Azure AD Connect 設定前の準備

先日、Azure AD Connect のNew Version 1.1.105.0 が出てきました。
こちらに新機能情報が網羅されているので、ご確認下さい。
Azure AD Connect: Version Release History

Office 365 のディレクトリ同期ツールとしてもこちらの利用が推奨されるようになりました。
DirSync を利用されている企業も多いと思いますが、サポート期限の問題もありますので、
折をみてこちらへの移行をお勧めいたします。

さて、Azure AD Connect は、ディレクトリ同期のみならず、ADFSを利用したシングルサインオン環境をほぼ自動で構築することもできます。
詳細は、こちらをご一読下さい。
Office 365 運用管理入門(10)
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する (1/3)

さて、前置きが長くなりました。
AADConnectを利用してSSO環境を構成する場合、極力一度の操作で終了できるように事前準備を行いましょう。
設定漏れ、準備ミスなどで失敗した場合、「AADConnectアンインストール」 → 「WID(ADFSでSQLServer以外の場合に利用するDB)削除」→「ADFS アンインストール」 →
などの対応が必要です。
※WIDの削除に関しては、他システムで利用している可能性がある場合は、必要なDBのみ選択して削除します。

エバンジェリスト安納さんのブログ

こちらはWindows Server 2008 /r2 ベースですが、Windows Server 2012 r2 の場合は対応するSQLServer Managementを別途ダウンロードしてください。

では、何を準備するかを以下にまとめます。

<準備リスト>
①SSL証明書…さすがにこれは忘れないと思いますが、公的な認証局から取得して下さい。AADConnect構成時に、証明書を参照する必要があります。
②公開DNSレコードの登録…公開DNSへフェデレーションサービス名でプロキシに設置するADFSのIPを登録します。
③内部DNSレコードの登録…DC,ADFSはドメイン内なので問題ありませんが、ADFSプロキシのプライベートIPも登録しておかないと、AADConnectで構成する際に、認識してくれないことがあります。
④リモート管理の有効化…とくにAzure仮想マシンでこの環境を構成する場合は必須です。
(さらにGUIだと一見有効化になっていても認識されないことがあるので)PowerShellでADFS、ADFS Proxy 側で以下のコマンドを実行します。

Enable-PSRemoting -Force

ADFSプロキシをリモート管理するために、DC側で、以下のコマンドを実行します。

Set-Item WSMan:\Localhost\Client\TrustedHosts -Value <Web アプリケーション プロキシのホスト名>.<Active Directory ドメイン名

上記の準備を終了してからAADConnectを構成しましょう。
アンインストールして再実行しようとすると、初回にはなかったエラーが出てくることがあります。
準備を整えて、1度の構成で終了できるようにするのがお勧めです。

Office 365 カスタムドメインの削除エラー

この記事はOffice 365 Advent Calendar 2015 – Adventarに参加しています。

試用版にドメインを登録して色々試してみる…ということありますよね。

そんな時、そろそろ試用版の期限が来るし、削除しておこう!と思ったらこんなエラーで消えない!?ということありませんか?

 

no3

こんな時、以下のことを実行してみましょう。

①ユーザーアカウントをonmicrosoft.comに戻す。

アクティブなユーザーから全ユーザーを選択-[編集]-[ユーザー名]リストボックスでonmicrosoft.comを選択します。

no4

消したいドメインが利用されているとドメインの削除はできません。通常はこの操作のみでカスタムドメインを消すことができます。それでも消えない場合は②を実行しましょう。

②セカンダリメールアドレスとして消したいドメイン名が利用されていないことを確認

セカンダリで追加していた場合はそこも削除しましょう。

no9

③全体管理者以外のユーザーをすべて消す。

上記の方法でも消えなかった場合には…

onmicrosoft.comに切り替えても消えない場合はユーザーアカウントの削除が必要です。1人テナントにしたらもう一度ドメインの削除を実行します。

no1

これで大半のカスタムドメインの削除が可能です。困ったときにはお試しください。

【追記】

ちなみに、一旦削除したユーザーは30日以内ならばドメイン削除後にまた復元が可能です。

 

 

 

 

 

 

 

もろもろ告知です

コメントを残す

2015年12月にバタバタと各種勉強会へ登壇させていただくことになりました。師走ではありますが、ぜひ勉強会へご参加、ご受講などご検討いただければ幸いです。

[オンラインセッション] 2015.12.16 PM8:00 Start

Windows 10 IT Pro Readiness (JPN) –
Sub session <Introduction of Azure Active Directory>

~Azure ADの活用シナリオと現実解とは!~

事前登録はこちらから

[オフライン勉強会] 2015.12.19 13:00 Start

System Center Users Group Japan 第14回勉強会

~2016年を迎えるための心の準備~

私はLTでAzure AD Domain Serviceについてお話します。

お申し込みはこちら

[@IT ] Office 365 運用管理入門(12)

Office 365 のセキュリティとコンプライアンスをさらに強化する

よろしくお願いします。

 

 

Windows 10 最新情報List

Windows 10 のリリースから早2か月がたとうとしています。
Microsoftから大変役立つ情報が様々公開されましたので、ここでご紹介します。
ITProから開発者のかた、ユーザーのかたまでぜひご利用下さい。

■ Windows 10 の開発者向け最新情報
 開発者がアプリケーションをかくための必要な情報

■ Microsoft Azure Tourの告知
Microsoft Azure Tour は開発者ならびに IT 技術者に Azure をより深く理解いただくための(ご活用いただくための)、 無料の1 日テクニカル トレーニング イベントです。

■ デベロッパーのための Windows 10ガイド
最新のWindows 10に関するデベロッパーのためのトレーニングコンテンツ

Windows 10 AzureAD参加時のOffice 365へのサインイン(続報)

先月(2015年7月29日)に正式版がリリースされましたが、Windows 10は進化し続けるOSとして
Build番号は上がり続けています。
現在(2015年8月13日)、私の環境ではBuild:10240.16430となっています。

※以下のレジストリから確認可能
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\BuildLabEx

さて、先日の投稿で、AzureAD参加時のサインインだとOffice 365は自動的にシングルサインオン状態であることをご紹介しました。ただし、「Edgeのみ」だったのですが、現在は「IE11」でもシングルサインオンが可能になりました。Office 365の利用に関しては、現段階ではIEの方が操作性がよいので、これはうれしい変化ですね。

Cortanaがもうすぐやってくる

Windows 10の新機能として名が高い「Cortana」がまもなく日本環境でのテストが開始されるという情報が出始めました。
7月29日の製品リリースでは残念ながら「米、英、中、仏、伊、独、スペイン」の7カ国限定だそうですが、ようやく日本語環境のCortanaをいじれる日が近づいてきましたね。
Microsoft、パーソナルアシスタント「Cortana」の日本でのテスト開始へ

さて、Cortanaといえば、Office 365にもCortanaの管理メニューが表示されるよになりました。
Office 365 管理画面

Cortanaが実装されると、Office 365では例えば会議実施の前にリマインダをだしたり、必要な文書を収集したり・・など色々行ってくれるようです。
楽しみですね。

Windows 10 Azure AD に参加時の Office 365サインイン

コメントを残す

ようやく新しいビルド10240にアップデートされました。
前回投稿したイベント資料にも記載したのですが、Windows 10からは「Azure ADへ参加」という認証が可能になりました。
社内環境のドメインに入るか、AzureADにPCを通してサインインするか、どちらかを選択する必要があります。

Azure ADへサインインした場合は、とうぜんAzureADにて認証を行っているアプリにも同時にサインインをしたということになるので、再びアプリを利用する場合にサインインをする必要がなくなります。

フェデレーション構成(ADFS)のSSOでもIDの入力が必要ですが、もはやURLを叩くのみで利用できてしまうのです。非常に便利ですね。

ただし、これはWindows 10 の新ブラウザである「Edge」を利用した場合のみです。
製品版で変わる可能性も・・・あるかもしれませんが。
EdgeとIE11のOffice 365のサインインURLを叩いた直後
わざわざWindows 10でInternet Explorerを起動することも少ないかもしれませんが、IEではIDやパスワードの入力が必要になります。

Windows 10 Azure AD Domain Joinとは

コメントを残す

先日、Microsoft にて行われたイベントにて登壇してきました。
Interact × Cloud Samurai Roadshow 2015 年 7 月
現場のプロフェッショナルが語る「マイクロソフト製品、クラウド ソリューションを効果的に運用・構築するために知っておきたいこと」
Interact × Cloud Samurai Roadshow

この中で、認証周りの新機能として登場した「Windows Hello」、「Microsoft Passport」、「Azure AD Domain Join」について
ご紹介をしています。
当日の動画、資料については後日掲載予定です。
また、スライドシェアにも掲載しておりますので、そちらからもダウンロード可能です。
slide share