ADManager PlusはオンプレミスのActive Directoryを管理するためのツールというイメージが強いですが、ADManager Plusが連携できる相手はActive Directoryだけでなく、Azure ADやG Suiteなど様々なID管理システムとも連携できるようになっています。そこで今回はOffice 365 (Azure AD) と連携する方法について見てみたいと思います。
Active DirectoryとAzure ADの並行運用
Active DirectoryとAzure ADを並行運用する場合、マイクロソフト標準のツールであるAzure AD Connectを利用するパターンというのが最初に思い浮かぶと思います。その場合、下図の左側のようにActive DirectoryをマスタデータベースとしてAzure ADにアカウント情報を同期するという運用になります。それに対して、ADManager Plusを利用する方法では人事情報をベースにADManager Plus経由でアカウント作成を行うと、Active DirectoryとAzure ADの両方にその結果が反映されます。つまり、Active DirectoryとAzure ADには主従関係はなく、大元の人事情報がマスタデータベースとなるわけです。
両者はどちらも同じように見えますが、マスタデータベースをActive Directoryにした場合、人事DBとの連携を考えて作られたシステムではないため、連携を行うのであれば人事DBとActive Directoryの間をつなぐ「それなり」の作りこみをしなければなりません。それに対してADManager Plusの場合は、人事DB--->CSVファイル--->ADManager Plusのような接続方法はもちろんのこと、
■SQL Server--->ADManager Plus
■Oracle--->ADManager Plus
■Workday--->ADManager Plus
■Zoho People--->ADManager Plus
の連携ができるので、人事DBを起点としたアカウント管理が行いやすいというメリットがあります。
人事DBとの連携部分をシームレスに行いたいからADManager Plusを使う、という言い方もできるでしょう。
Azure ADとの連携設定
ADManager PlusとAzure ADを連携するときはADManager Plusのコンソールから、[管理]タブの[Office 365]をクリックし、連携対象となるAzure ADディレクトリのユーザー管理者以上の権限(ロール)を持つユーザーの名前とパスワードを入力します。そして、連携するActive Directoryドメインを選択し、[保存]をクリックします。
また、ADManager PlusからAzure ADへのアクセスにはAzure AD PowerShellモジュールのVersion 1を利用するので、ADManager Plusのコンソールをインストールしたコンピューター上で次のPowerShellコマンドレットを実行してインストールしておきましょう。
Install-Module MSOnline -Force
Set-ExecutionPolicy RemoteSigned
ADManagerPlusからAzure ADユーザーの作成
ADManagerPlusからAzure ADユーザーを作るときは、ADManager Plusファーストルック&レビュー~シングルユーザーの作成・管理でも紹介した要領でユーザーの作成画面で必要な属性情報を入力し、最後に画面左上の[Office 365]にチェックをつけるだけ。これで、Active DirectoryとAzure ADの両方同時にユーザーが作られます。
Azure AD独自の属性として、Office 365やEMSなどのライセンス割り当てがありますが、[Office 365]タブから設定ができます。
また、ライセンス割り当てを行う場合は、国の属性が設定されている必要があるので、国の属性も[連絡先]タブから設定しておきましょう。
Azure ADに作られたユーザーはご覧のとおり。
Azure AD Connectによって同期されたユーザーではないので、Azure ADに直接作られたユーザーの扱いになっていることがわかります。Azure AD Connectで同期されたユーザーの場合、ms-DS-ConsistencyGUID属性が設定され、そのことが色々なトラブルのもとになったりしますが、Azure ADに直接作られるユーザーであれば、その心配はなくなります。一方、Azure ADに直接作られたユーザーだとAzure ADから直接、設定変更ができてしまうため、結果的に管理がバラバラになってしまう可能性があることにも注意してください。
特にパスワードポリシーはActive DirectoryとAzure ADで異なるので、ユーザー作成時は同じパスワードでも、時間が経つとどちらか片方だけパスワード変更してしまい、異なるパスワードになってしまう可能性があります。そのため、ADManager PlusからActive DirectoryとAzure AD同時にユーザーを作るときは無期限パスワードにしてユーザーを作成したほうが良いと思います。