このガイドでは、Azure Active Directory(最近の名称はMicrosoft Entra ID)Connect V2のダウンロード先情報を提供し、そのインストールと構成手順を説明します。
マイクロソフトによると、最も一般的なトポロジーは、1つのオンプレミスのフォレスト、1つまたは複数のドメイン、および1つのAzure ADテナントです。このガイドは、新しいWindows Server 2019フォレストとドメイン、プレミアムP2トライアルライセンスを使用したAzure ADテナント、検証済みのカスタムドメインを使用したこのトポロジーに従います。
Azure AD Connectをダウンロードして構成します
詳細に入る前に、Azure AD Connect V2を設定して動作させるために必要な6つの高レベル段階は次のとおりです:
- Azure AD Connectをダウンロード
- インストーラーを実行
- ユーザーサインインを構成
- ディレクトリを接続
- 詳細オプションを構成
- ディレクトリ同期を開始
Azure AD Connectとは?
Azure AD Connect は、同期 を使用して Active Directory (AD) を Azure AD と統合する手段を提供します。これは、古くからあるものの依然として極めて重要な Windows Server Active Directory を Microsoft のクラウドベースの Azure AD に拡張し、ハイブリッド ID という目標を達成する支援をします。
これらの用語に馴染みがなかったり、復習したい方は、まず Active Directory と Azure Active Directory の比較 を参照することをお勧めします。
Azure AD Connect には、パスワード ハッシュ同期 (PHS)、パススルー認証 (PTA)、Active Directory フェデレーション サービス (AD FS) との統合 などの機能が含まれています。これらの機能の詳細については、Microsoft の Azure AD Connect とは を参照してください。
また、Azure Active Directory Domain Services(Azure AD DS)は、Microsoftによる異なる提供ですが、このガイドではカバーされていません。
Azure AD Connect V2の新機能
Azure AD Connect 2にはいくつかの重要な変更があります:
- SQL Server 2019 LocalDB
- MSAL認証ライブラリ
- Visual C++ Redist 14
- TLS 1.2(1.0および1.1はサポートされなくなりました)
- すべてのバイナリがSHA2で署名されています
- Windows Server 2012とWindows Server 2012 R2はサポートされなくなりました
- PowerShell 5.0
MicrosoftはすでにすべてのAzure AD Connect V1バージョンが2022年8月31日に廃止されることを発表しています。これだけでもAzure AD Connect V2へのアップグレードを検討する良い動機となるでしょう。
ペトリのラッセル・スミスの記事「Azure AD Connect V2の新機能」をご覧ください。この記事では、Azure AD Connect V2の最大の変更点について詳細な情報が得られます。また、MicrosoftのAzure AD Connect: バージョンリリース履歴サポートページには、新機能や機能に関する重要な詳細が含まれています。
Azure AD Connect V2の前提条件
Azure AD Connect V2をインストールする前に、いくつか必要なものがあります。
- Azure ADテナント、無料またはプレミアム(有料)のものであること
- オンプレミスまたはクラウドホスト(IaaS仮想マシン上のインフラストラクチャ)で稼働するWindows ServerをAD ドメインコントローラとして使用していること(Windows Serverの古いバージョンでも動作しますが、パスワードライトバックなどの機能は2016以降が必要です)
- あなたのドメインコントローラは書き込み可能でなければなりません。読み取り専用ドメインコントローラ(RODC)はサポートされていません。
- 理想的には、Azure AD Connectは専用のドメイン参加サーバーにインストールされるべきですが、ドメインコントローラー(Windows Server 2016以降、Azure AD Connect V2のためにデスクトップエクスペリエンスが必要です)にもインストールできます。
- ADとAADのアカウントをAzure AD Connectサーバーに用意してください。Microsoftは、Azure AD Connectの操作に使用されるアカウントと、そのインストールおよび構成に使用されるアカウントを区別しています。
このガイドでは、グローバル管理者アカウントをAzure ADテナントに、AD接続のためにADエンタープライズ管理者グループのメンバーを使用します。運用環境では、状況に応じた最小限の権限を持つ専用アカウントを使用し、パスワードを安全に保管してください。詳細については、MicrosoftのAzure AD Connect: アカウントと権限サポートページを参照してください。
Azure AD Connect V2のインストールと構成
最初に行う必要があるのは、Azure AD Connect インストーラをダウンロードすることです。以下が手順です。
Azure AD Connect をダウンロード
- Azure ポータルにログインします。
- Azure Active Directory へ移動します。
- 管理 セクションで、Azure AD Connect を選択し、Azure AD Connect をダウンロード をクリックします。
Azure AD Connect インストーラを実行
ダウンロードしたら、このインストーラ(AzureADConnect.msi)を私たちの Azure AD Connect サーバ(ドメインコントローラまたは専用サーバ)で実行します。これには昇格された権限が必要ですので、求められた際にははい を選択してください。
インストーラが読み込まれると、Welcome to Azure AD Connect 画面が表示されます。ライセンス条件 および プライバシー通知 を受け入れた後、続行 をクリックしてください。
カスタマイズされた設定を選択
エクスプレス設定 画面で、ページの一番下にある カスタマイズ を選択する必要があります。エクスプレス設定は多くの環境に適している場合がありますが、特定の設定はカスタマイズされた設定のインストールを使用しないと設定できない場合があります。
必要なコンポーネントのインストール画面で、Azure AD Connectに影響を与える設定をカスタマイズできます:
- カスタムインストール場所の指定
- 既存のSQL Server の使用(大規模環境や高可用性の要件向け)
- 既存のサービスアカウントの使用(環境で事前に作成されたアカウントを使用する必要がある場合があります)
- カスタム同期グループの指定(デフォルトのグループではなく独自のローカルセキュリティグループを設定することができます)
- 別のAzure AD Connectインストールからエクスポートされた同期設定のインポート
選択を完了すると、インストール をクリックしてください。インストーラーはSynchronization Serviceなどの必要なコンポーネントをインストールします。
ユーザーサインインの構成
しばらくすると、ユーザーサインイン 画面が表示されます。次のオプションのいずれかを選択できます:
- パスワード ハッシュ同期(デフォルト選択)
- パススルー認証
- AD FS との連携
- PingFederate との連携
- 構成しない
ユーザーのシングルサインオンを有効にすることもできます。希望の方法を選択して(このガイドではパスワード ハッシュ同期を使用しています)、次へ をクリックしてください。
Azure ADへの接続画面で、Azure ADアカウントの資格情報を入力します(前のセクションの前提条件を参照)。これが初めてのアカウントでログインしていない場合、パスワードの変更を求められる可能性があります。また、アカウントでMFAが有効になっている場合は、組織が設定した要件を満たすように求められることがあります。
次へをクリックして続行します。
ディレクトリを接続する
ディレクトリを接続する画面で、FORESTの下の、ディレクトリを選択してディレクトリを追加をクリックします。。
ポップアップウィンドウが表示され、新しいアカウントを作成または既存のアカウントを使用を選択するように求められます。このアカウントはディレクトリ同期に使用されます。
すでにこのためのアカウントを作成している場合は、それがEnterprise AdminsやDomain Adminsグループのメンバーでないことを確認してください。このガイドでは、新しいアカウントを作成します。
追加したディレクトリがCONFIGURED DIRECTORIESの下にリストされます。要件や状況が変わった場合は、追加した1つ以上のディレクトリを削除するオプションもあります。
完了後、次へをクリックします。
Azure ADでユーザーを特定する方法を選択します
Azure AD サインイン構成 画面では、追加したすべてのディレクトリの Active Directory UPN サフィックス とそれに関連する Azure AD ドメインの状態 が表示されます。ドメインが検証されていない、または追加されていない場合は、テーブルの下の [更新] アイコン を使用してこの問題を解決し、画面を更新できます。
同じページで、ユーザー プリンシパル名 (UPN) をカスタマイズすることもできます。UPN は、Azure AD のユーザー名 として使用されるオンプレミスの属性です。
Azure AD 内でユーザーをどのように識別するかを決定する 重要な判断 を行う必要があります。Active Directory と異なり、Azure AD では重複が許可されません。
厳密に言えば、AD でも重複は許可されませんが、実際には強制されません。AD 内で UPN を重複させることができても問題ない場合がありますが、Azure AD では最初のアカウントのみが同期され、それ以降のアカウントは無視されます。複数のディレクトリで同じユーザー名を使用することもでき、同じ制限が適用されます。
この問題が自分に該当すると思われる場合は、Azure AD Connect のセットアップを開始する前に、idFix を使用して AD を検証できます。idFix の詳細については、Microsoft の GitHub ページ を参照してください。
通常、userPrincipalName 値をデフォルトのままにしておくことができますが、状況によって異なることがあります。ノンルーティング ドメイン名(一般的なものには .local や .internal があります)は、UPN を変更する良い理由ですが、これは 別の (ルーティング可能な) UPN サフィックスを追加することで対処することもできます。これは Active Directory ドメインと信頼 を介して行われます。
次へ をクリックして続行します。
同期するドメインと OU を選択する
ドメインと OU のフィルタリング 画面では、すべてのドメインと 組織単位 (OU) を同期するか、同期したいものをカスタマイズするかを選択できます。Microsoft によると、機能性のために特定の OU が必須であるとし、これらを選択したままにしておく必要があります。Microsoft の 組織単位に基づくフィルタリング には、これらの OU に関するさらなる情報が含まれています。
次へ をクリックして続行します。
ユーザーを一意に識別します画面で、インフラストラクチャに最も適したオプションを選択してください。前のセクションと同様に、これを正しく行うことは重要です。
デフォルト値は多くの組織に適している場合がありますが、環境によっては、最適な値を特定するために時間と労力を費やす必要があるかもしれません。詳細については、Microsoftのユーザーを一意に識別するサポートページを参照してください。
準備ができたら、次へをクリックして続行してください。
Azure ADに同期するユーザーとデバイスを選択します
ユーザーとデバイスをフィルターする画面では、特定のグループを指定することで、Azure ADに同期されるユーザーとデバイスを制限できます。これは最初のパイロット展開を制限する便利な方法です。
これらの設定は、パイロットを完了し、展開の問題をすべて解決した後に変更できます。この機能を使用する場合、パイロットグループの名前を入力し、解決ボタンをクリックしてください。
Microsoftはこの機能を本番展開で使用することが意図されていないと警告しており、本番環境に移行する前に必ず変更してください。
このガイドでは、HybridUsersというグループを作成し、すべてのテストユーザーを追加しました。
次へ進むには次へをクリックしてください。
組織が必要とするオプション機能を選択してください
オプション機能画面では、組織の要件に特化した追加設定を行うことができます:
- Exchange ハイブリッド展開(オンプレミスの Exchange と Exchange Online との併用のため)
- Exchange メール パブリックフォルダ(オンプレミスの Active Directory インスタンスから Azure AD へメール有効なパブリックフォルダ オブジェクトを同期するため)
- Azure AD アプリおよび属性のフィルタリング(Azure AD へ同期する属性を制限するため)
- パスワードハッシュの同期
- パスワードの書き戻し(ユーザーが自己サービス パスワードリセットを行えるようにし、ヘルプデスク通話を減らすため)
- グループの書き戻し(特定の Azure AD グループを AD に書き戻すため)
- デバイスの書き戻し(Azure AD に登録されたデバイスを AD に書き戻すため)
- ディレクトリ拡張属性の同期(カスタム AD 属性を Azure AD に同期するため)
このガイドでは、デフォルト値を維持します。ご利用の環境には、最適な設定を選択し、一部には特定の要件があることを考慮してください。MicrosoftはそのOptional features support pageにさらなる情報を提供しています。
次へをクリックして続行します。
同期プロセスを開始する前にオプションを選択してください
選択した設定の概要を提供し、以下の2つのオプションを設定できる構成の準備が整いました画面に到達しました:
- 構成が完了したら同期プロセスを開始する(これを選択解除すると、同期プロセスの開始が延期されます)
- ステージングモードを有効にする:選択した場合、同期はデータをADまたはAzure ADにエクスポートしません(このAzure AD Connectインスタンスは引き続き設定をインポートします)
プライマリサーバーが利用できなくなった場合に、データを受け入れるための2番目のAzure AD Connectサーバーを準備しておくと便利です。これにより、第2のサーバーを手動で活動同期サーバーに切り替え、インストールプロセス全体をスキップするか、バックアップからの復元が不要になります。Azure AD Connectサーバーをどのように最適に設定するかを判断するのは、あなたが最適な方です。
すべての設定が正しいことを確認したら、インストールをクリックしてください。
Azure AD Connectは今、設定を展開し、複数のコンポーネントをインストールし、そしてあなたのADとAzure AD間の初期同期を開始します。これには、あなたのADのサイズによって時間がかかる場合があります。
Azure AD Connectが正常に動作していることを確認する
今見るものは、インストール中の選択肢によって異なります。もし私の指示に従っているなら、あなたの環境は類似して見えるはずです。
Azureポータルに移動し、Azure Active Directoryを選択し、管理セクションでAzure AD Connectを選択します。このサービスが有効化されたことを示す同期ステータス、前回の同期、パスワードハッシュ同期の値が変更されていることに気づくでしょう。
まだ
Azure AD Connectとその他のツールの再構成
デスクトップに新しいショートカット(Azure AD Connect)が表示されます。これを使用して、Azure AD Connect設定の再構成を行うことができます。元のインストール選択によって、異なるオプションが表示されることがあります。
さらに、現在の構成を表示またはエクスポート タスクを使用すると、Azure AD Connect 設定のバックアップを手軽に取得でき、ドキュメントの要件を満たすこともできます。トラブルシューティングを使用すると、Azure AD Connect Troubleshooting Tool を起動できます(PowerShell ウィンドウで開きます)。
同期サービス スケジューラは、ウィザードが実行されている間は一時停止されます。変更を加えなくても一時停止されるため、誤ってそのままにしないように注意してください。
Azure AD Connect は、ハイブリッド イデンティティ セットアップを最大限に活用できるようさらなるツールやポータルをインストールおよび有効化します:
Azure AD Connect V2をインストールし、2つのディレクトリが同期されていることを確認したので、シングルサインオン(SSO)やパススルー認証などのより高度なユースケースをチェックするタイミングかもしれません。また、Microsoftは環境で使用している機能を削除することもあるため、Azure AD Connectの新バージョンについて最新情報を把握しておく必要があります。
関連記事:
Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/