はじめに
Azure AD Connect を構成するためには、オンプレミスドメイン側の UPN と、Azure AD テナント側の UPN を合わせておく必要があります。
この UPN を合わせるためには、いくつかの方法がありますが、この記事では 代替UPNサフィックス を使って構成する方法をお伝えしています。
Azure AD Connect って何? とか、何のために実装するのか? や、代替UPNサフィックス以外の方法の説明については、以下の記事を参照ください。
Azure AD Connect の前提条件
Azure AD Connect を構成するための前提となる条件です。
以下のサイトを参考に、環境を整えてください。
同期の際のドメイン名について
Azure AD Connect を構成する際には、オンプレミス側ユーザーの UPN と Azure AD テナントの UPN が揃っている必要があります。
以下のように、ドメイン名が揃っていない場合は、対策が必要です。
| オンプレミス ドメイン名 |
Azure AD テナント名 |
|---|---|
| avd.server-on.net | 既定のドメイン xxx.onmicrosoft.com カスタムドメイン carol226.com |
以下の ① または ② のように 代替UPNサフィックス を構成して、テナント側のドメイン名を揃える事で Azure AD Connect で同期をすることが可能になります。
| オンプレミス 代替UPNサフィックス |
Azure AD ドメイン名 |
|
|---|---|---|
| ①カスタムドメイン名 に合わせる | carol226.com | カスタムドメイン carol226.com |
| ②既定のドメイン名 に合わせる | xxx.onmicrosoft.com | 既定のドメイン xxx.onmicrosoft.com |
後述する手順や画面キャプチャで使われているドメイン名は、「①カスタムドメインに合わせる」の構成を前提としています。
皆さんの環境のドメイン名に置き換えながら 参照ください。
手順について
- 代替UPNサフィックスの構成
- ユーザーの UPN を 代替UPN に変更する
- Azure AD Connect のインストール
1. 代替UPNサフィックスの構成
この手順は、オンプレミスのドメインコントローラーで操作します。
- 「Active Directory ドメインと信頼関係」のツールを開き、左ペインから「Active Directory ドメインと信頼関係」を右クリックし「プロパティ」を選択する
- 以下の画面で「代わりのUPNサフィックス」欄に Azure AD テナントのドメイン名を入力し「追加」を押す
2. ユーザーの UPN を 代替UPN に変更する
この手順は、オンプレミスのドメインコントローラーで操作します。
-
「Active Directory ユーザーとコンピューター」のツールを開き、Azure AD テナントへ同期させたいユーザーのプロパティを開く
-
「アカウント」タブを選び、ユーザーログオン名 の右側の選択肢(UPNサフィックス欄)から、先ほど設定した「代わりのUPNサフィックス」を選択
Azure AD テナントと同一の UPNサフィックス を選択したユーザーが 同期されるようになります。
上記のように 1ユーザーずつ 手動操作で UPNサフィックスを変更しても良いのですが、ユーザー数が多い場合は、以下の情報も参考にしてください。
(参考)ドメイン内のすべてのユーザーの UPN を一括で変更する方法
https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/prepare-a-non-routable-domain-for-directory-synchronization?wt.mc_id=mvp_407731#use-powershell-to-change-the-upn-suffix-for-all-of-your-users
3. Azure AD Connect のインストール
この手順は、オンプレミスのドメインに参加したメンバーサーバーで操作します。
※検証時などは、ドメインコントローラーへダウンロード&インストールしても動作します。
-
ブラウザを起動し、Azure Portal を開きます。
インストール前は、赤下線のように「未インストール」になっています。
赤枠の「Azure AD Connect のダウンロード」をクリックします。
-
以下の画面(サイトは英語ですが ブラウザ翻訳しています)で「ダウンロード」を押します。
-
以下のように AzureADConnect.msi ファイルがダウンロードされるため、ダブルクリックで起動します。
-
インストーラーが起動すると、以下の画面で処理が進みます。
-
以下の画面が表示されたら 同意欄に チェックを入れて「続行」します。
-
以下の画面では、「カスタマイズ」を押します。
-
以下の画面では、「インストール」を押します。
-
以下の画面で処理が進みます。
-
赤枠の「パスワードハッシュ同期」を選択して「次へ」を押します。
緑枠の"シングルサインオンを有効にする" の機能については、こちらのリンク先の記事 で説明しています合わせて確認してみてください。
-
Azure AD テナントの グローバル管理者 のアカウントで認証し「次へ」を押します。
-
以下のような認証ウィンドウが開くので認証します。
アカウントが多要素認証になっていても問題なく動作します。
-
「ディレクトリの追加」ボタンを押します。
-
以下の画面では「新しい AD アカウントを作成」を選択しますが「エンタープライズ管理者ユーザー名」には、既存のドメイン環境の エンタープライズ管理者のアカウントを入力します。
「既存」を選びたくなるところですが、ここでは「新規」を選択することがポイントです。
-
ドメインへの認証が正常に行われると 以下の画面になるため「次へ」を押します。
-
以下の画面の 緑枠 のように、事前に ユーザーに割り当てたドメイン名 "carol226.com" が "確認済み" として表示されれば OK です。
元のドメイン名である "avd.server-on.net" は、"追加されていません" と表示されていても問題ありません。
赤枠のチェック欄にチェックを入れて「次へ」を押します。
-
以下の画面では 選択した一部の OU のみを Azure AD へ同期させたい場合に利用します。
すべての OU を同期する場合は、赤枠 を選択して、「次へ」を押します。
-
以下の画面では、特に設定値を変更せず「次へ」を押します。
-
以下の画面では、特に設定値を変更せず「次へ」を押します。
-
以下の画面では 特に設定値を変更せず「次へ」を押します。
なお、赤枠「パスワードの書き戻し」にチェックを入れておくことをお勧めします。こうしておくと ユーザーが Azure AD 側でパスワードを変更した場合に オンプレミスへ逆同期させることができます。
この仕組みを パスワードライトバック と言います。
-
以下の画面では、特に設定値を変更せず「次へ」を押します。
-
Azure AD Connect の構成が完了すると、以下の画面になるため「終了」を押します。
-
インストールしたサーバーのアプリケーションを確認すると、以下の表示になっています。
動作確認
Azure AD Connect のステータス
下図の通り「同期状態」が「有効」に変更されています。
ユーザーの一覧
以下のようになります。
- 橙色 = オンプレミスから同期されたユーザー
- 水色 = Azure AD テナントで発行されたユーザー
Azure AD Connect をアンインストールするには?
アンインストールの方法は、ハマりどころがあります。
以下の記事に纏めました。
参考
この記事で紹介する手順は、以下の公開情報で説明されている内容をもとにしています。