クラウドサービスの Azure Active Directory (Azure AD) とオンプレミスActive Directoryのアカウントを紐づけて同期する方法があります。
同期する方法としては、Azure AD Connect と呼ばれるマイクロソフト提供のソフトウェアを利用することで実現可能です。
では、Azure AD Connect のインストールするには、
「何が必要か?」「Azure AD Connect はダウンロード先」「制限事項」
などの初歩的な要件を解説します。
サーバの構成として、2台のオンプレミス側サーバ構成としています。
・Active Directoryサーバ1台
・Azure AD Connect サーバ1台
Azure AD テナントを用意する
Azure アカウントを作成すると、 「Azure ポータル」 とよばれるAzureクラウドサービスの管理画面にログインできるようになります。
https://portal.azure.com/
この中のサービスの1つにAzure Active Directoryがあります。
Azure Active Directory上に企業のメールアドレスで利用しているドメインなど、紐づけたいドメインをAzure AD 上に追加しておきます。
詳細な手順は、マイクロソフトのサイトを参照
https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/add-custom-domain
確認項目は以下になります。
- Azure AD テナントの準備
- カスタムドメインの追加
- ドメインのDNSレコードが検証済み
Azure AD Connect のサーバを用意しよう
次にAzure AD Connect (AADC)の導入するオンプレミス側に Windows Server を1台用意します。
サーバはできれば「専用のサーバ」が推奨されています。
理由として、
・アカウント同期用の重要なサーバ
・メンテナンスが必要な場合がある(AADC)
・セキュリティ面の強化が別途必要
サーバの条件として「Azure AD Connect をドメイン コントローラー上へのインストールは推奨されていない」ので、単なるドメインのメンバーサーバであればよい。
ただし、”Small Business Server” や “Windows Server Essentials” は対象外です。
なぜか “Windows Server Essentials 2019” はOKな仕様。
「ADサーバ上へはインストール非推奨?」
と思われる方もいると思います。
たしかにマイクロソフトのサイトをみると・・・
Azure AD Connect は、ドメイン参加済みの Windows Server 2012 以降にインストールする必要があります。 このサーバーにはドメイン コントローラーを使用することを強くお勧めします。
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites
「ドメイン コントローラーを使用することを強くお勧め」と記載あります。
しかし間違いです。
英語を見てみますと、
Azure AD Connect must be installed on a domain joined Windows Server 2012 or later.
訳:Azure AD Connect は、ドメイン参加しているWindows Server 2012 かそれ以上にインストール必須
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-syncservice-features
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites
微妙な罠がありました・・・
2021.05.04 更新
マイクロソフトの公開情報の日本語訳がが訂正されていました。
翻訳のとおり、
「Azure AD Connect は、ドメインに参加している Windows Server 2012 以降にインストールする必要があります。」
に変更されていました!
通信要件を確認する
プロトコル | ポート |
---|---|
DNS | 53 (TCP/UDP) |
Kerberos | 88 (TCP/UDP) |
MS-RPC | 135 (TCP) |
LDAP | 389 (TCP/UDP) |
SMB | 445 (TCP) |
LDAP/SSL | 636 (TCP/UDP) |
RPC | 49152 から 65535 (ランダムRPCポート)(TCP) |
オンプレミス側の通信要件です。今回ADFSは利用しないので最小限にとどめています。
プロトコル | ポート |
---|---|
HTTP | 80 (TCP) |
HTTPS | 443 (TCP) |
AzureADへの通信はシンプルです
インターネットへ接続できる環境ですと問題ありません。
AADCモジュールを用意する
ダウンロード先URLよりモジュールをダウンロードしておきます。
https://www.microsoft.com/en-us/download/details.aspx?id=47594
英語になっていますが、インストール時に各言語に翻訳されますのでご安心を。
まとめ
Azure ADの需要やシステム連携が今後増えてきますので、今のうちに要件を整理しておくのがおすすめです。
マイクロソフトのサイトは機械翻訳です。
そのため、間違った情報や古い情報により混乱してしまいます。
しっかりと複数のサイトを確認しておくと良いかと思います。