前回までAzure AD Connect の要件など確認してきました。
今回はAzure AD Connect のカスタムインストールを行い、オンプレミスADとの同期を行っていきます。
事前準備と確認しましょう
いきなり手順は行わず、まずはモジュールダウンロードなど事前準備・確認を行いましょう。
Azure AD Connect モジュールのダウンロード
マイクロソフトのAzure Active Directory Connect ダウンロードページより、AzureADConnect.msi をサーバー上にダウンロードしておきます。
https://www.microsoft.com/en-us/download/details.aspx?id=47594
必須コンポーネントのインストール
サーバー上で AzureADConnect.msi を実行します。
ライセンス条項に同意して、[続行] クリックします。
[カスタマイズ] をクリックします。
[インストール] をクリックします。
SQL LocalDB など必須コンポーネントが自動でインストールされます。
既存アカウントで同期したい場合の手順
Azure AD Connect の同期用のユーザーアカウントは Domain Users 権限のアカウントを利用します。もし、あらかじめ同期用のユーザーアカウントを作成して権限を付与していない場合ですと、権限が足りず同期が失敗してしまいます。
「必須コンポーネントのインストール」後に対象アカウントの権限を付与しておきましょう。
▶Azure AD Connect 同期アカウントの権限設定
カスタムインストール手順
さて、ここからAzure AD Connect のカスタムインストールを行っていきます。
カスタムインストールの構成とインストール
手順1:ユーザーサインイン画面では、今回「パスワードハッシュの同期」「シングルサインオン」を選択しました。
手順2:Azure AD のグローバル管理者の資格情報を入力します。
手順3:オンプレミスADのディレクトリ接続の情報を入力します。
[ディレクトリの追加] をクリックします。
するとADフォレストアカウントの設定画面が開きます。
[エンタープライズ管理者ユーザー名] と記載ありますが、ドメインの管理者アカウントは利用できません。
新しいADアカウント作成(Domain Users 権限)を選択しておくと、自動的に権限が付与されたアカウントが作成されます。
既存のADアカウントがある場合はそのアカウントを指定します。
構成済みディレクトリにオンプレミスADドメインが表示され、緑マークチェックが入っていることを確認します。[次へ] をクリックします。
手順4:Azure上で設定しているドメインが [確認済み] であることと、「一部のUPNサフィックスが~~」にチェックを入れます。[次へ] をクリックします。
手順5:ドメインのOU階層が表示されるので、同期したいOUのみにチェックを入れます。[次へ] をクリックします。
※すべてのドメインとOUを同期することは、障害発生時にユーザー影響が大きいので、検証用のOUのみ同期するのをおすすめします。
手順6:[次へ] をクリックします。
手順7:特定のグループに所属しているユーザーのみ同期させたい場合は、グループ名を入力します。
今回は特定OUのみに同期させますので、[すべてのユーザーとデバイスの同期] を選択して、[次へ] をクリックします。
手順8:オプションを確認して、[次へ] をクリックします。
手順9:シングルサインオン有効時にはオンプレミスADのドメイン管理者アカウントを入力・設定します。
[資格情報の入力] をクリックしドメイン管理者アカウントとパスワードを入力します。
緑のチェックを確認し、[次へ] をクリックします。
手順10:構成情報をすべて確認し、[インストール] をクリックします。
手順11:構成が成功しましたら、下記画面になります。
[終了] をクリックします。
Azure との同期を確認してみる
Azure AD Connect のインストール後に、[スタートメニュー] > [Azure AD Connect] > [Synchronization Service] を選択して起動します。
すると、既定では30分ごとに同期が実行されますので、Status が Success であれば問題なくAzure AD Connect は動作しています。
アカウント同期に成功すると、Azure ポータル画面の設定(ユーザーアカウントの設定)が変わります。
対象アカウントの [同期されたディレクトリ]項目が「はい」となっていれば、AzureとオンプレミスADとの同期は正常に行われています。
以上となります。
