SEブログ

【Azure AD】Azure AD connectをインストール・同期する

こんにちは!SE ブログの相馬です。

 

 

 

今回は、オンプレミスの Active Directory と Azure AD を同期したいので試してみました。

 

 

同期する事で、オンプレミスの AD と Azure AD の両方で AD のオブジェクトを持つことができます。

 

 

オンプレミス側と Azure AD のドメイン名は同じ名前の環境で同期しましたが、当然そうではない場合はあるかと思います。その場合は、方法が異なりますのでご注意ください。

 

 

では早速始めてみます。

 

 

 

目的

 

 

Azure AD connect のインストール(同期も一緒に実行されます)がメインですので、この記事では以下のところまでといたします。

 

 

  • Azure AD とオンプレミスの AD を同期する。
  • オンプレミス側の AD のオブジェクト(ユーザーアカウント等)を Azure AD に同期する。
  • 認証にはパスワードハッシュ方式を使用する。(簡単設定を使用する為)

 

 

 

環境

 

 

あらかじめ以下の 5 点が準備できているかどうか確認します。

 

 

  • Azure AD (Premium P2) を使っている。
  • オンプレミス側に AD (Windows Server 2016) × 1 台以上と Azure AD Connect 用のサーバー × 1 台 (Windows Server 2016) がある。
  • オンプレミスの ADトポロジがシングルフォレスト(単一)である。(簡単設定での Azure AD Connect で同期する為。)
  • Azure AD のテナントは 単一である。
  • ドメイン名は両方とも同じ(異なる場合は以下の作業内容の一部において異なります。)である。

 

 

AD のトポロジについては、以下を参照してください。画像付きで分かり易く説明されています。

 

 

Azure AD Connect のトポロジ | Windows Azure

 

 

 

注意事項

 

 

  • ドメインコントローラーには Azure AD Connect をインストールしません。上記のようにAzure AD Connect 用のサーバーを別に用意する必要があります。
  • 簡単設定をインストールするサーバー(Azure AD Connect サーバー)はドメインに参加している事が条件になります。ドメインに参加せずにインストールを進めると、以下の画面が表示されます

 

 

 

 

 

作業手順

 

 

 

Azure AD Connect のインストール

 

 

1. Azure AD Connect をダウンロードして、 Azure AD Connect をインストールするサーバーにインストーラーをコピーします。

 

 

Microsoft Azure Active Directory Connect | Microsoft

 

 

2. Azure AD Connect をインストールするサーバー上で、ダウンロードした Azure AD Connect をダブルクリックします。

 

 

 

3. [実行] をクリックします。

 

 

 

4. インストールが完了するまで待ちます。

 

 

 

6. インストールが完了しますと、以下のスプラッシュスクリーンが表示されます。

 

 

 

7. [ライセンス条項及びプライバシーに関する声明に同意します。] にチェックをいれます。

 

 

 

8. 簡単設定で設定しますので、[簡単設定を使う] をクリックします。

 

 

 

簡単設定については、以下のサイトを参照してください。動画での説明もありますが、英語になります。残念ながら字幕はないようです。

 

 

簡単設定を使用した Azure AD Connect の開始 | Microsoft

 

 

 

9. Azure AD に接続する為、Azure AD の管理者のユーザー名とパスワードを入力して [次へ] をクリックします。

 

 

 

10. 本サーバー → オンプレミスの AD DS に接続する為に、オンプレミス側のエンタープライズ管理者のユーザー名とパスワードを入力します。

 

 

 

11. 構成の準備完了の画面です。[インストール] をクリックします。ここから同期が始まります。

 

 

 

 

 

12. どうやら構成中に問題が発生したようです。状況を確認したいので、画面真ん中よりやや下にあります、ログのリンクをクリックします。

 

 

 

13. ログの中に、「スクリプトの実行が無効…」と書いてあります。

 

 

ここでは、Windows なので PowerShell の実行ができていないのかなと想定しました。

 

 

 

14. という事で、PowerShell を管理者として実行します。

 

 

 

15. PowerShell の実行セキュリティポリシーを確認します。Restricted と結果が返ってきました。

 

C:\Users\administrator.SOMAENG> Get-ExecutionPolicy

 

 

 

 

 

PowerShell の実行セキュリティポリシーについては、私の記事を参考にいただけますと嬉しいです。

 

【PowerShell】実行ポリシーを変更する

 

 

16. このツールにあるスクリプトだと思われるので、ローカルにあるスクリプトで実行できるのは RemoteSigned になりますので実行してみます。

 

C:\Users\administrator.SOMAENG> Set-ExecutionPolicy RemoteSigned

 

 

 

 

 

17. 先ほどの画面に戻ります。上の PowerShell のセキュリティポリシーで問題ないか再度実行したいので、[再実行] をクリックします。

 

 

 

18. どうやら実行できたようです。

 

 

 

16. 構成が完了しましたので、[終了] をクリックします。これで Azure AD Connect の初期設定は完了になります。

 

 

 

 

Azure AD 側での確認

 

 

1. Azure AD にサインインします。

 

 

2. Azure AD の概要を見ますと、画面右側に [Azure AD Connect 同期] というのが表示されています。

 

 

状態と最終同期を確認しますと、同期は実行されている事が確認できます。画面左メニューにある、[Azure AD Connect] をクリックします。

 

 

 

3. ここでも同期状態が確認できます。同期の状態を確認するにはここから確認すると良いでしょう。

 

 

画面下にある、[Azure AD Connect Health] をクリックします。

 

 

 

4. 同期の健全性が確認できます。正常に同期ができている事が確認できます。以上になります。

 

 

 

 

まとめ

 

 

以上になります。いかがでしょうか。

 

 

この単一フォレストと単一の Azure AD テナントでの同期はよくあるケースかと思います。但し、オンプレミスと Azure AD のドメイン名が異なる場合は、手順が異なります。

 

 

個人的にはドメイン名が異なる環境がどちらかというと多いのかなと思います。例えば、オンプレ側は corp.local ですが、Azure AD 側は corp.co.jp とかです。

 

 

ドメイン名が異なる場合での環境でも試してみたいと思います。

 

 

では最後までお読みいただきありがとうございました!