皆さまこんにちは。SB C&Sの井上です。

今回は、Azure AD Connect同期をアプリケーションではなく軽量なエージェントで実現し、Azure ADへのID同期を簡略化する機能である「Azure AD Connect Cloud Sync」についてご紹介いたします。

---

概要

AzureではオンプレミスなどのActive Directoryで管理しているユーザーやグループをAzure ADに同期してハイブリッドID環境を実現する「Azure AD Connect」という機能が提供されています。
通常のAzure AD Connectではドメインコントローラーやドメイン環境のサーバーなどにAzure AD ConnectアプリケーションをインストールしてAzure ADにユーザー情報の同期を行いますが、今回ご紹介する「Azure AD Connect Cloud Sync」ではアプリケーションより軽量なエージェントをインストールすることで同期構成がクラウド上で管理され、Active DirectoryからAzure ADへの同期をより簡単に実現できます。

Azure AD Connect Cloud Syncでは、切断された複数のActive DirectoryフォレストをAzure ADに接続したり、複数のエージェントを使用することで同期の可用性を向上させるなど、Azure AD Connectでは対応していない機能を利用することができます。
一方、パスワードライトバックなどAzure AD Connectで対応している機能の一部に対応していない場合もあります。

Azure AD Connect Cloud Syncを利用する際には、事前にAzure AD Connectとの機能比較を行い、構築したい環境を実現できる機能が備わっているか確認することをお勧めします。
Azure AD Connect Cloud SyncとAzure AD Connectの機能比較は以下Docsをご参照ください。
https://docs.microsoft.com/ja-jp/azure/active-directory/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync

---

前提条件

Azure AD Connect Cloud Syncを利用するためには、Azure AD環境とActive Directory環境でそれぞれ以下の前提条件が必要になります。

Azure AD環境

• Azure ADテナントのグローバル管理者アカウント
• 1つ以上のカスタムドメイン

Active Directory環境

※同期元がオンプレミス環境の場合

• Windows Server 2012 R2以降のドメイン参加済みサーバー
  (RAM 4GB以上、.NET 4.7.1以降)
• サーバーとAzure AD間にファイアウォールがある場合
  • エージェントとAzure ADが通信するポートの開放 (80, 443, (8080))
  • 以下URLへの接続許可設定
    [*.msappproxy.net]
    [*.servicebus.windows.net]
    [login.windows.net]
    [login.microsoftonline.com]
    [mscrl.microsoft.com:80]
    [crl.microsoft.com:80]
    [ocsp.msocsp.com:80]
    [www.microsoft.com:80]

---

設定方法

今回はAzure上に構築したWindows Server 2019でActive Directory ドメインコントローラーを構築し、Azure AD Connect Cloud Syncで特定グループのユーザー情報をAzure ADに同期する方法をご紹介します。
また、Azure AD Connect Cloud Syncの設定は以下の流れで行っていきます。

1. VM作成、ドメインコントローラー設定、ユーザー作成
2. Azure AD Connect Provisioning Agentのインストール
3. Azure AD Connect Cloud Syncの構成
4. 同期ユーザーテスト

---

設定方法①: VM作成、ドメインコントローラー設定、ユーザー/グループ作成

Azure VMを作成し、ドメインコントローラー設定を行った後、ユーザーとグループを作成します。
今回はグループ単位でユーザー情報を同期するため、作成したユーザーはグループに追加しておきます。
(本手順の詳細は省略します。)

---

設定方法②: Azure AD Connect Provisioning Agentのインストール

Azure PortalからAzure AD Connect Provisioning Agentをダウンロードし、設定方法①で作成したドメインコントローラーにインストールして、Azure ADとの同期構成を行います。

Azure AD Connect Provisioning Agentのダウンロード

グローバル管理者でAzure Portalにサインインし、[Azure Active Directory] > [Azure AD Connect] > [Azure AD クラウド同期を管理する] > [エージェントのダウンロード] で [使用条件に同意してダウンロードする] をクリックしてエージェントをダウンロードします。

　　　

Azure AD Connect Provisioning Agentのインストール/構成

ダウンロードしたエージェントを設定方法①で作成した仮想マシンにインストールし、ウィザードに従ってAzure ADと同期構成を行います。

　　　

Azure AD Connect Provisioning Agentの確認

エージェントのインストール/Azure ADとの同期構成完了後、サーバー上のエージェントをAzure Portalから確認します。

---

設定方法③: Azure AD Connect Cloud Syncの構成

Active Directory環境でエージェントのインストールと同期構成を行った後、Azure PortalでCloud Syncの構成を行います。

Azure AD Connect Cloud Sync作成

Azure Portalにサインインし、[Azure Active Directory] > [Azure AD Connect] > [Azure AD クラウド同期を管理する] > [+ 新しい構成] をクリックして、新しいクラウド同期構成を作成します。

　　　

Azure AD Connect Cloud Sync構成の編集

新規作成したCloud Sync構成で特定グループに所属するADユーザーをAzure ADに同期するように同期構成を編集します。

---

設定方法④: 同期ユーザーテスト

設定方法①~③でADユーザーをAzure ADに同期した後、ADユーザーの同期が正常に完了しているかを確認します。

Azure Portalにサインインし、[Azure Active Directory] > [ユーザー] で、ADユーザーがAzure ADに正常に同期されていることを確認します。

　　　

ブラウザで [https://myapps.microsoft.com] にアクセスし、ADユーザーの資格情報でサインインできることを確認します。

---

まとめ

今回はAzure AD Connectアプリケーションよりも軽量なエージェントを使って同期構成をクラウド上で管理し、Active DirectoryからAzure ADへの同期をより簡単に実現する機能である「Azure AD Connect Cloud Sync」についてご紹介しました。

本機能を使うことで簡単にハイブリッドID環境を構築できるだけでなく、切断された複数のActive DirectoryフォレストをAzure ADに接続したり、複数のエージェントを使用することで同期の可用性を向上させるなど、Azure AD Connectにはない機能を使うことができるというメリットもあります。
一方、Azure AD Connect Cloud Syncではパスワードライトバックなどを始め、Azure AD Connectで可能な一部機能に対応していない場合もあるため、利用する際は要件に沿った構成を実現する機能が備わっているかどうかの確認も重要になります。

本機能にご興味がある方は、Azure AD Connectとの比較も踏まえつつ、ぜひ一度お試しください。

最後までお読みいただきありがとうございました！