先日、Azure AD Connect のNew Version 1.1.105.0 が出てきました。
こちらに新機能情報が網羅されているので、ご確認下さい。
Azure AD Connect: Version Release History
Office 365 のディレクトリ同期ツールとしてもこちらの利用が推奨されるようになりました。
DirSync を利用されている企業も多いと思いますが、サポート期限の問題もありますので、
折をみてこちらへの移行をお勧めいたします。
さて、Azure AD Connect は、ディレクトリ同期のみならず、ADFSを利用したシングルサインオン環境をほぼ自動で構築することもできます。
詳細は、こちらをご一読下さい。
Office 365 運用管理入門(10)
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する (1/3)
さて、前置きが長くなりました。
AADConnectを利用してSSO環境を構成する場合、極力一度の操作で終了できるように事前準備を行いましょう。
設定漏れ、準備ミスなどで失敗した場合、「AADConnectアンインストール」 → 「WID(ADFSでSQLServer以外の場合に利用するDB)削除」→「ADFS アンインストール」 →
などの対応が必要です。
※WIDの削除に関しては、他システムで利用している可能性がある場合は、必要なDBのみ選択して削除します。
エバンジェリスト安納さんのブログ
こちらはWindows Server 2008 /r2 ベースですが、Windows Server 2012 r2 の場合は対応するSQLServer Managementを別途ダウンロードしてください。
では、何を準備するかを以下にまとめます。
<準備リスト>
①SSL証明書…さすがにこれは忘れないと思いますが、公的な認証局から取得して下さい。AADConnect構成時に、証明書を参照する必要があります。
②公開DNSレコードの登録…公開DNSへフェデレーションサービス名でプロキシに設置するADFSのIPを登録します。
③内部DNSレコードの登録…DC,ADFSはドメイン内なので問題ありませんが、ADFSプロキシのプライベートIPも登録しておかないと、AADConnectで構成する際に、認識してくれないことがあります。
④リモート管理の有効化…とくにAzure仮想マシンでこの環境を構成する場合は必須です。
(さらにGUIだと一見有効化になっていても認識されないことがあるので)PowerShellでADFS、ADFS Proxy 側で以下のコマンドを実行します。
Enable-PSRemoting -Force
ADFSプロキシをリモート管理するために、DC側で、以下のコマンドを実行します。
Set-Item WSMan:\Localhost\Client\TrustedHosts -Value <Web アプリケーション プロキシのホスト名>.<Active Directory ドメイン名
上記の準備を終了してからAADConnectを構成しましょう。
アンインストールして再実行しようとすると、初回にはなかったエラーが出てくることがあります。
準備を整えて、1度の構成で終了できるようにするのがお勧めです。