Reading Time: 1 minutes
・ Azure AD Connectを使用してActive DirectoryとAzure ADを同期する際の注意点について解説
・ Azure AD Connectを使用して同期の設定を行う際のポイントについて解説
前回、Azure ADでユーザーやグループを作成する際、GUIから作成する方法や、Windows PowerShellコマンドレットを使って作成する方法をみてきました。Azure ADでは、これらの方法だけでなく、Azure Active Directory Connect (以下、Azure AD) と呼ばれるツールを使って作成する方法があるので、今回はAzure AD Connectの活用方法について見ていきます。
Azure AD Connectとはマイクロソフトから提供されているツールで、社内にあるActive Directoryドメインのユーザーやグループを Azure ADに同期することで、Azure ADにユーザーとグループが自動的に作成される、というものです。同期はデフォルトで30分に一度という間隔で行われるので、ユーザーやグループの新規作成だけでなく、パスワードの変更や、属性情報の変更、削除など、作成後に行われた変更にも対応することが特徴です。
そのため、社内でActive Directoryドメインをお持ちの会社の場合、Azure AD Connectを利用することで、Active DirectoryとAzure ADのユーザー管理を一元化できるというメリットがあります。
早速、利用方法を確認しておきましょう。
Azure AD Connectを利用する場合、事前にActive DirectoryとAzure ADで同じユーザー名を利用できるようにするための準備を行います。例えば、Active Directoryドメインにはcontoso.localのようなドメイン名を利用しているときに、Azure ADドメインにcontoso.co.jpのようなドメイン名を利用していたとしましょう。この場合、Active Directoryにおいてユーザー名+ドメイン名で表現されるユーザープリンシパル名 (以下、UPN) はkunii@contoso.localのように表され、Azure ADのユーザー名はkunii@contoso.co.jpのように表されます。このようにActive DirectoryとAzure ADでドメイン名が異なると、ユーザー名 (UPN) も異なるため、Azure AD Connectによる同期ができないという問題が発生します。
そのため、Azure AD Connectでは「異なるユーザー名問題」を解決してから、同期を始める必要があります。「異なるユーザー名問題」を解決する方法は2つあります。
ひとつ目はUPNが同一になるように、Active Directoryのドメイン名を変更する方法です。
Active Directoryのドメイン名がAzure ADのドメイン名と異なるのであれば、Active Directoryのドメイン名に本来のドメイン名とは別の名前を設定し、さらに各ユーザーのUPNも別名のドメイン名に設定してしまおう、そうすればAzure ADに同期できるようになる、という方法です。
この方法は、[Active Directoryドメインと信頼関係]管理ツールを利用して、Active Directoryドメイン名の別名(代わりのUPNサフィックス)を設定しておきます。すると、Active DirectoryユーザーのプロパティからUPNに別名のドメイン名を設定できるようになります。そうすることで、kunii@contoso.localという名前のUPNはkunii@contoso.co.jpというUPNに変わるので、Azure ADに同期が可能な状態になります。
ふたつ目の方法は、Azure ADに同期するユーザーの情報としてUPN以外の属性を利用する方法です。Active Directoryのドメイン名がAzure ADのドメイン名として利用できないのであれば、UPNではなく、メールアドレスのような別の属性を利用するように設定しまうやり方があります。
この方法はユーザーのメールアドレスさえ設定してあれば、ひとつ目の方法のようにActive DirectoryユーザーのUPNを変更しなくてもよいので、とても便利な方法です。特に、会社で使っている業務アプリケーションとの関係でActive DirectoryユーザーのUPNを変更できない場合などにふたつ目の方法を選択することが多いようです。
ふたつの方法のうち、どちらかの方法でActive Directoryユーザーを同期できる状態にしたら、いよいよAzure AD Connectをインストールし、同期を開始していきます。
Azure AD ConnectはマイクロソフトのWebサイトhttp://aka.ms/aadcよりダウンロードします。ダウンロードしたツールは社内にあるWindows Serverにインストールします(インストール先はドメインコントローラーでなくても構いません)。ツールをダブルクリックして実行すると、ウィザードが出てくるので、ウィザードの指示に沿ってインストールしていきます。ウィザード画面の中では重要なポイントがいくつかあるので、ここでは2つ紹介しておきましょう。
・ [ユーザーサインイン]ウィザード画面
ウィザード内の[ユーザーサインイン]画面では、ユーザー名とパスワード(ただし暗号化されたもの)をAzure ADに同期するのか、またはユーザー名のみを同期するのか、などを選択できます。利便性からユーザー名とパスワードの両方をAzure ADに同期しておくとよいでしょう。その場合は[パスワードハッシュの同期]を選択します。
・ [Azure ADサインインの構成] ウィザード画面
ウィザード内の[Azure ADサインインの構成]画面では、前述のふたつ目の方法を選択する場合、[ユーザープリンシパル名]欄から[mail]を選択します。そうすることで、Active DirectoryユーザーのメールアドレスがAzure ADユーザーのUPNとして同期されるようになります。
最後に注意点を。
Azure AD Connectによって同期されたユーザーやグループはActive Directoryからしか変更を行うことができません。誰が使っているのかわからないようなユーザーがActive Directoryに放置されていると、その情報はAzure ADに同期されてしまい、しかもAzure ADから削除もできません。こうしたゴミをAzure ADに同期しないようにするためにも、Azure AD Connectを利用するときは、まずActive Directoryの管理・整理をきちんと行っておくことを心がけるようにしてください。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Active Directoryの分野におけるMicrosoft MVPを12年連続で受賞する。
主な著作に『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』 (インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは、ゾーホージャパンの前田です。今回の記事では、マイクロソフトが提供しているツール「Azure AD Connect」を使用した、Active DirectoryとAzure ADの同期方法や注意点について学びました。その中で、Azure AD Connectを利用する際は、Active Directoryの管理・整理が大切という記載がありましたが、皆さまはどのようにActive Directoryの棚卸しを行っておりますでしょうか。デフォルトのツールを使用して目視で確認、あるいはPowerShellを使用してデータを抽出後、レポートとしてまとめた上で整理を行うなど、企業ごとに様々な方法があるかと思います。
しかし、「Active Directoryの管理にまで手が回っていない・・」「存在しないはずのユーザーが残ったままとなっている・・」など、管理・整理に課題を感じている方は、まずはActive Directoryの運用管理を大幅に効率化するツール「ADManager Plus」でActive Directoryの大掃除を行いませんか?
■ 「ADManager Plus」とは
WebベースのGUIにてActive Directoryのユーザー/コンピューター/ファイルサーバーを管理し、自動化やワークフローなどを容易に実行できるActive Directory運用管理ツールです。さらに、Active Directoryのユーザーを作成時にクラウドベースのOffice 365ユーザーも同時に作成することができるなど、ユーザー管理にかかる工数を大きく削減することが可能です。
(関連ページ) ADManager PlusでActive Directory ID/アカウントの棚卸
なお、実際にADManager Plusを操作して機能をご確認されたい場合は、30日間無料でフル機能をご利用いただける評価版もございますので、是非一度ご評価いただければと思います。
製品ホームページ >> ADUC、PowerShellよりもっと簡単に Active Directory ID管理ソフト | ADManager Plus
ADManager Plus無料評価版のダウンロードはこちらから >> ADManager Plus 評価版ダウンロード
>> 第6回 Azure ADによるクラウドサービスの管理(1)
▼▼ 過去記事はこちら ▼▼
【MicrosoftのMVP解説!Azure ADの虎の巻】第3回 Azure ADの利用開始
【MicrosoftのMVP解説!Azure ADの虎の巻】第4回 Azure ADのユーザー・グループの管理(1)
▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。