Azure の 無償のサブスクリプション (無料評価版) を起点に Windows Azure Active Directory (WAAD) のディレクトリ同期を設定する際の作業の流れを見ていきたいと思います。
今回は、nawagamixxxxxx@outlook.jp の Microsoft アカウントを取得して、そのアカウントで Azure の無償評価版のサブスクリプションを作成しています。
ここを起点として作業をしていきたいと思います。
サブスクリプション作成直後ですが、既定のディレクトリとして、Microsoft アカウント名を元にしたディレクトリが作成されます。
# 既定のディレクトリ = デフォルトで作成されているディレクトリというイメージでしょうか。
既定のディレクトリ名では使いづらいということがあったら新規にディレクトリを作成することもできます。
削除はできないようなので、テストで作成する際には本番相当の名前は使わないように注意をしたほうがよいかと。
# この辺は Office 365 でも同じだったはずですが。
今回は既定のディレクトリを使っていきたいと思います。
Contents
■ディレクトリ同期ツールの設定
ディレクトリ同期を行う場合には、ディレクトリ同期によりデータを送り込むディレクトリを選択して、[ディレクトリ統合] から [アクティブ化済み] を有効にする必要があります。
アクティブ化を行うことで同期に必要となるディレクトリ同期ツール (Dirsync) をダウンロードすることができるようになります。
ツールの入手ができたら、ディレクトリ同期ツールをインストールします。
ディレクトリ同期ツールは Active Directory のドメインコントローラーにインストールすることはできませんので、Active Directory に参加しているメンバーサーバーにインストールをします。
今回は nawagami.local というドメインに参加しているメンバーサーバーに対してディレクトリ同期ツールをインストールを行います。なお、.NET Framework 3.5 が必要になりますので事前にインストールをしておきます。
ディレクトリ同期ツールを構成する際に、同期対象のディレクトリに WAAD のアカウント (~.onmicrosoft.com) が必要となります。
最初の状態ですと、サインアップに使用した、Microsoft アカウントしか存在しない状態になりますので、WAAD のアカウントを作成します。
今回は syncadmin という組織内の新しいユーザーを作成しています。
なお、ディレクトリの管理者の権限が必要になったはずですので、全体管理者の権限を付与しておきます。
これで作成をすると初回ログイン時の一時パスワードが発行されますので、パスワードを恒久的なものに変更をする必要があります。
# 恒久といってもパスワードの有効期間を外すための操作を PowerShell で実行しないとパスワードの有効期間が設定されていたはずですが。
作成したユーザーについては WAAD のアカウントになりますので、Office 365 や Intune にもログインが可能な [組織アカウント] となります。
そのため、パスワード設定のためのログインをする場合には、[組織のアカウントを使用してサインインする] をクリックして、
組織アカウントでサインインをするための画面に遷移してから、ユーザー名 (~.onmicrosoft.com) と作成時に設定された一時パスワードを指定します。
そうすると、パスワード変更の画面になりますのでここでパスワードを設定します。
これで WAAD 側の準備が整いましたのでディレクトリ同期ツールのインストールを行います。
今回はドメインの Administrator でログオンしてインストールをしています。
なお、ディレクトリ同期ツールでは SQL Server が使われているのでインストールには少し時間がかかります。
インストールについては基本的にウィザードに従って [次へ] をどんどん押していきます。
最初に入力を行う個所としては、WAAD の管理者 (全体管理者) の資格情報の入力となります。
この資格情報を使用してどの WAAD と同期をするかを指定するイメージでしょうか。
通常は [~.onmicrosoft.com] の組織アカウントの資格情報を設定することになるかと。
今回の場合は [syncadmin@~.onmicrosoft.com] ですね。
次に指定をするのが、通常の Active Directory の資格情報になります。
表示にあるようにエンタープライズ管理者の資格情報になりますので、Enterprise Admins のグループのアカウントを指定することになるかと。
今回は検証なのでドメインの Administrator を使用してしまっていますが。
混在環境は今回は設定していません。
# というより、私がこの辺をきちんと理解できていません…。
パスワード同期については有効にしています。
この辺は AD FS を介して認証をさせるか、AD FS を使用しないでディレクトリ同期のみを実施し、認証は WAAD の組織アカウントを使用するのかによって設定の判断が変わってくるのかなと。
# オンプレミスの AD を認証基盤として使用するか、情報基盤として使用するかの判断が入りますので。
設定が終わったら初期同期をすれば WAAD にユーザーの情報が同期されます。
設定が終わったらディレクトリ同期ツールをインストールした端末の [FIMSyncAdmins] グループのメンバーの状態も確認をしておくとよいかもしれないですね。
Windows Azyre Active Directory Sync Service のサービス起動アカウント (AAD~) とディレクトリ同期ツールを起動できるユーザーはこのグループに登録されている必要がありますので。
同期の確認は、定番の [C:Program FilesWindows Azure Active Directory SyncSYNCBUSSynchronization ServiceUIShellmiisclient.exe] か、ポータルの 最後の同期から確認をすることができます。
デフォルトですと、3 時間ごと (C:Program FilesWindows Azure Active
Directory SyncMicrosoft.Online.DirSync.Scheduler.exe.Config の SyncTimeInterval の間隔) で同期が行われるはずですが、手動で同期を行いたい場合には、
- C:Program FilesWindows Azure Active Directory SyncDirSyncConfigShell.psc1 を実行
- Start-OnlineCoexistenceSync で手動同期を実行
で対応できるかと。
この辺は Office 365 の管理をする場合と一緒ですね。
# Office 365 も WAAD 使っているので当然なのかと思いますが。
■カスタムドメインの設定
ここまで設定すると AD に作成していたユーザーが WAAD に連携されるようになります。
今回は縄神様というアカウントを事前に AD に作成していたので、WAAD に同期されています。
現在はカスタムドメインの設定をしていないので、ユーザー名は [@~.onmicrosoft.com] の [ローカル Active DIrectory のユーザー] として作成されています。
ディレクトリ同期で同期されたユーザーについては [ユーザー名@企業ドメイン] で利用するケースが大半だと思います。
このような利用をする場合にはカスタムドメインの設定をします。
Azure のポータルでカスタムドメインを追加したい、ディレクトリを選択し、ドメインからカスタムドメインを追加することができます。
カスタムドメインの追加についてはシンプルな UI となっており、ドメイン名の入力しかありません。
注意をする点としては、[このドメインを~] のチェックを有効にするかどうかでしょうか。
はじめ、このチェックはヘルプを表示するかどうかのためのものなのかなと思っていたのですが違っており、[追加したドメインをフェデレーションドメインとして使用するかどうか] (追加したドメインを AD FS を使用して SSO するか) を指定するものとなるようです。
Office 365 の時と同様に追加したカスタムドメインについては DNS に TXT レコードを追加し、ドメインを所有していることを証明する必要があります。
この際、DNS に登録するレコードはポータルで対象のドメインを選択した状態で、[確認] をクリックすることで表示できるのですが、先ほどのチェックをつけているかどうかによって、表示内容が変わります。
左がチェックをつけていない状態、右がチェックをつけている状態の表示になります。
チェックをつけていない場合には AD FS を使用せずにカスタムドメインを使用するという判断になるようで TXT レコードが表示されます。
チェックを付けた場合については AD FS を使用するという判断になり、ポータルで TXT レコードを表示するのではなく、[New-MsolFederatedDomain] でフェデレーションドメインを登録する際に、TXT レコードを取得するという流れるなるようです。
そのため、後者の場合には AD FS の構築を事前に済ませている必要があるかと。
今回は AD FS は使わないでカスタムドメインを使用したいため、チェックをつけない状態でドメインを追加しています。
この辺は、
- カスタムドメインを使用して、カスタムドメインのユーザーを手動で追加
- カスタムドメイン + ディレクトリ同期を使用して、カスタムドメインのユーザーを同期で追加
- AD FS (カスタムドメイン + ディレクトリ同期 + SSO) を使用してカスタムドメインのユーザーを同期で追加
等々のパターンを考慮して進める必要があるのかなと。
DNS に TXT レコードを追加して、
# 今回はムームードメインドメインを使用しているのでレジスストラのコンパネの DNS を使っています。
ドメインの確認が完了すると状態が [未確認] → [確認済み] となり、対象の WAAD でカスタムドメインが使えるようになります。
カスタムドメインを追加することで、新規ユーザーの作成時にもカスタムドメインを指定できるようになります。
今回は AD のドメイン名は nawagami.local を使用し、カスタムドメインは nawagami.com を使用します。
# 企業で頻繁にあるパターンだと思います。
まずは Active Directory ドメインと信頼関係から代替 UPN サフィックスとして、nawagami.com を追加します。
そうすると、ユーザープリンシパル名のドメインに nawagami.com を設定できるようになりますので、このドメインを設定して WAAD に手動同期をしてみます。
これで同期されたユーザーについても、ユーザー名をカスタムドメインを使用したものを利用することができるようになります。
このアカウントを Azure のサブスクリプションの共同管理者に設定して、Azure のポータル (http://manage.windowsazure.com) を利用したり、
Office 365 (http://portal.microsoftonline.com) や Windows Intue (http://manage.microsoft.com/) を利用するということも可能です。
# 評価ライセンス等は紐づけていないので、ポータルへのアクセスしか試していませんが。
どの WAAD のドメインに組織アカウントで使用するためのカスタムドメインを関連付けるかという点が Office 365 や Intune を起点にした場合との違いになる感じでしょうか。
# 上記の 2 つは契約時にに作成された WAAD しか使わないと思いますので。
[…] […]
Windows Azure Multi-Factor Authenticationを利用したADFSの多要素認証の設定(1) | Always on the clock
10 4月 14 at 12:21
[…] […]
Azure ADアカウントを利用したADFSのクレームベース認可 | Always on the clock
4 11月 14 at 09:01
AZURE管理ポータルの中で使われているAZURE ディレクトリとは何ですか?
・どういう目的でりようするのか?
・AZURE サブスクリプションとの関係は?
・AZURE Active ディレクトリとは異なりますか?
基本的な事項で申し訳ありませんが、上記の件アドバイスを頂きたいと思います。
Kenichi Nagai
2 3月 15 at 14:47
こちらはAzure Active Directory (AAD) を指しています。
サブスクリプションを作成すると、既定のAADが作成され、このAADの情報を使用して、ポータルのログイン管理等ができるようになります。
また、新規にアプリケーションを作成する場合、アプリケーションとの認証の連携としてAADの情報を使用することができます。
# 余談ですが、Windows 10 からは、AADのユーザーを使用してPCのログインが可能となり、PCの認証基盤としても利用できるようです。(Windows 8.1 では、PCの認証基盤としてAADを使用することはできませんが)
masayuki.ozawa
2 3月 15 at 20:31