多くの方々が、ハイブリッドアイデンティティの管理やユーザーの同期にAzure Active Directory Connectを使用しています。これは、Active DirectoryからAzure Active Directory(最近Microsoft Entra IDに改名)への同期を行うものです。この現代のテクノロジーはAzure AD Connect cloud syncと呼ばれています。この記事では、Azure AD Connect cloud syncのインストールと基本的な構成について説明し、Active Directory/Azure ADインフラストラクチャへの導入方法を説明します。
Azure Active Directory Connect cloud syncとは何ですか?
多くのITプロは、Azure AD Connectに精通しています – オンプレミスのActive DirectoryからAzure Active Directoryにアイデンティティを同期し、シームレスなシングルサインオンを提供するために使用する同期ソフトウェアです。次の進化はすべてをクラウドに持ってくることです。
そのため、Microsoftは、オンプレミス環境のドメインに参加したサーバーにインストールされたソフトウェアアプリケーションからシンプルなプロビジョニングエージェントに移行しました。すべての「重労働」は今やAzureで行われるため、オンプレミスにデータベースが必要なくなりました – すべてがクラウドで行われます。
軽量エージェントが最近のトレンドです。最近合併や買収を経験したり、計画している場合には、これは大きな利点です。
Azure AD Connectクラウド同期は、ユーザー、連絡先、グループ、デバイスなどをAzure ADに同期することで、ハイブリッドアイデンティティの目標を達成するために設計されています。重要な注意点 – Azure AD Connectをクラウド同期プロビジョニングエージェントと並行して使用できます!
Azure AD Connect SyncとAzure AD Connect Cloud Syncの違いは何ですか?
素晴らしい質問です!こちらはMicrosoftからの比較表です。
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
現在、新しいAzure AD Connect Cloud Sync機能ではサポートされていない主要で一般的なシナリオが1つあります。それはExchange Hybridです。以下はMicrosoftのドキュメントからの現在の回答です:
Exchange Hybrid Deployment機能は、オンプレミスとMicrosoft 365の両方にExchangeメールボックスが共存できるようにします。Azure AD Connectは、Azure ADから特定の属性をオンプレミスディレクトリに同期しています。クラウドプロビジョニングエージェントは現在、これらの属性をオンプレミスディレクトリに同期していないため、Azure AD Connectの代替としてサポートされていません。
Azure Active Directory Connect Cloud Syncのインストールの前提条件
インストールを開始する前に注意すべきいくつかの前提条件がMicrosoftによって言及されています。こちらでそれらを確認しましょう。
- Azure ポータルで:
- クラウド専用のグローバル管理者アカウントへのアクセス権が必要です。
- Active Directory の UPN ドメイン名と一致する Azure にカスタムドメイン名が必要です。Azure AD Connect から移行している場合はすでに設定されているはずですが、確認する価値があります。
- オンプレミス環境では
- Windows Server 2016 以降が実行されているドメイン参加済みのマシンが必要です。少なくとも 4 GB の RAM と .NET Framework 4.7.1 以上が必要です。サーバーは単に、オンプレミスの AD フォレスト内の少なくとも 1 つのドメインコントローラーにネットワークアクセスできる必要があります。
- エッジファイアウォールは、ここから Azure AD への出口ポート 80 および 443 を許可する必要があります。
もう1つの(オプションの)ステップは、まずAzure AD Connectをアンインストールすることです。これは必須ではありませんが、この記事の目的のために、次に簡単な手順を説明します。
あ、そしてこのセットアップで高可用性を利用するのは非常に簡単です。単にプロビジョニングエージェントをネットワーク内の複数のサーバーにインストールするだけです。以下に手順が示されています。
Azure AD Connectのアンインストール(オプション)
- Azure AD Connectサーバーにログインし、コントロールパネルを開きます。
- 「プログラムのアンインストール」メニューを開きます。
- Microsoft Azure AD Connectエントリをクリックし、アンインストールツールバーボタンをクリックします。
ここでの提案は、すべてを削除するためにチェックボックスがチェックされていることを確認することです。私は常に、できるだけクリーンにソフトウェアをアンインストールするようにしています。残り物を残さないように心がけています。
- 「削除」をクリックし、完了するのを待ちます。
これで、すべてが削除されました。これで、新しいインストール手順に移ることができます。
AD / AAD インフラストラクチャに Azure AD Connect クラウド同期を実装する方法
述べたように、環境に既存の Azure AD Connect インストールがあるかどうかにかかわらず、Azure AD Connect クラウド同期エージェントをインストールできます。この場合、既存の Azure AD Connect ソフトウェアを削除したばかりなので、クリーンな状態です。さあ、始めましょう!
インストール
Windows Server 2022 ドメイン参加サーバー、WS22-FS02で開始します。
- まず、Azure ポータルにログインし、Azure Active Directory(Azure AD)サイトにアクセスします。
- 左側のナビゲーションメニューで下にスクロールし、Azure AD Connectをクリックします。その後、再び左側のクラウド同期をクリックします。
- クリーンなスレートを持っていることは驚くことではありません。左側のエージェントメニューをクリックし、オンプレミス エージェントのダウンロードをクリックします。
- エージェントをダウンロードしたら、MSI ファイルをダブルクリックしてインストールを開始します。
- チェックボックスをチェックしてインストールをクリックしてください!
次に、構成に移ります。
Active Directory構成
初期エージェントのインストール後、Microsoft Azure Active Directory Connect Provisioning Agent Configurationウィザードが開始されます。5回早口で言ってみてください。うわー、Microsoft。製品名でいつもホームランを打ってますね!
- ウェルカム画面で、次へをクリックします。
- ‘拡張機能の選択‘画面で、HR主導のプロビジョニング(WorkdayおよびSuccessFactors)/Azure AD Connect Cloud Syncを選択します。これが最もありそうなシナリオです。オンプレミスのアプリケーションをAzureにプロビジョニングする予定である場合にのみ、2番目のオプションを選択します。
- 次へをクリックします。
- 次に、Azure ADに接続画面が表示され、Azure ADのグローバル管理者の資格情報が求められます。それらを入力し、MFAの準備をしてください!
- 次は、サービスアカウントの構成画面です。ここでは、デフォルトのgMSAを作成を受け入れます。なぜなら、ADからAzure ADへの同期を管理するためのgMSAアカウントを作成するように依頼しているからです。ドメイン管理者権限を持つアカウントを入力して、次へをクリックしてください。
- 続いて、‘Active Directoryに接続‘画面に移ります。はい、その通りです。これはAzure AD Connectをインストールするためのインストールウィザードにかなり似ています。
- とにかく、正しいActive Directoryドメインが設定されていることを確認してください。エラーがある場合は、資格情報を誤入力した可能性があります。必要に応じて修正して、次へをクリックしてください。
- 最終確認画面に移動しました。すべてが正しく見えることを確認し、確認ボタンをクリックしてください。
Azure ADの構成
今度はAzure Active Directoryに移動します。Azure ADクラウド同期を管理するには、再度Azure Portalにアクセスしてください。
- Azure AD Connectをクリックし、クラウド同期をクリックしてください。
- 上部にある「新しい構成」ボタンをクリックして、クラウドでの構成プロセスを開始してください。
- ここに新しいクラウド同期構成があります。デフォルト設定は、1つのADドメインのみを同期している場合には問題ありません – 私の場合は ‘reinders.local’ です。自動パスワード管理を許可するために ‘パスワードハッシュ同期を有効にする’ をチェックしたままにしておきます。
- 下部の作成をクリックしてください。
さて、確認してください!完了しました。私はクラウドベースの構成をほとんどいつも好みます。従来の ‘厚い’ クライアントソフトウェアよりもクリーンです。さらに、UIを改善したり機能を追加したりすることがはるかに速くできます。そして、クラウドベースなので、ソフトウェアのアップグレードやサーバーのダウンタイムなどを心配する必要はありません。うまく機能します。クラウドは、100%の時間、正しいですか?
テスト – 検証
行って、単純に構成を有効にしましょう。スコープフィルタ、属性マッピングなどは後で少し触れます。
- 上部にあるレビューして構成を有効にするボタンをクリックし、構成を有効にするをクリックします。
- それが完了したら、ブラウザを約2分間待ってから更新し、上部の概要タブをクリックします。
- まず最初に、通知メールアドレスを入力する必要があります。プロパティタブをクリックし、基本の隣にある鉛筆(編集)アイコンをクリックします。
- アラートを受信する管理者メールアドレスを入力します。下部の適用をクリックします。
さて、検証と高度なカスタマイズに関しては、Azure ADポータルのユーザービューに戻り、すべてのユーザーを表示します。ユーザー数が31から32に増えたことに気付きました。したがって、何かが起こったことを知っています。そして、本当に注意を払っているなら、Azure AD Connectを構成するときに特定のOUのユーザーをフィルタリングしたことを覚えているかもしれません。したがって、まだフィルタリングを行っていないため、新しいユーザーが同期されました – John Reinders。
同期設定を維持および調整するために使用する3つの主要な構成画面について説明します。最初はスコープフィルタです。
デフォルトでは、Active Directory のすべてのユーザーを同期します。セキュリティグループを選択して同期するか、組織単位(OU)を選択して同期するかを選択できます。はい、これはクラウドソフトウェアが、現時点ではオンプレミスソフトウェアよりも設定可能性が低い一例です。しかし、これは常に変化しています。最終的には、Azure AD Connect クラウド同期にすべての機能とオプションが組み込まれるでしょう。
次に、属性マッピングを見てみましょう。ここでは、Active Directory から Azure AD に同期される属性のデフォルトリストを編集し、さらに「+ 属性マッピングを追加」をクリックして追加のアイテムを追加することができます。
安心してください、ここにはたくさんのオプションがあります。私が言ったように、Microsoft はこの機能にさらに多くの機能を追加し続けています。ですので、これらの画面の一部が変更されたり、追加/削除されたりするのを見逃さないでください。これがクラウドです!
最後に、式ビルダーを見てみましょう。ここでは、特定の属性がどのように同期され、Azure AD で最適な単一オブジェクトを生成するために、1 つの Active Directory ドメインからの特定のユーザー属性と他の属性を一致させるための式をどのように使用するかについて、本当にカスタマイズを追加できます。ここにはたくさんの機能があり、Azure AD Connect ソフトウェアの同期ルールなどのカスタム機能を使用したことがある場合は、一般的なセットアップに慣れているでしょう。
結論
さて、これはたくさんの情報です。そして、Azure AD Connect クラウド同期の最大の欠点を指摘したいと思います – Azure AD Connect よりも機能が少なく、シナリオをサポートできることが少ないです。
これは通常の動作であり、設計上のものです。Azure AD Connectは何年も前から存在しており、Azure AD Connectクラウド同期は約1年前にリリースされました。そのため、古いソフトウェアにはより多くの機能があります。
私のアドバイス:Azure AD Connectクラウド同期でサポートされるシナリオが環境と一致するとすぐに、それに移行する手順を踏んでください。私の「日中の仕事」でAzure AD Connectをかなりの年数使用してきましたが、クラウド機能は非常に素晴らしく、管理や監視がはるかに簡単になりました。
コメントや質問がありましたら、お気軽に以下にコメントまたは質問を残してください。お読みいただき、ありがとうございました!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/