Azure AD Connect というソフトウェアではなく、簡易なエージェントをサーバにインストールしてAzure AD へのID同期を行う方法があります。
この方式は「Azure AD Connect Cloud Sync」または「Azure AD Connect クラウド同期」と呼ばれており、「Azure AD Connect Cloud Sync」の概要とインストール方法について記載します。
概要
「Azure AD Connect Cloud Sync」というのを簡単に説明しますと、「Azure AD Cloud Provisioning Agent」というエージェントをサーバーにインストール・稼働させることで Azure AD とのID同期を実現します。
また、Azure AD Connect 同期と共に使用することもできます。
おもな特徴
- 簡易なエージェントによるID同期
- 構成の管理はクラウド上(Azure AD)で行う
これ以外にもいろいろあると思われます。
「Azure AD Connect 」と「Azure AD Connect Cloud Sync」の違い
「違いは何?」と思われるかもしれません。
ID同期には違いがないのですが、Azure AD Connect のほうが機能は充実しています。
Azure AD Connect Cloud Sync 特有の機能
- 切断された複数のオンプレミスADフォレストに接続する
- ライトウェイト エージェント インストール モデル
- 高可用性のための複数のアクティブなエージェント
- オンデマンド プロビジョニング
特有の機能を抜き出してみました。
この中で「切断された複数のオンプレミスADフォレスト」の意味がよくわからないかもしれませんが、これは「ブランチオフィスのオンプレミスADサーバー」をイメージしてみると理解しやすいと思います。
Azure AD Connect では、メインのオンプレミスADサーバーに対して同期をかけますが、ブランチオフィスなどメインとは違ったフォレストは同期対象外(ユーザーは同期されません)です。この場合、Azure AD Connect Cloud Sync を使うことで、ID同期が実現できます。
しかし、Azure AD Connect でないと実現できない機能もあります。
要件に合わせて、ID同期の方式は選択する必要がありますね。
Azure AD Connect インストールが必要な場合 ※一部抜粋
- デバイスのサポート
- オンプレミスExchange サーバーのハイブリッド構成での書き戻し
- パスワード、デバイス、グループなどの書き戻し
- クロスドメイン参照
デバイスのサポートは Azure AD Connect でないと実現できませんので、Hybrid AD Joined 構成やMicrosoft Endpoint Manager を利用したい場合は注意が必要です。
「Azure AD Connect 」と「Azure AD Connect Cloud Sync」の機能比較はマイクロソフトの公開情報で確認ください。
Azure AD Connect クラウド同期とは
https://learn.microsoft.com/ja-jp/azure/active-directory/cloud-sync/what-is-cloud-sync
インストール
インストールする前に前提条件を確認・設定してからサーバーへのインストールを開始します。
TLS1.2の有効化を確認しましょう
サーバー上ではTLS1.2を有効にする必要があります。
以下のレジストリキーを確認しましょう。
TLS1.2レジストリ
| [HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] “DisabledByDefault”=dword:00000000 “Enabled”=dword:00000001 [HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] “DisabledByDefault”=dword:00000000 “Enabled”=dword:00000001 [HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] “SchUseStrongCrypto”=dword:00000001 |
モジュールのダウンロード
Azure portal にサインインし、 [Azure Active Directory] > [Azure AD Connect] > [クラウド同期の管理] より、Azure portal から Azure AD Connect プロビジョニング エージェントをダウンロードします。
サーバーへのインストール
ダウンロードした AADConnectProvisioningAgentSetup.exe をサーバ上で実行します。
ライセンス条項に同意して、[Install] をクリックします。
[Close] をクリックします。
Configuration Wizard が開きます。[Next] をクリックします。
Configure Service Account の画面が開きます。gMSAアカウントの作成するか、既存のアカウントを指定するかを選択します。
今回、新規にgMSAアカウントを作成するにチェックをいれ、オンプレミスADの管理者アカウント情報を入力します。[Next] をクリックします。
オンプレミスADのドメイン情報を確認し、[Next] をクリックします。
再度、Azure ADアカウント情報およびオンプレミスADのドメイン情報を確認し、[Confirm] をクリックします。
設定が完了しました。[Exit] をクリックします。
Azure Portal 上でのID同期構成の作成
Azure portal にサインインし、 [Azure Active Directory] > [Azure AD Connect] > [クラウド同期の管理] を開きます。
[新しい構成] をクリックします。
同期スコープの変更
ドメインフォレスト全体に同期をかけてしまうと、ユーザー影響が発生しますので、必要最低限の同期を行います。
同期するスコープの範囲を設定します。
今回も特定のOUのみの同期をおこないますので、属性エディターのdistinguishedNameに記載された値を入力し追加します。
「有効にする」に設定を変更し、同期構成を保存します。
するとID同期が開始されます。
同期が開始され、正常にID同期するとAzureポータル上から「正常」と表示されます。
