Microsoft Entra Connect (旧Azure AD Connect)は、オンプレミスのActive Directory(AD)のオブジェクト情報をMicrosoft Entra ID(旧Azure Active Directory(Azure AD))に同期させるツールです。
オンプレミスのActive DirectoryのID情報をMicrosoft Entra IDに複製することで、ハイブリッドIDを構成します。
ハイブリッドIDを用いることで、オンプレミス側に登録されているユーザ情報で、クラウドサービスへアクセスすることができます。
この記事では、下記の構成における、Microsoft Entra Connect のインストール方法、設定手順について、まとめます。
オンプレミスのActive Directory(AD DS)ドメイン「hirotanoblog.local」とクラウドのMicrosoft Entra ID(旧Azure AD)のカスタムドメイン「hirotanoblog.work」間でのID情報を同期します。
オンプレミスのAD DSからID情報がMicrosoft Entra Connectを介してクラウドに同期され、これによりユーザーは同じ資格情報でオンプレミスのリソースとクラウドサービスの両方にアクセスできるようになります。
ハイブリッドIDについては、下記の記事を参考にしてください。
>> 参考記事 :ユーザーの種類(ネイティブ、ハイブリッド、ゲスト)の概要
オンプレミスのActive Directoryのインストール手順は、下記の記事を参考にしてください。
>> 参考記事 :Active Directoryのインストール手順
また、この構成では、Entra IDに組織のカスタムドメインを登録します。登録手順は、下記の記事を参考にしてください。
>> 参考記事 :カスタムドメイン名を追加する
UPN(userPrincipalName)とドメイン名
組織によっては、インターネット上では使用できないローカルのドメイン名をActiveDirectoryドメインで使用している場合があります。
今回は、オンプレミス上のインターネットで使用できないドメイン名(hirotanoblog.local)とのMicrosoft Entra IDのカスタムドメイン名(hirotanoblog.work)を同期します。
この場合、オンプレミスAD内のユーザーに対してユーザープリンシパル名(UPN)サフィックスをMicrosoft Entra IDのカスタムドメイン名に合わせて変更する必要があります。
代わりのUPNサフィックス
同期元の ドメインコントローラの「サーバーマネージャー」より「ツール」>> 「Active Directory ドメインと信頼関係」をクリックします。
画面左の「Active Directory ドメインと信頼関係」を右クリックし、「プロバティ」をクリックします。
「代わりのUPNサフィックス」にMicrosoft Entra IDのカスタムドメイン名(hirotanoblog.work)を入力して「追加」をクリックします。
「OK」をクリックします。
ユーザーログオン名の変更
ユーザーのログオン名で、上で追加したUPNサフィックスのドメイン名を変更します。
「サーバーマネージャー」 の「ツール」より 「Active Directoryユーザーとコンピューター」を開きます。
同期対象ユーザーのプロパティにて、「アカウント」タブを開きます。「ユーザログオン名」のドメイン部分のプルダウンから、追加した「@hirotanoblog.work」に変更して、「OK」をクリックします。
Microsoft Entra Connect のセットアップと初期設定
Microsoft Entra Connect をインストールするWindows Serverは、オンプレミスのActive Directoryにドメイン参加している必要があります。
インストーラーのダウンロード
Microsoft Entra Connect(旧Azure AD Connect)のインストーラーを「Microsoft Entra 管理センター」(https://entra.microsoft.com)よりダウンロードします。
グローバル管理者でログイン後、「ID」 >> 「ハイブリッド管理」>> 「Microsoft Entra Connect」 をクリックし、 「Connect 同期」から、「Microsoft Entra Connectのダウンロード」をクリックします。
「Download」をクリックします。
インストール手順
ダウンロードしたインストーラ(AzureADConnect.msi)をダブルクリックし、実行します。
「Azure AD Connect へようこそ」という画面が表示されます。「ライセンス条項およびプライバシーに関する声明に同意します。」にチェックを入れ、「続行」をクリックします。
「簡単設定」で「カスタマイズ」をクリックします。
「必須コンポーネントのインストール」は何もチェックを入れず、「インストール」をクリックします。
「サインイン方式」で「パスワードハッシュ同期」を選択し、「シングルサインオンを有効にする」にチェックを入れます。「次へ」をクリックします。
Entra ID に接続します。グローバル管理者のユーザーIDとパスワードを入力し、「次へ」をクリックします。
サインイン画面が表示されます。ID、パスワード、二要素認証などの資格情報を入力し、サインインします。
オンプレミスのActive Directoryに接続します。「ディレクトリの追加」をクリックします。
オンプレミスのActive Directoryの管理者資格情報を入力し、「OK」をクリックします。
「構成済みのディレクトリ」にドメインが追加されたことを確認し、「次へ」をクリックします。
オンプレミスでは、インターネットで使用できないドメイン名(hirotanoblog.local)を使用しているため、「一部の UPNサフィックスが確認済みドメインに一致していなくても続行する」にチェックを入れ、「次へ」をクリックします。
「ドメインとOUのフィルタリング」では、「すべてのドメインとOUの同期」が選択されていることを確認し、「次へ」をクリックします。
「一意のユーザー識別」は、デフォルトのまま、「次へ」をクリックします。
「ユーザーおよびデバイスのフィルタリング」では、「すべてのユーザーとデバイスの同期」が選択されていることを確認し、「次へ」をクリックします。
「オプション機能」は何もチェックを追加せず、「次へ」をクリックします。
「シングルサインオンを有効にする」で、「資格情報の入力」をクリックします。
オンプレミスのActive Directoryの管理者資格情報を入力し、「OK」をクリックします。
「資格情報の入力」のマークが緑に変更されたことを確認し、「次へ」をクリックします。
設定内容を確認し、「インストール」をクリックします。
インストールが実行されます。しばらくすると、下記画面が出力されます。「終了」をクリックします。
同期の確認
「Microsoft Entra 管理センター」より、「ID」 >> 「ハイブリッド管理」>> 「Microsoft Entra Connect」 をクリックし、 「Connect 同期」へ移動します。
「Microsoft Entra Connect同期」の「同期状態」が「有効」に変更されています。
Entra ID上のユーザーを確認すると、オンプレミスAD上のユーザー「hirotano」が同期されていることが確認できます。
コメント