- オンプレミスの Active Directory と Azure Active Directory のアカウント同期を行いたい。
- Azure Active Directory にオンプレミスの Active Directory アカウントでシングル サインオンがしたい。
上記を実現するため、検証環境で Azure AD Connect のインストールを実施しました。
手順を紹介します。
環境
サーバー構成
| サーバー OS | ロール | サーバー名 | ドメイン | メモリ | CPU |
|---|---|---|---|---|---|
| Windows Server 2019 (1809) | Active Directory | GR-AD | green.local | 8GB | 2 コア |
| Windows Server 2019 (1809) | メンバー サーバー (Azure AD Connect) | GR-AADC | green.local | 8GB | 2 コア |
ドメイン構成
| ドメイン名 | 説明 | 名前 |
|---|---|---|
| Active Directory ドメイン名 | Active Directory のドメイン名 | green.local |
| メール ドメイン名 | 外部公開しているメールのドメイン名 | officeup.jp |
| Microsoft 365 ドメイン名 | Microsoft 365 の既定のドメイン名 | test.onmicrosoft.com |
| フェデレーション ドメイン名 | Microsoft 365 へのシングル サインインで使用するドメイン名 | officeup.jp |
今回、シングル サインインで使用するドメイン名は officeup.jp です。
インストール アカウント
| アカウント | Active Directory 権限 | Azure AD 権限 | |
|---|---|---|---|
| AADC インストール | green\aadcadmin | green\Enterprise Admins green\Domain Admins | – |
| AADC コネクタ | admin@test.onmicrosoft.com | – | Microsoft 365 全体管理者 |
事前準備
カスタムドメインの登録
Microsoft 365 の既定のドメイン名は *.onmicrosoft.com です。
通常は組織のドメイン名を別途使用していると想定しますが、検証環境のため新規で設定を行っています。
手順の詳細は以下となります。
ファイアウォール
通信に必要なポートを開放する必要がありますが、今回は検証環境のため、FW は存在しないので対処していません。
一般の企業では FW は存在すると思われますのでこちらを参考に作業を行います。
Active Directory UPN サフィックスの登録/変更
シングル サインインを実現するためには Microsoft 365 で使用するドメインと同名のドメインを UPN サフィックスとして Active Directory に追加する作業が必要です。
[Active Directory ドメインと信頼関係] を起動し、[操作] – [プロパティ] をクリックします。
UPN サフィックスを入力し、[追加] をクリックします。
UPN サフィックスが追加されていることを確認し、[OK] をクリックします。
Azure AD Connect のインストール
Azure AD Connect をダウンロードします。
今回使用するバージョンは 2.1.16.0 です。
ダウンロードした「AzureADConnect.msi」を実行します。
[ライセンス条項およびプライバシーに関する声明に同意します。] にチェックを入れ、[続行] をクリックします。
[カスタマイズ] をクリックします。
[インストール] をクリックします。
以下を有効にして [次へ] をクリックします。
- パスワード ハッシュ同期
- シングル サインオンを有効にする
[パスワードハッシュ同期] はハッシュ化したパスワードを Azure Active Directory に同期し、Active Directory を介すことなくAzure Active Directory で認証が完了します。
パスワードはハッシュ化されているので、基本的にはセキュリティ上問題ありませんが、セキュリティ要件が厳しい企業ではパススルー認証を利用する場合があります。
Microsoft 365 全体管理者のユーザー名、パスワードを入力し、[次へ] をクリックします。
Active Directory のフォレスト (ドメイン) を入力し、[ディレクトリの追加] をクリックします。
[新しい AD アカウントを作成] を選択し、Enterprise Admins 権限を保持している管理者を指定し、[OK] ボタンをクリックします。
このタイミングで Active Directory の Users コンテナに「MSOL_*」アカウントが自動で作成されます。
ディレクトリが正常に追加されたことを確認し、[次へ] をクリックします。
Azure AD に登録しているドメインが [構成済み] になっていること、[ユーザー プリンシパル名] が [userPrincipalName] に設定されていることを確認し、[次へ] をクリックします。
同期対象の OU を個別で指定する場合は以下のように指定し、[次へ] をクリックします。
デフォルトの設定のまま [次へ] をクリックします。
デフォルトの設定のまま [次へ] をクリックします。
デフォルトの設定のまま [次へ] をクリックします。
[資格情報の入力] をクリックします。
Active Directory の管理者権限のあるアカウントを指定し、[OK] をクリックします。
[資格情報の入力] 項目が正常であることを確認し、[次へ] をクリックします。
デフォルトの設定のまま [インストール] をクリックします。
インストールが正常に完了したことを確認し、[終了] をクリックします。
正常性確認
AADC サーバー GR-AADC にログインします。
PowerShell で以下コマンドを実行し結果が正常か確認します。
[Delta] は差分同期を意味します。
Start-ADSyncSyncCycle -PolicyType Delta
Result
------
Success[Synchronization Service] を起動し、[Status] がエラーなどなく [sucess] であることを確認します。
簡単な正常性確認はこれで終了です。
インストール後に Microsoft Edge や Outlook で接続テストを実施しました。
結果の詳細はこちらです。
コメント