M365使用の一環として、オンプレADのアカウントをAzure ADへ同期する。
手順としてAzure AD Connect (AADC)をAzure VMにインストールし、オンプレミスの Active Directory (AD)から Azure ADへアカウント同期を行う。
目的として、アカウント同期の為に必要な設定項目(管理者アカウント、同期属性、ソースアンカー等)も確認したかった。
#事前準備
####以下を作成
・ADサーバー構築 / Windows Server 2016 / Azure VM
・AADCサーバー構築 / Windows Server 2016 / Azure VM
・Azureテナント作成
・Azure ADのグローバル管理者ユーザー作成
テナント管理者は@gmail.comのアカウントだった為、新たにonmicrosoft.comのアカウントを作成し、グローバル管理者権限割り当て実施。
####ドメイン参加時のDNS設定
AADCインストールとは直接関係ないが、AADCサーバーをドメイン参加する際、ドメインが見つからない旨エラーが発生。
サーバーの参照先DNS設定がデフォルトのままだった為、変更する必要があることが判明。
サーバーの参照先DNS設定は、Windows OSのネットワークと共有センターからではなく、Azureポータル画面より設定。(IP等の設定も基本ここからやる)
対象仮想マシンのネットワークインターフェイスの編集画面で、「DNSサーバー」→「カスタム」→ADのIPアドレスを入力
設定変更後、サーバー再起動を実施し、無事ドメイン参加完了。
####Windows Server日本語化
ADサーバーとAADCサーバーは、Azure VMで作成するとデフォルト英語である為、
日本語化を実施する。
(デフォルトだとタイムゾーンも世界標準のUTCなので、日本時間のJSTに変更する。)
日本語化手順は以下を参考にさせて頂いた。
https://www.ether-zone.com/azure-vm-japanese-winsvr2016/
途中、日本語パックダウンロード時、以下エラーが発生。
Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.
以下対処法を実施し解消。
ローカルセキュリティーポリシー→アカウントコントロール設定→Adminモードを有効化する手順。
https://troushoo.blog.fc2.com/blog-entry-402.html
#AADCインストール手順
いよいよAADCインストールに入る。
以下URLより、ダウンロードボタンをクリックしてAADCツール「AzureADConnect.msi」をダウンロード。
https://www.microsoft.com/en-us/download/details.aspx?id=47594
AADCサーバーのデスクトップにツールを配置し、ダブルクリックにてインストール開始。
しばらくすると、ようこそ画面が表示される。
「ライセンス条項およびプライバシーに関する声明に同意します。」にチェックを入れて「続行」。
「カスタマイズ」を選択。
今回は、どれにもチェックを入れずにそのまま「インストール」。
今回は、「パススルー認証」「シングルサインオンを有効にする」にチェックを入れて「次へ」。
次のAzure AD側の管理者アカウント指定の画面で、「予期しないエラー」が発生。。
「予期しないエラーのために資格情報を検証できません。このイシューを詳しく診断するには、InteractiveAuth オプションを使用して Azure AD Connect を再起動します。」
エラー原因は、対象のAzure ADアカウントが作りたてで一度もログインしておらず、「次回パスワード変更が必要」状態だった為。
対処としては、対象アカウントでAzureポータル画面にログインすると、パスワード変更が求められたのでパスワード変更したら、エラー解消。
上記対処に至った参考URL
https://thdy.hatenablog.jp/entry/2020/04/27/220958
「次へ」で進むと、以下画面に進む。今度はオンプレADの資格情報入力画面。ドメイン名を入力し、「ディレクトリの追加」をクリック。
「既存の AD アカウントを使用」を選択し、オンプレADの資格情報を入れ、「OK」をクリック。
次の画面で、またもエラー発生。。
「エンタープライズまたはドメイン管理者アカウントを AD フォレスト アカウントに使用することは許可されていません。Azure AD Connect でアカウントを作成するか、適切なアクセス許可を持つ同期アカウントを指定してください。」
原因:指定したアカウントは、オンプレADの Domain Admins、Administrators権限を持つアカウント。
以前はこれでもエラーなく進められたのだが、最近のアップデートで、過剰な権限を持ったアカウントはAzure AD同期用のアカウントとして指定できない仕様になったようです。
対処:オンプレADにユーザーを新規作成し、所属するグループは Domain Users のみのままで、このアカウントを指定したところエラー解消。
対処後の同画面。次へ。
Azure ADユーザー名として使用する、オンプレミスADの属性を選択。
デフォルトはuserPrincipalName(UPN)だが、UPN以外でも、多くの属性(100種類くらい)を指定可能。
属性の中にはユーザーのメールアドレスである「mail」属性もある。
ここではデフォルトの userPrincipalName のままとし、それから「一部のUPN サフィックスが確認済みドメインに一致していなくても続行する」にチェックを入れて「次へ」。
同期するオンプレAD側のOUを指定する。
今回は test OU のみ指定して、「次へ」。
ユーザーの一意性識別について、何をキーとするか指定する。
上はオンプレAD、下は Azure AD の設定。
下の Azure AD の設定は、カスタマイズで特定の属性を選択することができる。
今回はどちらもデフォルトのまま、「次へ」。
今回特にユーザー、デバイスのフィルタリングは行わないので、そのまま「次へ」。
今回はインターネット環境よりセルフパスワードリセットする機能を使いたいので、「パスワードの書き戻し」にチェックを入れた。
シングルサインオンを有効にする為に、ドメイン管理者アカウントを入力してくださいと出てくるので、「資格情報を入力する」をクリックし、オンプレADの adminアカウントのID、パスワードを入力。前の画面ではオンプレAD内のAADCの同期用のアカウントを入れたが、ここではドメイン管理者アカウントを入れなければならないことに注意。
終わったら「次へ」。
インストール直前の確認画面。「構成が完了したら、同期プロセスを開始する。」にはチェックが入っていて、このまま進めるとインストール完了後に Azure AD への同期が行われる。
問題なさそうなので、このまま「次へ」。
インストールが実行されるのでしばらく待つ。
インストール完了後、カラフルな色使いがオシャレな感じの画面が出てくる。
「AD属性 mS-DS-ConsistencyGuid をソースアンカー属性として使用する」構成らしい。
問題ないので「終了」ボタンで画面を閉じる。
画面を閉じても、特に再起動は求められず、そのまま画面が閉じて終わった。
これでインストールは無事完了したので、Azureポータルにログインし、Azure AD の画面を確認する。
Azure AD で、「ユーザー」をクリックすると以下画面となる。
オンプレにて作成した、「AADC」アカウントが同期されている!
「同期されたディレクトリ」が「はい」のものは、オンプレから同期されたアカウントで、「いいえ」のものは Azure AD で作成したアカウントとなる。
左ペインの「Azure AD Connect」をクリックすると、機能別にオンプレとの同期ステータスを見ることができる。
※画像は、過去に他のドメインの同期等もやっている為、その分の結果も反映されている
「シームレスなシングルサインオン」をクリックすると...
シングルサインオン機能が有効となっているドメインが表示される。
これはインストール時にシングルサインオンを有効にしたからアクティブ化されていて、無効にしていたらアクティブ化されなかったかなと思う。表示内容自体はすごくシンプル。
「パススルー認証」をクリックすると、同期元となるオンプレドメインの認証エージェント情報と、状態が「アクティブ」になっていることが確認できる。
今回は AADC サーバー1台のみが認証エージェントを兼任しているので、AADC サーバーのサーバー名のみが表示されている。
この後、同期したアカウントで実際にクラウドサービスにログインできるかなども確認したいが、それはまた次回記載しようと思う。
以上!