はじめに
Azure AD Connect はオンプレミス AD 上のユーザー、コンピューターなどのオブジェクトを Azure AD に同期することで、オンプレミス AD 上のユーザー情報を利用して Azure AD 上のアプリケーションを利用可能にする無料の同期ツールです。
Azure AD Connect をインストールすると同梱される Synchronization Service Manager はオンプレミス AD と Azure AD 間の同期ステータスを確認できる非常に便利なツールです。
もちろん同期されたかどうかを確認するためにも利用できますが、例えば会社や部署の統廃合により、オンプレミス AD 上の一部ユーザーを同期対象から除外し、Azure AD 上から削除 (soft delete) させた時の状態を確認したい場合があると思います。
具体的には同期ルールにて「cloudFiltered = true」と設定することで、特定のユーザー属性に合致(例えば extensionAttribute に 「nosync」と設定されているユーザーは同期しない) した場合に同期対象から除外し、Azure AD からユーザーを削除することができます。
今回は、「cloudFiltered = true」と設定されている環境において、削除前、つまり、削除される予定のユーザーの確認方法と、削除された後のユーザーを確認する方法を「Synchronization Service Manager」を利用して確認してみたいと思います。
もちろん Azure ポータルのユーザー一覧で確認すれば、非同期対象のユーザーは削除されていることが確認可能です。
今回は Azure ポータルと Azure AD Connect サーバーが管理者が別の場合を想定して、Azure AD Connect サーバー上で確認する方法を検証したので、そちらの方法をご紹介します。
やってみる
以下の順番で動作検証してみます。
- オンプレミス AD 上にテスト ユーザー (test004) を作成する。
- Synchronization Service Manager より対象のユーザーが Export 処理されたことを確認する。
- テスト ユーザーに拡張属性を付与して、非同期対象にする
- Synchronization Service Manager より次回同期処理後に削除対象であることを確認する
- Synchronization Service Manager より対象のユーザーが Azure AD 上に存在しないことを確認する
1. オンプレミス AD 上にテスト ユーザー (test004) を作成する。
1-1. Active Directory 管理ツール「Active Directory ユーザーとコンピューター」を起動し、新しいユーザーを作成します。
1-2. 新しいオブジェクトの画面で任意のユーザー名を入力し、「次へ」をクリックします。
1-3. パスワードを指定し、「次へ」をクリックします。
1-4. 確認画面で「完了」をクリックします。
2. Synchronization Service Manager より対象のユーザーが Export 処理されたことを確認する。
テスト ユーザーを作成したので、手動で同期処理を行い、テスト ユーザーを Azure AD に同期させます。
2-1. Azure AD Connect サーバーより、 「スタート」→「Azure AD Connect」→「Synchronization Service」の順にクリックします。
2-2. 画面上部の「Connectors」をクリックします。
2-3. オンプレミス AD のドメイン名が表示された Connector 名を右クリックにて、「Run」をクリックします。
2-4. Run Connctor より「Delta Import」を選択し、「OK」をクリックします。
2.5 画面ショットの左下の「Adds」のリンクをクリックすると、テスト ユーザー (test004) が Azure AD Connect の CS (コネクター スペース) にインポートされたことが確認できます。
この状態がどういう状態かというと、下記画面ショットの赤枠で囲まれた状態です。
つまり、オンプレミス AD 側のコネクター スペース (CS) にテスト ユーザーのオブジェクトが Import された状態です。
-参考情報
同期プロセス
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/tshoot-connect-object-not-syncing#synchronization-process
同期プロセスでは、次のステップが実行されます。
1. AD からインポートする: Active Directory オブジェクトが Active Directory CS に取り込まれます。
2.Azure AD からインポートする: Azure AD オブジェクトが Azure AD CS に取り込まれます。
3.同期: 受信同期規則と送信同期規則は、優先順位の番号の低い方から順に実行されます。 同期規則は、デスクトップ アプリケーションから同期規則エディターにアクセスして表示することができます。 受信同期規則は、CS から MV にデータを取り込みます。 送信同期規則は、MV から CS にデータを移動します。
4.AD にエクスポートする: 同期の後、オブジェクトは Active Directory CS から Active Directory にエクスポートされます。
5.Azure AD にエクスポートする: 同期の後、オブジェクトは Azure AD CS から Azure AD にエクスポートされます。
コネクター スペース (CS) に Import された後は、メタバース (MV) というデータベースに対して Sync 処理が行われ、メタバースから Azure AD 側のコネクター スペース (CS) に対して同期処理が行われた後に、Azure AD 側のコネクター スペースから Azure AD に対して Export される、という処理の流れになります。
2-6. 手動でメタバースに対して、同期処理を走らせるためには、Run Connector より「Delta Synchronization」を選択し、「OK」をクリックします。
2-7. 同期されたかどうかを確認するためには、画面右上の「Metaverse Search」のアイコンをクリックします。
2-8. Metaverse Search の画面にて、Scope by Object Type が「person」を選択し、画面右の「Search」をクリックします。
2-9. 検索した結果として作成したテスト ユーザー (test004) がメタバースの中に格納されていることが確認できます。
この状態を下記画面ショットで確認すると、下記赤枠で囲まれた状態です。つまり、In Sync Rule によりテスト ユーザーのオブジェクトがメタバース (MV) に同期され、Out Sync Rule により Azure AD 側のコネクター スペース (CS) に同期された状態です。
この後の処理としては、Azure AD 側に Export 処理が行われます。
2-10. 手動で Export 処理を行うためには、Azure AD 側のコネクターを選択し、右クリックより「Run」をクリックします。
2-11. Azure AD 側のコネクターが選択されていることを確認し、「Export」を選択後、「OK」をクリックします。
この状態を下記画面ショットで確認すると、下記赤枠で囲まれた状態です。Azure AD 側のコネクター スペース (CS) から Export 処理が行われ、Azure AD に対してテスト ユーザー (test004) が同期された状態です。
2-12. Azure AD に対して Export された状態を確認するためには、Azure AD 側のコネクターを選択し、「Search Connector Space」をクリックします。
2-13. Scope を「Exported Since」を選択し、Since の時間を手動で Export 処理をした前の時間を指定し「Search」をクリックします。
2-14. 指定した時間以降に Export されたオブジェクトが表示されます。
上記情報だけでは、test004 ユーザーかどうか判別が難しいと思います。
その場合は、画面右上の「Column Settings」をクリックしてみてください。
2-15. Attribute の中から「displayName」を選択し、画面中央の「Add」をクリックします。
2-16.「OK」をクリックします。
2-17. カラムに「diplayName」が追加された対象のオブジェクトが「test004」であることを確認できました。
3. テスト ユーザーに拡張属性を付与して、非同期対象にする
非同期対象にするための前段として同期対象外のフィルター設定を「Synchronization Rules Editor」で行います。
今回はルールの作成手順の詳細は割愛します。
Microsoft の公開情報に詳細な作成方法が記載されているので参考にしてみてください。
-参考情報
否定のフィルター処理 (同期対象外の指定)
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sync-configure-filtering#negative-filtering-do-not-sync-these
今回の検証では、上記の公開情報と同様に、オンプレミス AD 上のユーザーの属性として、extensionAttribute15 ** が **nosync であるユーザーを同期対象外にする設定を行いました。
Synchronization Rules Editor の 「Scoping filter」を見ると下記のような感じで設定がされています。
4. Synchronization Service Manager より次回同期処理後に削除対象であることを確認する
オンプレミス AD の「extensionAttribute15」に「nosync」を設定したユーザーが Azure AD 上から soft delete 対象になっていることを確認してみます。
4-1. オンプレミス AD 上のユーザーとコンピューターからテスト ユーザー (test004) を選択し、「属性エディター」から 「extentionAttribut15」を選択後、「編集」をクリックします。
4-2.値に「nosync」と入力し「OK」をクリックします。
Azure AD Connect 上の コネクター スペースにまで、オンプレミス AD の属性が変更されたことを同期させる必要があるので、Azure AD Connct の Run Connector から Delta Import → Delta Synchronization の順に手動実行します。
4-3. オンプレミス AD 側のコネクターから Run Connector を起動し、「Delta Import」 を選択して、「OK」をクリックします。
4-4. Update が成功したことを確認します。
4-5. 続いて Run Connector より「Delta Synchronization」を選択し、「OK」をクリックします。
4-6. 「Metaverse Search」から Scope by Object Type が「person」である状態で「Search」をクリックし、出力されたテスト ユーザーの「Properties」をクリックすることで、下記画面ショットのとおり、extentionAttribute15 に nosync が反映された状態でメタバース (MV) に格納されていることが確認できます。
この後の動作としては、 Azure AD のコネクター スペース (CS) から Export 処理が行われ、Azure AD 上のユーザーが soft delete される流れですが、実際に対象のテスト ユーザー (test004) が削除対象であるかどうかを、「Synchronization Service Manager」で確認できます。
4-7. Azure AD 側のコネクターを選択し、 Search Connector Space の画面から、Scope の項目で「Pending Export」を選択し、右側の Operation の項目で「Delete」を選択し、「Search」をクリックします。
4-8. delete 対象のユーザーが出力されます。
4-9. 画面右の「Column Settings」をクリック後に、「displayName」選択し、「Add」をクリックし、「OK」をクリックします。
4-10. delete 対象のユーザーがテスト ユーザー (test004) であることが確認できました。
5. Synchronization Service Manager より対象のユーザーが Azure AD 上に存在しないことを確認する
30分に一度の同期処理もしくは手動で差分同期を走らせることで、対象のテスト ユーザー (test004) は Azure AD から削除されます。
実際に Azure AD から削除されたかどうかは、最初に触れましたとおり、 Azure ポータルのユーザー一覧から確認するのが一番シンプルで確実な確認方法かと思います。
しかし、Azure ポータルの管理者と Azure AD Connct の管理者が別の場合、Azure ポータル側で確認できない場合があるかもしれません。
その場合を考慮して、Azure AD Connect の 「Synchronization Service Manager」から対象のテスト ユーザー (test004) が削除されたかどうかを確認してみます。
まず、確認できる方法の 1 つとしては、手動で Export 処理を行った場合は、下記画面ショットのように、Export 処理として、「Deletes」の項目に削除されたオブジェクトの数を確認できます。
削除されたオブジェクト識別名を確認できます。
2 つめの確認方法としては、「Synchronization Service Manager」の「Operations」タブから delete されたログを確認できます。
Azure AD のコネクターから Export されたログを選択すると、「Delete」されたオブジェクトの数が表示されていることを確認できます。
リンクをクリックすると、対象のテスト ユーザーの識別名が削除されていることが確認できます。
上記 2 つの確認方法は、手動で実行した場合は確認を明確に行えますが、自動同期処理を走らせていて、いつユーザーが削除されたかを「Synchronization Service Manager」の「Operations」タブからログを追うことは大変だと思います。
3 つめの確認方法としては、メタバース (MV) 上のユーザー属性に、「cloudSourceAnchor」の有無で判別する方法を紹介します。
cloudSourceAnchor は、下記 Microsoft の公開情報にもありますとおり、ユーザー オブジェクトが Azure AD に Export されると、オブジェクト情報を受け取った Azure AD が sourceAnchor を基に、 cloudSourceAnchor をメタバース (MV) 上に書き込まれます。
-参考情報
sourceAnchor の変更
URL:https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/concept-azure-ad-connect-sync-user-and-contacts#changing-sourceanchor
オブジェクトが Azure AD にエクスポートされると、sourceAnchor は変更できなくなります。 オブジェクトがエクスポートされると、Azure AD が受け取った sourceAnchor 値を使用してメタバース属性 cloudSourceAnchor が設定されます。
逆に言うと、Azure AD からユーザーが削除される処理が走ると、メタバース属性の 「cloudSourceAnchor」はメタバース上から削除される、という動作になります。
具体的に、メタバース情報を見てみます。
Azure AD に同期済みのユーザーは下記画面ショットのように、「cloudSourceAnchor」が設定されています。
見ていただくと分かるように、「cloudSourceAnchor」は「sourceAnchor」をベースに作成されるので、値は同一になります。
次に、削除済み、もしくは、Azure AD に同期前のユーザーのメタバース情報を見てみると、下記画面ショットのように「cloudSourceAnchor」は設定されていません。つまりこの状態は Azure AD 上にはユーザーが存在していない、と判断できます。
上記の違いをフィルタリングで確認する方法は、「Metaverse Search」の画面から、画面右の Actions の欄より、「Add Clause」という検索条件を追加します。
Attribute に「cloudSourceAnchor」を選択し、Operator に「Is not present (= cloudSourceAnchor が存在しない)」 を選択し、Value には何も指定せずに、「Search」をクリックします。
すると、「cloudSourceAnchor」が設定されていないユーザーの一覧が取得できます。
検証対象のテスト ユーザー (test004) を含む下記ユーザーは、「cloudSourceAnchor」が設定されていないため、Azure AD 上にはユーザーが同期されていない、と判断できます。
逆に Operator に「Is present (= cloudSourceAnchor が存在する)」 を選択すると、「cloudSourceAnchor」が設定されたユーザー一覧を取得できます。
これらのユーザーは Azure AD 側にユーザーが同期されているユーザーだと判断ができます。
おわりに
今回は、Azure AD Connect の Synchronization Service Manager を利用して非同期対象のユーザーが Azure AD 上にいないことを確認する方法を検証してみました。一連の検証作業の中で、オンプレミス AD のコネクター スペース (CS) への Import 処理、メタバース (MV) への同期処理とメタバースから Azure AD 側のコネクター スペース (CS) への同期処理、最後に Azure AD への Export 処理までの一連の流れを確認しました。
ここまで厳密に動作を理解しなくても Azure AD Connect を利用いただくことはもちろん可能ですが、実際に、同期や削除処理を行った際に、今どこまで同期が行われているのか確認する必要が出てくるケースもあるかと思います。
その際には今回ご案内したように Synchronization Service Manager を利用することで状況を細かく確認できますので、ぜひ活用してみてください。
今回の記事が少しでも参考になれば幸いです。