カテゴリー別アーカイブ: Azure AD

Azure AD Connect 設定前の準備

先日、Azure AD Connect のNew Version 1.1.105.0 が出てきました。
こちらに新機能情報が網羅されているので、ご確認下さい。
Azure AD Connect: Version Release History

Office 365 のディレクトリ同期ツールとしてもこちらの利用が推奨されるようになりました。
DirSync を利用されている企業も多いと思いますが、サポート期限の問題もありますので、
折をみてこちらへの移行をお勧めいたします。

さて、Azure AD Connect は、ディレクトリ同期のみならず、ADFSを利用したシングルサインオン環境をほぼ自動で構築することもできます。
詳細は、こちらをご一読下さい。
Office 365 運用管理入門(10)
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する (1/3)

さて、前置きが長くなりました。
AADConnectを利用してSSO環境を構成する場合、極力一度の操作で終了できるように事前準備を行いましょう。
設定漏れ、準備ミスなどで失敗した場合、「AADConnectアンインストール」 → 「WID(ADFSでSQLServer以外の場合に利用するDB)削除」→「ADFS アンインストール」 →
などの対応が必要です。
※WIDの削除に関しては、他システムで利用している可能性がある場合は、必要なDBのみ選択して削除します。

エバンジェリスト安納さんのブログ

こちらはWindows Server 2008 /r2 ベースですが、Windows Server 2012 r2 の場合は対応するSQLServer Managementを別途ダウンロードしてください。

では、何を準備するかを以下にまとめます。

<準備リスト>
①SSL証明書…さすがにこれは忘れないと思いますが、公的な認証局から取得して下さい。AADConnect構成時に、証明書を参照する必要があります。
②公開DNSレコードの登録…公開DNSへフェデレーションサービス名でプロキシに設置するADFSのIPを登録します。
③内部DNSレコードの登録…DC,ADFSはドメイン内なので問題ありませんが、ADFSプロキシのプライベートIPも登録しておかないと、AADConnectで構成する際に、認識してくれないことがあります。
④リモート管理の有効化…とくにAzure仮想マシンでこの環境を構成する場合は必須です。
(さらにGUIだと一見有効化になっていても認識されないことがあるので)PowerShellでADFS、ADFS Proxy 側で以下のコマンドを実行します。

Enable-PSRemoting -Force

ADFSプロキシをリモート管理するために、DC側で、以下のコマンドを実行します。

Set-Item WSMan:\Localhost\Client\TrustedHosts -Value <Web アプリケーション プロキシのホスト名>.<Active Directory ドメイン名

上記の準備を終了してからAADConnectを構成しましょう。
アンインストールして再実行しようとすると、初回にはなかったエラーが出てくることがあります。
準備を整えて、1度の構成で終了できるようにするのがお勧めです。

もろもろ告知です

2015年12月にバタバタと各種勉強会へ登壇させていただくことになりました。師走ではありますが、ぜひ勉強会へご参加、ご受講などご検討いただければ幸いです。

[オンラインセッション] 2015.12.16 PM8:00 Start

Windows 10 IT Pro Readiness (JPN) –
Sub session <Introduction of Azure Active Directory>

~Azure ADの活用シナリオと現実解とは!~

事前登録はこちらから

[オフライン勉強会] 2015.12.19 13:00 Start

System Center Users Group Japan 第14回勉強会

~2016年を迎えるための心の準備~

私はLTでAzure AD Domain Serviceについてお話します。

お申し込みはこちら

[@IT ] Office 365 運用管理入門(12)

Office 365 のセキュリティとコンプライアンスをさらに強化する

よろしくお願いします。

 

 

Azure Active Directory Sync

オンプレミスのActive Directory と Azure Active Directory の連携にはかかせない「DirSync」の後継が登場しましたね。
アイコンのデザインも変更されています。
アイコン

Dirsync の時は、お客様にお話しても「シングルフォレストのみ」というところがネックになっておりました。
Azure Active Directory Sync ではフォレストの追加ができるようになっています。

forestAdd

そして、同期の間隔についてもタスクスケジューラーから設定が可能です。
task

現状で確認されている変更点は以下の通りです。

•Active DirectoryとExchangeの複数フォレスト環境の、クラウドへの拡張
•希望のクラウド サービスを基にした、どの属性を同期するかの制御
•ドメイン、OUなどを介した同期するアカウントの選択
•最小限のWindows Server ADの権限で、ADへの接続を設定する機能
•属性のマッピングと、値のクラウドへの流れ方の制御による、同期ルールの設定
•AAD Premium(有償版)での、パスワード 変更/リセットのオンプレミスADへの反映 (プレビュー)

まだまだこれからも機能が追加されるようです。

詳細はこちらを確認してください