Azure AD Connect のインストール前に確認したい要件

Active Directory AD Connect Azure

Azureとオンプレミス環境のID同期には、Azure Active Directory Connect (Azure AD Connect または AADC )サーバーを用意して同期を行います。

はじめてこのツールを導入しようと思った際に、
「Azure AD Connect って、単にツール(ソフトウェア)をインストールして設定するだけじゃない?」
という思いがありました。これが間違いでした。

どういうことかと言うと、オンプレミス側のドメインサーバーやユーザーアカウントの設定などが必要だったり、かなり複雑な前提条件だったりしました。

こんな方へおススメ

・Azure AD Connect の前提がしりたい
・Azure AD Connect インストールしたけど上手くいかない

Azure AD Connect の導入(インストール)する前に確認しておく事項をまとめてみました。



1.まずはインフラ環境を明らかにしましょう

「どうゆうこと?」と思われるかもしれませんが、Azure AD Connect の動作要件はややこしいです。

設計が大事

Azure AD Connect のインストール・設定が間違っていると、Microsoft 365 アカウントに影響がでますので、まずは設計を重視しましょう。

インストール・設定の失敗した例をあげます。
間違ったアカウント設定した検証パターンでは
アカウントは同期せず新規アカウントがAzure上に作成されたいた。」ということがありました。

まずは以下の2点は必ず抑えておきましょう
・同期の方式(ハッシュ同期、パススルー、パスワード書き戻し・・・)
・AD FS環境の有無と設定内容

こういった初歩的なことかと思うかもしれませんが、お客様の要件がすこしでもずれていたら、大変です。
ドメインの設定やらAzureの設定やら見直したり・・・

なので、インフラ環境の「やりたいこと(要件)」を定義すると同時に、現在のインフラ環境を明らかにしましょう。

Azure側の設定

Azureテナントが必要です。
Microsoft365を利用されている場合でしたら、すでにAzureテナントも作成されています。

いったん Azure ポータルへアクセスして、カスタムドメイン設定がされているかを確認します。
https://portal.azure.com/

ポータル画面から [Azure Active Directory] を開きます
[カスタムドメイン名] を選択します。すると現在設定されているドメインの一覧が表示されますので、状態が[確認済み]であるのと、フェデレーションドメインであるかの確認を行います。



2.サーバーの用意

専用のサーバーを用意します。
ほかのサーバーに共存させたい場合もあるかもしれませんが、マイクロソフトの公開情報から専用サーバーが推奨されています。
なお、スペックはあまり要求されません。

【サーバー要件】
CPU: デュアル コア 1.6 GHz 以上
メモリ:2 GB 以上
Azure VM:A2 構成またはそれ以上

専用サーバーの容易に気を付けること 条件3つ

以下3つを満たせればOK。
なお、ドメインコントローラー上にインストールするのは推奨されません。

  • 条件1:OSはWindows Server 2012 以降。ドメインに参加しているメンバーサーバーであること。
  • 条件2:Windows Server Standard 以上のエディション
  • 条件2:Windows Server はGUIのみ。Windows Server Core はサポート外。



3.ドメイン環境への設定変更 3つ

ドメイン環境への設定について、3つ挙げておきます。
もっとあるのですが、最低限おこなったことを記載します。

代替 UPN サフィックス登録

オンプレミスドメインというのは、たいていcontoso.local とかのローカルドメインかと思います。
そのローカルドメインと外部ドメインは別ものですので、このドメインについて整合させます。

代替 UPN サフィックス登録の手順

手順1:ドメインサーバーの管理ツール[Active Directory ドメインと信頼関係]より、[Active Directory ドメインと信頼関係] の「プロパティ」をひらきます。

手順2:UPN サフィックス画面より、[代替UPNサフィックス名]を入力後、追加します。

同期専用アカウント作成

Azure AD Connect の仕様が変更され、同期アカウントに対しては「ドメインの読み書き権限を付与した一般アカウント(ドメインユーザー)」となっています。
つまり、ドメイン管理者はりようできませんので、別途アカウント作成が必要です。

あらかじめ同期専用のアカウントを作成しておきます。

Azure AD Connect のインストール後に、アカウントに対しての権限を付与したり、アカウントをカスタマイズします。

権限設定の詳細については以下の記事を参照ください。

Azure AD Connect 同期アカウントの権限設定

同期OU

Azure AD Connect での同期はドメイン全体も可能ですが、一部OUのみの同期も可能です。
検証を行う際には、影響範囲は最小にしたいので、同期OUをあらかじめ作成しておきます。
こうすることで実際のユーザーへの影響は最小限にとどめ、障害が発生しにくくなります。




4.まとめ

Azure AD Connect での同期について、実際のプロジェクトで行ってきた内容を一部交えて公開しています。
はじめてAzure AD Connect を導入されるかたは、なかなか大変な状況と思い、今回の記事を作成してみました。
お役に立てば幸いです。

スポンサードサーチ