AzureADとActiveDirectoryを同期してみる【AzureAD Connect】
前回ActiveDirectoryを構成してみるところまで行った。
今回はそのADをAzureADに接続してみる。
前提として、AzureのFreeサブスクリプションが存在すること、
AzureAD→カスタム ドメイン名にローカルADとおなじドメインを追加していることとする。
AzureADとは
AzureAD(Azure Active Directory)はMicrosoftが提供するクラウドベースのID管理サービス。
オンプレミスではActiveDirectoryとして使われていたが、働き方の変化、SaaSの利用等で
クラウド上で認証を行うためにAzureADが使われるようになった。
しかし、オンプレミスで出来てもAzureADでは出来ないこともあるようなので、使い分け、
連携が必要になってくる。
その連携に登場するのが今回利用する「AzureAD Connect」通称「AADC」
正直私も初めて触るのでよくわかっていませんが、試してみる。
カスタムドメイン設定
まず、Azureにログインするとこのような画面になる。
AzureサービスからAzure Active Directoryがあるので選択する。
オンプレと同じドメインを追加するため、左のメニューからカスタムドメイン名を選択。
カスタムドメインの追加からドメインを追加する。
DNSによる認証を求められるので、DNSにレコードを登録し、認証を行う。
設定
ドキュメントを見ると最初にIdFixを使用して重複問題の確認という手順がある。
しかしながらインストーラーが見当たらずよくわからなかったため、今回は行わない。
オンプレミスのADではゴミ箱を有効することが勧められているので有効にしてみる。
このゴミ箱機能はユーザやマシンなどのオブジェクトを削除しても、一定期間復元出来る機能。
便利そうなので入れてみる。
まずはActiveDirectory管理センターを起動する。
フォレストを選択し、右ペインからゴミ箱の有効化をクリック
WindowsServer上でAzure Portalにログインして、AzureAD ConnectをDLする。
DLしたら実行し、インストールを行う。
インストールされるとウィンドウが表示される。
同意して実行。
簡単設定で使うをクリック
AzureADのユーザとパスワードを入力。
次にローカルのADのユーザでログインする。
早速インストール開始。
構成を自動的に行ってくれる。
暫く待つと構成が完了する。
AzureADポータルを確認すると、オンプレミスで作成したユーザが作成されていることを確認。
ADで新たにユーザを追加してみる。
WindowsServerのActiveDirectoryユーザとコンピュータからユーザを追加する。
手順は前と同じ。
user03とuser04を作成。
AzureAD側でもユーザを作成する。
わかりやすいように、「az-user01」と名付ける。
と、AzureADで作成していると、先程ローカルADで作ったuser03,user04が
自動で同期された。
とりあえず、ADの中のPCでuser04でログイン出来るか試してみる。
これはローカルで作ったものなので当然ログイン出来る。
では、AzureADで作ったユーザはできるのか?
それは無理だった。
以上がADとAADを連携させる方法。
簡単セットアップではなく、カスタマイズすべきだったなと反省。
次はSSOを試してみる。
