Azure ADをOffice 365に接続する: Azure AD Connectをインストールする – techsyncer

ついに、あなたの組織がOffice 365へ移行します！それは興奮と困惑を同時に感じるものですね。しかし、今度はAzure ADをOffice 365に接続する作業がやってきます。Azure ADをOffice 365に接続する方法を知っていますか？

Not a reader? Watch this related video.

おそらく最初に思い浮かぶのは、ユーザーがオンプレミスとクラウドのリソースにアクセスするために、どのようにして一つの認証情報のみを使用するかということでしょう。そこで登場するのがAzure AD Connectです。

Azure AD Connectを使用すると、ユーザーアカウントがOffice 365に同期され、パスワードも含まれます。つまり、ユーザーがネットワークプリンターにアクセスしたり、Office 365でメールにアクセスしたりする場合でも、一つの認証情報のみを使用する必要があります。

この記事では、Azure AD Connectをインストールし、Office 365のテナントでディレクトリ同期を有効にする方法を学びます。

要件

このステップバイステップの記事なので、例に従って進む場合にはいくつかの要件が必要です。

Azure ADテナント。まだテナントを持っていない場合は、無料トライアルをリクエストすることができます。
オンプレミスのActive Directoryへのアクセス。持っていない場合は、Azureのトライアルサブスクリプションを使用してテストサーバーを構築することもできます。
A server where Azure AD Connect will be installed.
Azure AD Connectのインストーラーをダウンロードしてください。
A Global Administrator account in your Azure AD tenant.
オンプレミスのActive Directory内のEnterprise Administratorアカウント。
ネットワークでAzure AD ConnectおよびAzure ADポートを許可してください。
管理PCにはMSOnlineモジュールがインストールされている必要があります。

詳細な要件のリストについては、Azure AD Connectの前提条件

を参照してください。

プレインストールディレクトリ同期のステータスを確認する

Azure AD Connectのセットアップを開始する前に、テナントでのディレクトリ同期の現在のステータスを確認する方法を見てみましょう。

PowerShellの使用Azure ADに接続してから、組織のディレクトリ同期ステータスに関連する情報を取得するために、以下のコマンドを使用します。

Get-MsolCompanyInformation

上記のコマンドを実行した後、以下のようなPowerShellでの出力が表示されます。下の画像で示されているように、DirectorySynchronizationEnabledの値はFalseです。

Getting the Azure AD Connect status from PowerShell

また、DirSyncServiceAccount、LastDirSyncTime、LastPasswordSyncTimeなどの他の属性には、ディレクトリ同期が実行されていないため、値は存在しないはずです。

管理センターを使用する

Azure Active Directory管理センターで現在のDirSyncを確認することもできます。

まず、ポータルにログインしてください。その後、Azure Active Directory —> Azure AD Connectに移動します。ディレクトリ同期の現在の状態が表示されます。

以下の画像からわかるように、Azure AD Connectはインストールされていません。最後に、Password Hash Syncの値は無効です。

Getting the Azure AD Connect status from the Admin Center

Azure AD Connectのインストール

すべての要件を満たしていると仮定し、サーバーにAzure AD Connectをインストールする準備ができています。

まず、Azure AD Connectをインストールする予定のサーバーにログインします。インストールファイルを実行し、表示される指示に従ってください。

下の画像は、Azure AD Connectへようこそページを示しています。言われていることに注意して（またはしなくても）、ライセンス条項とプライバシーに同意するにチェックを入れてください。その後、続行をクリックしてください。

次のページでは、インストールタイプを選択できます。カスタマイズするか、またはエクスプレス設定を使用するかを選択できます。この例では、Azure AD Connectはエクスプレス設定を使用してインストールされます。

エクスプレスインストールを選択すると、次の操作が行われます：

アイデンティティの同期の構成。
オンプレミスADからAzure ADへのパスワードの同期の構成。
初期同期の実行。
自動アップグレードの有効化。

次に、Azure ADに接続ページで、グローバル管理者アカウントの資格情報を入力してください。先ほどの記事で述べたように、グローバル管理者アカウントが必要です。

資格情報を入力したら、次へをクリックしてください。

Provide the Azure AD Global administrator account

提供されたグローバル管理者の資格情報を使用できる場合、AD DSに接続ページに移動します。

オンプレミスのActive Directoryに対するエンタープライズ管理者権限を持つアカウントの資格情報を入力し、次へをクリックしてください。

Provide the Active Directory enterprise administrator account

資格情報が確認されると、構成準備完了ページに移動し、実行されるアクションのリストが表示されます。これらのアクションは、次のとおりです：

同期エンジン（ローカルSQL Express）のインストール。
Azure ADコネクタの構成。
コネクタの構成。
パスワードハッシュ同期の有効化。
自動アップグレードの有効化。
同期サービスの構成。
初期同期プロセスの実行。

インストールを続行するには、インストールをクリックしてください。

この時点で、インストールの完了を待つだけです。

Azure AD Connect installation in progress

最後に、インストール、構成、および初期同期が完了すると、以下の画像と似た状態のページが表示されます。リマインダーや推奨事項に注意し、終了をクリックしてください。

Azure AD Connectのインストールの確認

サーバーにAzure AD Connectをインストールしたので、インストールが成功したか、ディレクトリ同期が機能しているか確認したいと思うでしょう。このセクションでは、Azure AD Connectの同期が機能していることを確認するためのいくつかの方法を学びます。

Microsoft 365管理センターでAzure AD Connectを確認する

デフォルトのカードでMicrosoft 365管理センターでAzure AD Connectのステータスを確認できます。

まず、Microsoft 365管理センターポータルにログインします。ログインすると、ユーザー管理カードの下にAzure AD Connectのステータスが表示されます。参考のために、以下のスクリーンショットをご覧ください。

Azure AD Connect status in the Microsoft 365 Admin Center

上記のスクリーンショットからわかるように、Azure AD Connectのステータスは、最近のディレクトリ同期が17分前に実行されたことを示しています。さらに、パスワード同期が有効になっています。

Microsoft 365管理センターでユーザーアカウントの同期状態を確認する方法

また、オンプレミスのActive DirectoryのアカウントがOffice 365に同期されているかどうかも確認できます。

ユーザーアカウントの同期状態を確認するには、Microsoft 365管理センターでユーザー —> アクティブユーザーに移動します。ユーザーのリストを見ると、同期ステータスの列にアカウントがクラウド内かオンプレミスから同期されたかが表示されます。

On-Premise and Cloud only account sync status

明らかに、クラウド内に存在するアカウントは、直接Office 365でプロビジョニングされ、オンプレミスのActive Directoryに存在しません。

一方、オンプレミスから同期されたアカウントはオンプレミスに存在し、クラウドに同期されています。

Azure AD Connectの確認方法は、Azure AD管理センターで行います。

まず、ポータルにログインしてください。次に、Azure Active Directoryに移動してください。その後、Azure AD Connectを選択してください。 Azure AD Connect syncセクションの下に、ディレクトリ同期の現在の状態が表示されます。

以下の画像からわかるように、Azure AD Connectの同期状態は有効であり、最後の同期の状態は1時間未満前であることが示されています。最後に、Password Hash Syncの値は有効です。

Azure AD Connect status in the Azure AD Admin Center

Azure AD管理センターでユーザーアカウントのソースを確認する

同期が動作していることを確認する別の方法は、ユーザーアカウントのソースを確認することです。

まず、ポータルにログインしてください。次に、ユーザー —> すべてのユーザーに移動してください。ユーザーリストの下に、ソース列の下に、アカウントがWindows Server ADから同期されたことを示すかどうかが表示されます。

User account source in the Azure AD admin center

PowerShellを使用してディレクトリ同期のステータスを確認する

現在のAzure AD同期ステータスを表示するには、まずAzure ADに接続する必要があります。次に、組織のディレクトリ同期ステータスに関連する情報を取得するために、以下のコマンドを使用してください。

Get-MsolCompanyInformation

上記のコマンドを実行すると、以下に示すようなPowerShellでの出力が表示されるはずです。以下の画像では次のような内容が見られます：

DirectorySynchronizationEnabledの値はTrueです。
同期サービスアカウントとして構成されたアカウントが表示されます。
LastDirSyncTimeおよびLastPasswordSyncTimeのDateTimeの値が入力されます。
PasswordSynchronizationEnabledの値はTrueです。

Azure AD Connect Sync Cycle Scheduleの検証

Azure AD Connectをインストールすると、それとともにAdSync PowerShellモジュールもインストールされます。AdSyncモジュールを使用して、サーバー上で現在のAzure AD Connect同期の状態も確認できます。

まず、PowerShellを開き、次のコマンドを実行します。

Get-ADSyncScheduler

上記のコードを実行した後、結果には以下の情報が表示されます：

スケジュールされた同期サイクルの間隔（AllowedSyncCycleInterval）
同期サイクルスケジュールが有効化されているかどうか（SyncCycleEnabled）
次の同期がスケジュールされている時刻（NextSyncCycleStartTimeInUTC）
次に実行される予定の同期のタイプ（NextSyncCyclePolicyType）

手動でDelta Syncを実行する

手動デルタ同期を実行することは、同期が期待通りに機能しているかどうかを確認する方法の一つです。デルタ同期とは、最後のディレクトリ同期の後に行われた変更のみを同期することを意味します。

デルタ同期をテストするために、オンプレミスのActive Directoryからアカウントを選択し、表示名の値を変更してください。この例では、ユーザーアカウントAdSyncを使用し、表示名をAdSync1に変更します。

その後、PowerShellで次のコマンドを実行してください。

Start-ADSyncSyncCycle -PolicyType Delta

上記のコマンドを実行した後、結果が返されるまで待ってください。以下の画像に示すように、Azure AD管理センターに移動し、表示名が変更されたことを確認してください。

デルタ同期の実行前後のユーザーAdSyncの表示名が表示されています。

Azure AD Connectの削除

組織のディレクトリ同期を無効にし、Azure AD Connectを削除することを決定する場合があります。

小規模な組織を想定して、すべてのユーザーをクラウドに移行済みで、データセンター内のサーバーを維持する必要がない場合があります。これは、Azure AD Connectを削除する理由の一つです。

サーバーからAzure AD Connectをアンインストールする

Azure AD Connectを削除するには、以下の手順に従ってください。まず、サーバーからAzure AD Connectをアンインストールします。

Uninstall Microsoft Azure AD Connect from Programs and Features

Azure AD Connectのアンインストールウィンドウが表示されたら、サポートコンポーネントもアンインストールするを選択してください。その後、削除をクリックしてください。

アンインストールプロセスの完了を待ち、以下のような確認ページが表示されるはずです。

Azure AD Connect uninstalled successfully

ディレクトリ同期の無効化

Azure AD Connectがサーバーからアンインストールされた後、最後の操作はDirSyncを無効にすることです。

最初に、PowerShellを使用してAzure ADに接続する必要があります。Azure ADに接続した後、以下のコマンドを使用してAzure ADテナントのディレクトリ同期を無効にします。

Set-MsolDirSyncEnabled -EnableDirSync $false

コマンドを実行すると、以下のスクリーンショットと同様のエラーが発生する場合があります。

Error when disabling directory synchronization

上記のエラーは、まだ同期を無効にすることが許可されていないことを意味します。テナントのサイズによって、数分から数日かかる場合があります。

この場合、待つしかなく、同じコマンドを再試行します。この例では、約15分待った後、DirSyncを無効にするコマンドの実行に成功しました。

Command to disable dirsync successfully completed

DirSyncの無効化とAzure AD Connectの削除後、オンプレミスのADからAzure ADに以前同期されていたアカウントはクラウドアカウントに変換されます。これらの変換されたアカウントは、もはやオンプレミスから同期されていると表示されません。

アカウントが完全にオンプレミスからクラウドに変換されるには、数時間かかる場合があります。この記事では、ディレクトリ同期を無効にした後、約36時間かかりました。以下に前後の比較を示します。

結論

Azure AD Connectは、オンプレミスのユーザーアカウントをAzure AD / Office 365のテナントに同期させるための優れたツールです。適切に設定されると、ユーザーはオンプレミスとクラウドのリソースにアクセスするために別々のアカウントをプロビジョニングする必要はありません。

この記事でカバーされているもの以上の設定がAzure AD Connectで行えます。Azure AD Connectは、同期サイクルの間隔を変更したり、アップグレードの自動化を無効にしたりするためにカスタマイズすることができます。

I hope that what you’ve learned in this article, although as basic as possible, could help you get a better understanding of how to install, configure and use Azure AD Connect for your Office 365 tenancy.

要件