SEブログ

【Azure AD】Azure AD connectをインストール・同期する

こんにちは!

 

以前からやってみたかったのですが、オンプレミスの Active Directory と Azure AD を同期したいので試してみました。

 

今回は、Azure AD とオンプレミス側のドメイン名は同じ状態で同期しましたが、当然そうではない環境はあるかと思います。

その場合は、方法が異なります。環境を作って試してみたいので、できましたら記事に載せたいと思います。

では早速始めてみます。

 

目的

Azure AD connect のインストール(同期も一緒に実行されます)がメインですので、この記事では以下のところまでといたします。

  • Azure AD とオンプレミスの AD を同期する。
  • オンプレミス側の AD のオブジェクト(ユーザーなど)を Azure AD に同期する。
  • 認証にはパスワードハッシュ方式を使用する。(簡単設定を使用する為)

 

環境

あらかじめ以下の4 点が準備できているかどうか確認します。

  • Azure AD (Premium P2) と オンプレミス側に AD (Windows Server 2016) × 1 台(以上)Azure AD Connect サーバー × 1 台 (Windows Server 2016) がある。
  • オンプレミスの ADトポロジがシングルフォレスト(単一)である。(簡単設定での Azure AD Connect で同期する為。)
  • Azure AD のテナントは 単一である。
  • ドメイン名は両方とも同じ(異なる場合は以下の作業内容の一部において異なります。)である。

 

AD のトポロジについては、以下を参照してください。画像付きで分かり易く説明されています。

Azure AD Connect のトポロジ | Windows Azure

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-topologies

 

注意事項

  • ドメインコントローラーには Azure AD Connect をインストールしません。上記のように別に用意する必要があります。
  • 簡単設定をインストールするサーバー(Azure AD Connect サーバー)はドメインに参加している事が条件になります。ドメインに参加せずにインストールを進めると、以下の画面が表示されます

 

 

作業手順

 

Azure AD Connect のインストール

1. ドメインコントローラーではないサーバー上で、以下のツールをダウンロードします。

Microsoft Azure Active Directory Connect | Microsoft

https://www.microsoft.com/en-us/download/details.aspx?id=47594

 

2. ダウンロードした、Azure AD Connect を以下の手順でインストールします。

 

3. インストールが完了しますと、以下のスプラッシュスクリーンが表示されます。

 

4. [ライセンス条項及びプライバシーに関する声明に同意します。] にチェックをいれます。

 

5. 簡単設定で設定しますので、[簡単設定を使う] をクリックします。

 

簡単設定については、以下のサイトを参照してください。動画での説明もありますが、英語になります。残念ながら字幕はないようです。

簡単設定を使用した Azure AD Connect の開始

https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-get-started-express#videos

 

 

6. Azure AD に接続する為、Azure AD の管理者のユーザー名とパスワードを入力して [次へ] をクリックします。

 

7. 本サーバー → オンプレミスの AD DS に接続する為に、オンプレミス側のエンタープライズ管理者のユーザー名とパスワードを入力します。

 

8. 構成の準備完了の画面です。[インストール] をクリックします。ここから同期が始まります。

 

9. どうやら構成中に問題が発生したようです。

状況を確認したいので、画面真ん中よりやや下にあります、ログのリンクをクリックします。

 

10. ログの中に、「スクリプトの実行が無効…」と書いてあります。

ここでは、Windows なので PowerShell の実行ができていないのかなと想定しました。

 

11. という事で、PowerShell を管理者として実行します。

 

12. PowerShell の実行セキュリティポリシーを確認します。

C:\Users\administrator.SOMAENG> Get-ExecutionPolicy

 

Restricted と結果が返ってきました。

 

PowerShell の実行セキュリティポリシーについては、以下のサイトが分かり易いです。

WindowsでPowerShellスクリプトの実行セキュリティポリシーを変更する

http://www.atmarkit.co.jp/ait/articles/0805/16/news139.html

 

または私の記事を参考にいただけますと幸いです。

【PowerShell】実行ポリシーを変更する

 

13. このツールにあるスクリプトだと思われるので、ローカルにあるスクリプトで実行できるのは RemoteSigned になりますので実行してみます。

C:\Users\administrator.SOMAENG> Set-ExecutionPolicy RemoteSigned

 

 

14. 先ほどの画面に戻ります。上の PowerShell のセキュリティポリシーで問題ないか再度実行したいので、[再実行] をクリックします。

 

15. どうやら実行できたようです。

 

16. 構成が完了しましたので、[終了] をクリックします。これで Azure AD Connect の初期設定は完了になります。

 

Azure AD 側での確認

 

1. Azure AD にサインインします。

 

2. Azure AD の概要を見ますと、画面右側に [Azure AD Connect 同期] というのが表示されています。

状態と最終同期を確認しますと、同期は実行されている事が確認できます。

画面左メニューにある、[Azure AD Connect] をクリックします。

 

3. ここでも同期状態が確認できます。同期の状態を確認するにはここから確認すると良いでしょう。

画面下にある、[Azure AD Connect Health] をクリックします。

 

4. 同期の健全性が確認できます。正常に同期ができている事が確認できます。以上になります。

 

 

いかがでしょうか。

 

この単一フォレストと単一の Azure AD テナントでの同期はよくあるケースかと思います。

但し、オンプレミスと Azure AD のドメイン名が異なる場合は、手順が異なります。

 

個人的にはドメイン名が異なる環境がどちらかというと多いのかなと思います。

例えば、オンプレ側は corp.local ですが、Azure AD 側は corp.co.jp とかです。

ドメイン名が異なる場合での環境でも試してみたいと思います。

 

では最後までお読みいただきありがとうございました!

 

 

おすすめの本はこちら ↓↓↓