定のアカウントにグローバル管理者のロールを割り当てておきましょう。

Azureポータルにログインして、アカウントを新しく作成するか、既存のアカウントを選択します。

ユーザーの「割り当てられたロール」を選択します。「割り当ての追加」を選択し、ロールの一覧から「グローバル管理者」を追加しておきます。

Azure AD Connect利用の事前準備と注意事項③ カスタムドメイン名の追加

AADに任意のドメインでログインできるように、ドメイン名を登録しておきます。このドメイン名はインターネットで参照できるドメインで、DNS参照できるものが必要です。お名前.comなどでドメインを取得しておきましょう。

カスタムドメインをAzureに登録します。Azureポータルにログインして「Azure Active Directory」-「カスタムドメイン名」を選択します。「カスタムドメインの追加」をクリックして追加します。

“未確認”となっているドメイン名をクリックするとDNSに登録する情報が表示されます。

AADで利用できるようにDNSにTXTレコードを登録します。Windows ServerのDNSサーバーを利用する場合にはこのようになります。

カスタムドメインが“確認済み”となっていれば、DNSの参照ができるようになっています。

Azure AD Connect利用の事前準備と注意事項④ 同期についての注意点

Azure AD Connectはオンプレミスのアカウント情報をAADと同期することができるツールです。初回は既存アカウントとパスワードの同期を行います。以後は、既定では30分間隔でアカウント情報の変更をAADに反映します。

注意すべき点として、Azure AD Connectによる同期は常にオンプレミス→AADへの一方通行の同期となることです。Azure AD Connectを利用してハイブリッドクラウド環境を維持するためには、パスワードの変更やユーザーアカウントの追加削除などを常にオンプレミス側から行う必要があります。また、不用意にテストアカウントなどをオンプレミス側で作成利用していると、意図せずAADにも同期されてしまうので注意が必要です。

Azure AD Connectでアカウント情報を同期① Azure AD Connectのダウンロード

 事前準備が完了したところで、Azure AD Connectを使ってアカウントの同期までを紹介します。

まずはAzure AD Connectをダウンロードしましょう。Azureポータルにログインして、「Azure Active Directory」-「Azure AD Connect」を選択します。「Azure AD Connectのダウンロード」のリンクがあるのでクリックしてダウンロードを実行します。

ダウンロードしたファイルを実行してインストールウィザードを起動します。ライセンス条項にチェックを入れて続行します。

Azure AD Connectでアカウント情報を同期② 「簡単設定」を使ったAzure AD Connectのインストール

事前準備でオンプレミスのUPNを変更して同期を行う場合は、このまま「簡単設定を使う」を選択します。

AADのアカウント名をメールアドレスとする場合は、「カスタマイズ」を選択します。まずは、簡単設定のウィザードから紹介します。

事前準備で設定したAADのグローバル管理者のアカウント情報を入力します。

オンプレミスのドメイン管理者の情報を入力します。

事前準備で代わりのUPNサフィックスを登録して、DNSのTXTレコードが完了していれば、確認済みのドメインとして表示されます。元々オンプレミスで使っていたドメイン名は検証済みとはなりませんが、問題ありません。“一部のUPNサフィックスが確認済みドメインに一致していなくても続行する”にチェックを入れて次に進みます。

以上の設定でインストールを実行します。

インストールが完了するとすぐに同期処理が実行されます。

Azure AD Connectでアカウント情報を同期③ 「カスタマイズ」を使ったAzure AD Connectのインストール

事前準備でAADのアカウント名をメールアドレスとした場合は、Azure AD Connectのインストールでカスタマイズを選択します。

既定の設定でそのまま進みます。

「パスワードハッシュの同期」を選択します。

事前準備で設定したAADのグローバル管理者のアカウント情報を入力します。

オンプレミスのドメイン管理者の情報を指定します。「ディレクトリの追加」をクリックします。

「既存のADアカウントを使用」を選択してもうまくいかないため、「新しいADアカウントを作成」を選択して、既存のドメイン管理者情報を入力すると次に進めます。

このような表示になればオンプレミスのディレクトリ接続は成功です。

ここがポイントとなります。「Azure ADユーザー名として使用するオンプレミスの属性を選択」で“mail”を選択します。事前準備で同期するアカウントのメール情報が入力されていれば、アカウント名としてAADに作成されます。“一部のUPNサフィックスが確認済みドメインに一致していなくても続行する”にチェックを入れて次に進みます。

いくつかウィザード画面がありますが、解説不要な部分は省略します。
インストールが完了するとすぐに同期処理が実行されます。

Azure AD Connectでアカウント情報を同期④ Azure AD Connectの同期確認

しばらく時間をおいてAzureポータルで確認すると、同期処理が完了したことが分かります。

オンプレミスで作成したユーザーがこちらです。

Azureポータルでユーザーを確認すると、アカウントが同期されているのが確認できました。

以上がAzure AD Connectを使ったオンプレミスとAzure Active Directory とのアカウント同期方法の紹介です。

アカウントの同期が完了すれば、オンプレミスのユーザーはそのままAADのユーザーとして認証されるので、Office365やAzureの各種サービスをそのまま利用することができるようになります。ハイブリッドクラウドを目指す上で重要ポイントとなる部分です。

ようやく、ハイブリッドクラウドへの第一歩が踏み出せたというところでしょうか。
次回以降も引き続き、ハイブリッドクラウドへの道を進むべく色々と紹介していきます。