これからID管理について学習し、その内容をまとめていきます。今回はAADCのインストールと同期を行う方法を解説します。ADとAzure ADアカウントが用意できている前提で、Windows Server 2019-DatacenterにAADCをインストールします。
動作環境
| 環境 | バージョン |
| サーバ | Windows Server 2019-Datacenter |
| 同期ツール | Azure AD Connect 1.5.45.0 |
AADCのインストール方法
以下のURLにアクセスし、「Download」ボタンからインストーラをダウンロードします。
https://www.microsoft.com/en-us/download/details.aspx?id=47594
インストーラを実行します。
インストーラが起動すると、下の画像のような画面が表示されます。「ライセンス条項 及び プライバシーに関する声明 に同意します。」にチェックを入れ、「続行」をクリックします。
画面の表示されている設定で問題なければ「簡単設定を行う」、細かい設定変更が必要なら「カスタマイズ」をクリックします。今回は「カスタマイズ」で設定を行います。
必要な機能にチェックを入れて「インストール」をクリックします。
インストールにしばらく時間がかかります。
続いてサインイン方式を選択します。各方式の説明は「?」マークにカーソルを合わせると確認できます。選択したら「次へ」をクリックします。
Azure AD管理者のユーザ名とパスワードを入力し、「次へ」をクリックします。
ADとの接続を行います。フォレストにADのドメインを入力し「ディレクトリの追加」をクリックします。
「新しい AD アカウントを作成」を選択し、ドメインユーザ名とパスワードを入力します。ドメインユーザ名は「<ADのドメイン>\<ユーザ名>」の形で入力します。「OK」をクリックして元の画面に戻ります。
正しく設定できていれば、構成済みディレクトリに先程登録したドメインが記載されます。これを確認したら「次へ」をクリックします。
同期したいドメインが「確認済み」となっていることを確認します。今回は同期対象に含めないドメインが2つあったので2行「追加されていません」と表記されています。ユーザープリンシパル名にはAzure ADの一意識別子として指定したいADの属性を設定します。基本的には「userPrincipalName」で問題ないでしょう。最後に「一部のUPNサフィックスが確認済みドメインに一致していなくても続行する」にチェックを入れ「次へ」をクリックします。
同期するOUを指定します。特定のOUのみを同期したい場合は「選択したドメインとOUの同期」にチェックを入れ、同期したいOUを選択します。今回はAD上に作成した「member」ディレクトリにあるユーザを同期します。選択したら「次へ」をクリックします。
オンプレミスとAzure ADのユーザの識別方法を選択します。「Azureでソースアンカーを管理します」を選ぶとその下に記載されている「ms-DS-ConsistencyGuid」が一意識別子となります。選択したら「次へ」をクリックします。
同期する項目を選びます。選択したら「次へ」をクリックします。
必要な機能にチェックを入れて「次へ」をクリックします。
「構成が完了したら、同期プロセスを開始する。」のチェックを入れるとインストール終了後すぐに同期が開始されます。。「ステージングモードを有効にする」にチェックを入れると、インポートと同期だけが行われてエクスポートが行われません。万一設定に不備があった場合、ステージングモードにしていないとAzure ADに間違った情報が更新されてしまいます。本番環境の場合はまずステージングモードで設定が正しいかどうかを確認してからステージングモードを解除して設定を反映させると良いです。「インストール」をクリックするとインストールが開始されます。
インストールにしばらく時間がかかります。
以上でインストールは完了です。「終了」をクリックしてインストーラを閉じましょう。
AADC Rule Editorの設定
特定の部署のユーザだけ同期したい、同期するかどうかをフラグで判断したいなどの設定はRule Editorで行います。スタートメニューから「AADC Rule Editor」を起動します。
同期を行う際のルールが一覧で表示されています。新たにルールを作る場合は「Add new rule」を、既存のルールを編集する場合はルールを指定して「Edit」をクリックします。
Rule Editorの設定項目は4つに別れています。1つめのDescriptionはルールの概要について記載します。設定したら「Next >」をクリックします。
続いてScoping filterではルールの対象となるオブジェクトを指定します。まずは「Add group」をクリックします。
「Add clause」をクリックします。
フィルタの設定項目を指定します。設定は「Attribute(属性)」、「Operator(演算子)」、「Value(値)」の組み合わせで表現します。例えば、Attribute:department、Operator:EQUAL、Value:営業 とすると「department(部署)が営業のユーザのみをフィルタする」という意味になります。groupやclauseは複数設定することができます。設定したら「Next >」をクリックします。
3つ目の設定はJoin rulesです。ここでは同期する際の属性の対応を決めることができます。まずは「Add group」をクリックします。
「Source Attribute」はAD側の属性、「Target Attribute」はAzure AD側の属性で、これらの対応を設定します。「Case sensitive」にチェックを入れると大文字と小文字を区別します。設定を追加するには「Add clause」をクリックします。設定したら「Next >」をクリックします。
最後にTransformationを設定します。これは属性に新たな値を設定するものです。「Add transformation」をクリックします。
Flow typeには「Constant(定数)」、「 Direct(直接)」、「Expression(式)」の3つがあります。ConstantはTarget AttributeにSourceの値が設定されます。DirectはTarget AttributeにSourceで指定したAD側の属性値が設定されます。ExpressionはTarget AttributeにSourceで指定した式の演算結果が設定されます。Expressionの式の形式はこちらに詳しく記載されています。設定のが終わったら「Add」をクリックしてフィルタを保存します。
次回の同期時に反映される旨のアラートが出ます。「OK」をクリックします。以上でRule Editorの設定は終了です。
AADCの同期の方法
続いて同期の方法について説明します。スタートメニューから「AADC Synchronization Service Manager」を起動します。
Operationsタブに同期の結果が表示されます。インストール時に「構成が完了したら、同期プロセスを開始する。」のチェックを入れているため、初回の同期の結果が表示されています。それぞれ2つずつあるのはAD側とAzure AD側での処理が行われるためです。
「Actions > Run…」をクリックすると同期ができます。
「Connector」のプルダウンメニューから処理を行うディレクトリを指定します。「Run profiles」から起動する処理を選択します。ImportとSynchronizationには「Full」と「Delta」があります。Fullは全同期、Deltaは差分同期です。「OK」をクリックすると実行されます。
この実行方法は一つずつしか実行することができません。複数の同期処理を一括して行うにはコマンドラインを使用します。下記のように入力し実行します。「Success」と表示されれば成功です。Synchronization Service Managerにも結果が表示されます。
全同期:
Start-ADSyncSyncCycle -PolicyType Initial
差分同期:
Start-ADSyncSyncCycle -PolicyType Delta
この例ではステージングモードに設定しているため、エクスポートされません。この状態で正しく同期できていることを確認してからステージングモードを解除します。解除するにはスタートメニューもしくはショートカットから「Azure AD Connect」を起動します。「構成」をクリックします。
「ステージングモードの構成」を選択し、「次へ」をクリックします。
Azure AD管理者のユーザ名とパスワードを入力し、「次へ」をクリックします。
「ステージングモードを有効にする」のチェックを外し、「次へ」をクリックします。
しばらく時間がかかります。
「終了」をクリックします。これで設定完了です。
再度同期をかけるとエクスポートが行われていることがわかります。
AADCのスケジューラの設定
AADCは定期的に自動実行するためにスケジューラが用意されています。以下のコマンドでスケジューラの設定を確認することができます。
Get-ADSyncScheduler
規定では同期間隔は30分に設定されています。同期間隔を変更するには以下のコマンドを実行します。この例では3時間に変更しています。
Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
同期スケジューラのオン/オフは以下のコマンドで実行できます。
Set-ADSyncScheduler -SyncCycleEnabled $true
Set-ADSyncScheduler -SyncCycleEnabled $false
再度設定確認を行うと変更されていることがわかります。
AADCのアンインストール方法
最後に、AADCをアンインストールする方法についてです。アンインストールするときもインストーラを実行します。「Next」をクリックします。
「Remove」を選択し「Next」をクリックします。
「Remove」をクリックします。
「サポートコンポーネントもアンインストールします」にチェックを入れるとSQLサーバもアンインストールされます。「削除」をクリックします。
アンインストールにしばらく時間がかかります。
「終了」をクリックするとアンインストール完了です。
まとめ
この記事ではAADCのインストール方法、Rule Editorの設定、同期の方法、スケジューラの設定、アンインストール方法についてまとめました。
最後までお読みいただきありがとうございます。
