Azure AD Connect のインストールとセットアップ (手順)。Azure AD Connect をインストールする前に、環境が特定の要件を満たしていることを確認する必要があります。したがって、このガイドの最初のセクションでは、インストールを成功させるためにさまざまな前提条件と要件が提供されています。
オンプレミスの AD サーバー または Azure AD テナント アカウントが、記載された要件または前提条件を満たしていることを確認するための手順も提供されています。
オンプレミス環境と Azure AD 環境が概説された要件を満たしていることを確認したら、Azure AD Connect をインストールしてセットアップするための詳細なガイドが記載された 2 番目のセクションに進みます。
Azure AD Connect のインストールとセットアップに関する記事から始めましょう。
Azure AD Connect の強制同期 PowerShell/同期サービス マネージャーもご覧ください
Azure AD Connect のインストールとセットアップの前提条件オンプレミスの AD と Azure 環境は多数の要件を満たす必要があります。
アウトルックスダウンロードしてAzure AD Connectをインストールする前に、オンプレミスADとAzure環境は多くの要件を満たす必要があります。
次のサブセクションでは、さまざまな要件と、満足のいく状態かどうかを判断するためのガイダンスが提供されています。
一般的なインストール要件
Azure AD Connectのインストールには、一般的な要件と特定の要件があります。以下に示します。
1. Azure AD Connectサーバーは、オンプレミスのADドメインに参加している必要があります。
サーバーは、Windows Server2016以降を実行している必要があります。サーバーのエディションを確認するには、Windowsスタートメニューを右クリックして実行を選択します。次に、winverを入力してOKをクリックします。
2番目のスクリーンショットは、winverの結果を示しており、私のサーバーはWindows Server 2019です!
この記事を2023年3月に公開した時点で、Windows Server 2022にAzure AD Connectをインストールすることはまだサポートされていませんでした。したがって、winverコマンドがWindows Server 2022を返した場合は、Microsoftがそれをサポートし始めているかどうかを確認し、サポートされていない場合は、AD Connectをインストールするサーバーを変更してください。
2. サーバーは最小限の .NET Framework バージョン 4.6.2 を実行する必要があります。
サーバーの .NET Framework バージョンを確認するには、検索して Windows PowerShell を開きます。 次に、PowerShell に以下のコマンドを入力し、キーボードの Enter キーを押します。
コマンドは、サーバーの .Net Framework のバージョンを表示します。 あなたのもの – 私のように – 4.6.2 以上であれば、次の要件チェックに進みます。
3. Azure AD Connect サーバーは特定の PowerShell 実行ポリシー前提条件を満たす必要があります
Azure AD Connect をインストールすると、インストール ウィザードはインストールの一部として署名された PowerShell スクリプトを実行します。 したがって、PowerShell 実行ポリシーは、それらのスクリプトが実行されるように構成されている必要があります。そうでない場合、インストールは失敗します。
サーバーの現在の ExecutionPolicy を確認するには、Azure AD Connect をインストールする予定のサーバーで Get-ExecutionPolicy コマンドを PowerShell コンソールで実行します。
もしこのコマンドが「RemoteSigned」を返すなら、問題ありません。そうでない場合は、以下の場所に移動してグループポリシーを使用してExecutionPolicyを「RemoteSigned」に設定してください。
コンピュータ構成 -> ポリシー -> 管理用テンプレート -> Windowsコンポーネント -> Windows PowerShell
次に、「スクリプト実行を有効にする」ポリシーをダブルクリックしてその設定を開きます。ポリシーが編集用に開かれたら、「有効」オプションを選択してください。
最後に、「Execution Policy」のドロップダウンリストから「すべてのローカルスクリプトとリモートサインされたスクリプト」を選択してください。
完了したらOKをクリックしてください。
4. その他の重要なAD Connectインストール要件
AD Connectはサーバーコアでインストールすることはできません。これはサポートされていません。
したがって、提案されたAD Connectサーバーは完全なGUIを実行している必要があります。第二に、AD ConnectはSmall Business ServerやWindows Server Essentials(Server 2019以前)ではインストールできません。Windows Server Essentials 2019はサポートされています。
ネットワーク接続の前提条件
これは最も重要な要件です。オンプレミスのActive Directoryドメイン参加サーバーとAzure ADの間の接続がなければ、Azure AD Connectを正常にインストールして設定することはできません。
そのため、以下の接続の前提条件を確認してください:
1. DNS名解決要件チェック
まず、Microsoft 365 Admin センターのアカウントで、すべての関連するドメイン名が内部 DNS で解決されていることを確認してください。Microsoft 365 管理者センターのドメインのリストを表示するには、このリンクにアクセスしてください – https://admin.microsoft.com/AdminPortal/Home#/Domains (リンクは新しいブラウザタブで開きます)。
次に、Office 365 または Azure アカウントでサインインしてください。
このページには、以前アカウントに登録したドメイン名がすべて表示されます。さらに、ページにはドメインの状態も表示されます。
AD Connectのインストールと同期に使用するAzure ADドメインのステータス列に、「Healthy」という言葉と共に緑色のチェックマークが付いていることを確認してください。
下のスクリーンショットは、私のOffice 365ドメインであるitechguides.comを示しています。ステータス列に「Health」と表示されていることがわかります。既定のOffice 365ドメイン名にエラーが表示されている場合は、進む前に修正してください。
私のオンプレミスADドメイン名はcorp.itechguides.comです。
もしあなたがまだあなたのオンプレミスのADのADドメイン名をあなたのAzure ADドメイン名リストに追加していない場合、そしてユーザーを同期したい場合は、今すぐ正確なドメイン名を追加しなければなりません。
I mention this again in the installation and select up section of this guide.
ローカルのDNSサーバーがこれらのドメイン名を解決することを確認するために、Azure AD Connectをインストールする予定のサーバーにログインし、コマンドプロンプトを開き、nslookupコマンドを入力してEnterキーを押してください。
nslookupプロンプトが開いたら、ドメイン名を1つずつ入力してEnterキーを押します。nslookupコマンドプロンプトは、ドメインの完全修飾ドメイン名とそのIPアドレスを表示すべきです – 以下のスクリーンショットを参照してください。
Azure AD Connectをインストールする予定のサーバーから名前を正常に解決できた場合は、以下の2番目の要件チェックに進んでください。
2.プロキシサーバーの前提条件チェック:
もしあなたの組織がプロキシサーバーを介してインターネットに接続している場合、このセクションで説明されている変更を行う必要があります。まず、C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.configをメモ帳で開いてください。
次に、machine.configファイルの</configuration>の前に以下のコードを入力してください。<PROXYADDRESS>:<PROXYPORT>をインターネットに接続するために使用する実際のプロキシアドレスとポートに変更してください。
<system.net>
<defaultProxy>
<proxy
usesystemdefault=”true”
proxyaddress=”http://<PROXYADDRESS>:<PROXYPORT>”
bypassonlocal=”true”
/>
</defaultProxy>
</system.net>
もう一つ重要なプロキシサーバーの要件は認証です。プロキシサーバーが認証を要求する場合は、グループ管理サービスアカウント(gMSA)を作成し、AD Syncで使用します。
インターネットに接続するためにプロキシを使用する場合は、gMSAを作成してください。次に、先ほどmachine.configファイルに追加したコードを、次のように変更してください。
これらのタスクを実行してください。このガイドのインストールセクションで必要になります。
<system.net>
<defaultProxy enabled=”true” useDefaultCredentials=”true”>
<proxy
usesystemdefault=”true”
proxyaddress=”http://<PROXYADDRESS>:<PROXYPORT>”
bypassonlocal=”true”
/>
</defaultProxy>
</system.net>
Active Directory & Azure AD Connect Reporting Toolsをお試しください
ぜひ試してみてください、すべての機能にアクセスできます。 – 200以上のADレポートテンプレートが利用可能。簡単に独自のADレポートをカスタマイズできます。
Azure AD Connectのインストールと設定方法を学ぶために、ガイドを続けて読んでください。
オンプレミスActive Directoryの要件
サーバーにAD Connectをインストールする予定のADスキーマバージョンを表示するには、Windows PowerShellで次のコマンドを実行してください。
このコマンドは、13(Windows 2000 Serverの場合)から88(Windows Server 2019およびWindows Server 2022の場合)の間の数値を返します。以下のスクリーンショットは、私のものが88であることを示しており、これは私のDCがWindows Server 2019上で実行されていることを確認しています。
したがって、この要件を満たすには、最後のコマンドが少なくとも30(Windows Server 2003)を返す必要があります。MicrosoftのすべてのWindows Serverオペレーティングシステムのスキーマバージョン番号のリストについては、現在のスキーマバージョンを見つけるをご覧ください。
次のチェックに進む前に、オンプレミスの ADフォレストのフォレスト機能レベルが少なくともWindows Server 2003であることを確認してください。この情報を取得するには、PowerShellで以下のコマンドを実行してください。
また、Active Directory ドメイン および 信頼関係からこの情報を取得してください。
2. Azure ADのドメインコントローラーは書き込み可能でなければなりません
Azure ADは、読み取り専用のドメインコントローラーをサポートしていません。
したがって、Azure AD同期に使用するDCが書き込み可能であることを確認するための前提条件チェックの一部として、それを検証してください。
3. Active Directoryリサイクルバケットを有効にする(オプション)
これはオプションですが、推奨される要件です。 Active Directoryリサイクルバケットの有効化 は、削除されたオブジェクトを簡単に回復できるようにします。
ADリサイクルバケットの有効化は元に戻すことができません。 そのため、このオプションのタスクを実行する前に、前のリンクを開いてコンテンツを読んでください。 その後、実行する前に環境に対する影響を考慮してください。
Active Directoryリカイムを有効にするには、Active Directory管理センターを開きます。次に、ルートドメイン名を右クリックし、リカイムを有効にするを選択します。
Azure AD Connectのステップバイステップインストールとセットアップ
このセクションの手順に進む前に、運用環境でAzure AD Connectをインストールおよび設定する場合は、前のセクションで説明されている前提条件のガイドラインに従っていることを確認してください。
準備ができたら、次の手順に従ってAzure AD Connectをインストールしてセットアップします。
1. Azure AD Connection MSIインストールファイルをダウンロード
AD Connectをインストールする予定のドメイン参加済みWindowsサーバーから、Microsoft Azure Active Directory Connectのダウンロードリンクをクリックします。
次に、ダウンロードリンクをクリックしてMSIパッケージファイルをダウンロードします。
2. AzureADConnect.msiファイルをダブルクリックします。
ダブルクリックでMSIファイルを開始すると、 Azure AD Connectのインストールが始まります。ウェルカムページでライセンス条項に同意し、続行をクリックしてください。
3. インストールウィザードで「クイック設定」を選択
クイック設定でインストールウィザードが実行するアクションを確認し、満足のいく場合は「クイック設定を使用」をクリックしてください。
それ以外の場合、インストールをカスタマイズするには「カスタマイズ」をクリックしてください。
「カスタマイズ」オプションを選択した場合、次の画面にインストール要件をカスタマイズするオプションが表示されます。利用可能なカスタマイズオプションのタイトルは、自己説明的です。
オプションをカスタマイズするには、それにチェックボックスを付けます。カスタマイズが完了したら、インストールをクリックしてください。
5. “ユーザーのサインイン” ページでオプションを選択
オンプレミスのAD ユーザーがこのページでAzure ADにサインインする方法を選択してください。各オプションについて詳しく知りたい場合は、Azure AD Connectのユーザーサインインオプションをお読みください。
このガイドでは、最初のオプションを選択します – パスワードハッシュ同期。このオプションを選択することで、ユーザーはオンプレミスのAD ユーザー名とパスワードを使用してAzure ADにサインオンできます。
6. Azure ADにサインイン
次に、「Azure ADに接続」ページが読み込まれます。UPN形式([email protected])でOffice 365のユーザー名を入力し、パスワードを入力して次へをクリックします。インストールウィザードの次のページで、オンプレミスのADドメインに接続します。
「ディレクトリの接続」ページで、「ディレクトリの追加」をクリックします。次に、「ADフォレストアカウント」ページで、Azure AD Connectにアカウントを作成させるために「新しいADアカウントを作成」を選択してください。これはMicrosoftが推奨するオプションです。
次に、エンタープライズ管理者グループのメンバーであるオンプレミスのActive Directoryのユーザーを入力し、ユーザーのパスワードを入力して、OKをクリックしてください。以下に示す2枚目のスクリーンショットを参照してください。
8. 選択を確認し、インストールを進める
9. オンプレミスユーザーのためのAzure ADサインインオプションの構成
そして、「Azure ADサインイン構成」画面で、オンプレミスのActive DirectoryユーザーがAzure ADにサインインする方法を選択してください。デフォルトのオプションはuserPrincipalnameを使用することです。
Azure ADのインストールとコンフィギュレーションウィザードは、UPNオプションをデフォルトで選択します。
下の最初のスクリーンショットから見て取れるように、オンプレのADユーザーが同じアカウントでAzure ADにサインインするためには、オンプレADドメイン名がOffice 365ドメインページに追加されて設定されている必要があります。
I have just added my on prem AD domain name into my Office 365 registered domain list, then I clicked the “Refresh” icon.
以下の私の2枚目のスクリーンショットでは、ウィザードがオンプレミスのADドメイン名と同じドメイン名をAzure ADで見ることができるようになったため、「Azure ADサインイン構成」ページのAzure ADドメイン列に検証済み。
この画面が最後のスクリーンショットのようになったら、次へをクリックして進んでください。
次は、Azure ADに同期させたいOUとコンテナを決定することです。
Azure AD Connectはデフォルトで「すべてのドメインとOUを同期」を選択します。しかし、特定のコンテナを同期するために「選択したドメインとOUを同期」を選択することもできます。
私の設定では、1つのOUだけを同期しています – 「ライター」OUです。以下の2枚目のスクリーンショットはこの手順を示しています。
11. Azure ADがオンプレミスのユーザーを一意に識別する方法を設定する
Azure はオンプレミスの AD ユーザー を一意に識別する方法を設定します。アクティブ ディレクトリ ユーザーに sAmAccountName のような一意の識別子がある場合は、“オンプレミス ディレクトリ内のユーザーの識別方法を選択してください” セクションでデフォルトのオプションを選択してください。
I strongly recommend that you accept the default in the “Select how users should be identified with Azure AD.” section. When you’re done, click Next.
I am accepting the defaults in both sections.
12. Azure AD Connect が初期同期を実行する方法を設定します
テスト同期を実行するか、すべてのユーザー と デバイス を同期するかを決定します。Azure AD Connect のデプロイをパイロットする場合は、テストするユーザーと デバイス をグループに追加する AD セキュリティ グループを作成します。
次に、“ユーザーとデバイスのフィルタリング” ページで、“選択したものを同期” オプションを選択し、AD グループ の名前を入力して解決を選択します。最後に、次へをクリックして進みます。
代替で、以前のステップ10で選択したコンテナ内のすべてのアイテムを同期する準備ができている場合は、デフォルトオプションである「すべてのユーザーとデバイスを同期」を受け入れ、次へをクリックして続行してください。このデモでは、このオプションを選択しました。
最後のページでは、追加機能をチェックして追加することができます。各機能について詳しく読むには、ヘルプ(?)アイコンをクリックしてください。終了したら、次へをクリックしてください。
次に、最終ページで選択内容を確認してください。
「構成が完了したら同期プロセスを開始する」チェックボックスはデフォルトでチェックされています。本番環境にインストールする場合は、「ステージングモードを有効にする」チェックボックスもチェックすることを強くお勧めします。
このデモインストールでは、デフォルトを受け入れて「インストール」ボタンをクリックします。
14. Azure AD Connectのインストールとセットアップが完了するのを待ちます。
Azure AD Connectのインストールと選択したオプションの設定を待っている間にリラックスしてください。最初からこのガイドに従っている場合、すべてが計画通りに進み、“構成完了ページ”を受け取るはずです – 以下の2番目のスクリーンショットを参照してください。
この段階で、“Exit”ボタンをクリックしてインストールウィザードを終了します。“構成完了”ページの右下にあります。
15. インストールの確認
最後に、ステップ10で選択したコンテナ内のユーザーがオンプレミスADからAzure ADに正常に同期されたことを確認してください。デモでは、“Writers” OU内のユーザーをAzure ADに同期するように選択しました。
私の“Writers” OU内のユーザーがAzure AD Office 365テナントに正常に同期されたことを示すために、オンプレミスADとAzure ADの画像を以下に掲載しています。
このOUには2人のユーザーがいます。
Azure AD Connectのインストールと設定方法をお読みいただきありがとうございます。この記事はこれで終了となります。
Azure AD Connectのインストールとセットアップの方法の結論
オンプレミスのActive DirectoryとAzure ADテナントアカウントを持っている場合、両方を同期することは理にかなっています。そのためにAzure AD Connectが必要です。
Azure AD Connectのインストールは、いくつかの計画と時間を要しますが、環境を要件を満たすように準備すればスムーズに進行します。これがこの記事で行ったことです。
記事の手順に従えば、Azure AD Connectの計画、インストール、セットアップを成功裏に完了できたと確信しています。お読みいただきありがとうございました!
Source:
https://infrasos.com/how-to-install-and-setup-azure-ad-connect-step-by-step/