はじめに
今回は、Azure AD Connectのインストールの概要と、オプション機能についてご紹介します。
Azure AD Connectとは、Windows Server上で実行するアプリケーションです。既定値のままインストールすれば、AD DSとAzure ADでユーザーIDのパスワードハッシュ同期が可能となります。
また、Azure AD ConnectはIDの同期以外にオプション機能がいろいろとあります。
この記事で、これからAzure AD Connectを使う予定のある方や既に利用中で他のオプションの設定が必要となった方などの、ヒントにでもなればと考えております。
内容としては、まずはAzure AD Connectの基本的なインストール手順と、ピックアップしたオプション機能のご紹介をしています。
基本機能のインストール概要
- 主な前提条件
- オンプレのADと同期先となるAzure ADが必要
- インストールするサーバーはドメイン参加済み
(もしくは、ドメインコントローラー自体へのインストールも可能。今回の記事もドメインコントローラーで実施) - Windows Server 2016以降のバージョンでStandard Edition以上、Server Core へのインストールは不可
見落としがちですが、Azure ADと同期目的でAzure AD Connectを利用する場合、オンプレミスのADはルーティング可能なドメイン名が推奨されています。この点もお気をつけください。
詳細な前提条件は以下のMS社のサイトにてご確認下さい。
・ Azure AD Connectの前提条件
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites
- インストール手順
よくおこなっている設定値で一般的な手順の画面遷移を記載します。
まず最初に、MS社のサイトから[ AzureADConnect.msi ]をダウンロードします。2022/03 時点では以下のリンクからダウンロード可能です。
https://go.microsoft.com/fwlink/?LinkId=615771
リンク切れ等の場合は、[ AzureADConnect.msi ]といった文字列で検索をかけて頂くと見つけることが可能です。
次に、ダウンロードしたファイルを実行し、その後の画面遷移は以降のようになります。
(1) Azure AD Connectへようこそ
- [同意する]にチェック
- [続行]を選択
(2) 簡単設定
- [カスタマイズ]を選択 「簡単設定」の画面で[カスタマイズ]を選択することで、設定内容を確認しながら進められます。
(3) 必須コンポーネントのインストール
- そのままで、[インストール]を選択
(4) ユーザーサインイン
- [シングルサインオン]にチェック ここにチェックを入れることで、シームレスSSOが有効化されます。Office 365などを利用している場合に機能します。
- [次へ]を選択
(5) Azure ADに接続
- Azure ADの管理者アカウントを入力
- [次へ]を選択
(6) ディレクトリの接続
- [ディレクトリの追加]を選択
(7) ディレクトリの接続-『ADフォレスト アカウント』
- [新しいADアカウントを作成]を選択
- ADの管理者アカウントを入力
- [OK]を選択
※アカウントに関しての補足
アカウントに関する特別な要件が無ければ、[新しいADアカウントを作成する]を選択します。
また、[管理ユーザー名]は、インストール画面の入力例のような『FQDN¥ユーザー名』の形式をおすすめします。
(インストール画面の入力例:『CONTOSO.COM¥ユーザー名』、『¥』は半角)
(8) ディレクトリの接続
- [次へ]を選択
(9) Azure ADサインインの構成
- [一部のUPNサフィックスが確認済み・・・]にチェック
- [次へ]を選択
(10) ドメインとOUのフィルタリング
- [次へ]を選択
(11) 一意のユーザー識別
- [次へ]を選択
(12) ユーザーおよびデバイスのフィルタリング
- [次へ]を選択
(13) オプション機能
- [次へ]を選択
(14) シングルサインオンを有効にする
- [資格情報を入力]を選択
(15) シングルサインオンを有効にする-『フォレストの資格情報』
- ADの管理者アカウントを入力
- [OK]を選択
(16) シングルサインオンを有効にする
- [次へ]を選択
(17) 構成の準備完了
- [インストール]を選択
(18) 構成が完了しました
- [終了]を選択
以上でインストールは、終了となります。
オプション機能の紹介
いくつかピックアップしたオプション機能のご説明とメニューまわりの画面をご紹介します。
Azure AD Connectのインストールの画面で気が付かれ方もいらっしゃるかと思いますが、オプション機能はインストール時に選択可能なものが多くあります。ここでは、インストール後にオプション機能の設定することを想定した内容としております。
(Azure AD Connectがインストール済みの端末で)
まず、デスクトップ上のアイコンか、スタートメニューから「Azure AD Connect」を実行します。
そして、「Azure AD Connectへようこそ」画面で[構成]を選択し、追加のタスクから目的にあったオプション設定を選択します。
オプション機能毎に[追加のタスク]画面から、メニューを選択
Azure AD Connectの設定のバックアップや他の端末に設定を移行
- 構成のエクスポートをする
[現在の構成の表示またはエクスポート]を選択
パスワードの書き戻し機能や、ディレクトリ拡張機能の属性を同期する項目に含める
- 同期に対して追加オプションを設定
[同期オプションのカスタマイズ]を選択
ドメイン参加から、ハイブリッドAzure AD 参加構成に変更する
- ハイブリッドAzure AD参加の設定
[デバイスオプションの構成]を選択
冗長化構成などの目的で、同期を停止した状態のAzure AD Connectを準備する
- ステージングモードの有効化
[ステージングモードの構成]を選択
認証方法をパススルー認証に変更
- パススルー認証にする
[ユーザーサインインの変更]を選択
AD FSやWAP(Web Application Proxy)を新規構築
- AD FSとのフェデレーション設定
[ユーザーサインインの変更]を選択
AD FSやWAPのSSLサーバー証明書の更新
- SSL証明書の更新
[フェデレーションの管理]]を選択
まとめ
これまでに検証等でAzure AD Connectをインストールする機会は頻繁にありました。しかし、そのほとんどがIDの同期目的でおこなっていました。今回の記事は自身の備忘もかねて、Azure AD Connectのインストール手順における画面遷移とそれぞれのオプション機能にメニューから簡単にたどりつけるようにと書いております。
AD FS環境の構築や構築後のSSLサーバー証明書の更新、Hybrid Azure AD Joinの設定などをオプション機能からできて、Azure AD Connectはとても面白いアプリケーションだと考えています。今後Azure AD Connectの進化(変化)があれば、別の機会で記事を書いてみたいと思います。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第1技術部 4課
光永 正明
