SIOS Tech. LabSIOS Tech. Lab | エンジニアのタメになるOSS・クラウド・認証の技術トピックス
新着記事

【ID管理超入門】#2 AADCのインストールと同期の方法

2020-08-20 認証 0
◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください
【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました
生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!!
https://tech-lab.connpass.com/event/315703/

これからID管理について学習し、その内容をまとめていきます。今回はAADCのインストールと同期を行う方法を解説します。ADとAzure ADアカウントが用意できている前提で、Windows Server 2019-DatacenterにAADCをインストールします。

動作環境

環境バージョン
サーバWindows Server 2019-Datacenter
同期ツールAzure AD Connect 1.5.45.0

【ID管理超入門】#1 AADCの同期の仕組み

AADCのインストール方法

以下のURLにアクセスし、「Download」ボタンからインストーラをダウンロードします。

https://www.microsoft.com/en-us/download/details.aspx?id=47594

インストーラを実行します。

 

インストーラが起動すると、下の画像のような画面が表示されます。「ライセンス条項 及び プライバシーに関する声明 に同意します。」にチェックを入れ、「続行」をクリックします。

 

画面の表示されている設定で問題なければ「簡単設定を行う」、細かい設定変更が必要なら「カスタマイズ」をクリックします。今回は「カスタマイズ」で設定を行います。

 

必要な機能にチェックを入れて「インストール」をクリックします。

 

インストールにしばらく時間がかかります。

 

続いてサインイン方式を選択します。各方式の説明は「?」マークにカーソルを合わせると確認できます。選択したら「次へ」をクリックします。

 

Azure AD管理者のユーザ名とパスワードを入力し、「次へ」をクリックします。

 

ADとの接続を行います。フォレストにADのドメインを入力し「ディレクトリの追加」をクリックします。

 

「新しい AD アカウントを作成」を選択し、ドメインユーザ名とパスワードを入力します。ドメインユーザ名は「<ADのドメイン>\<ユーザ名>」の形で入力します。「OK」をクリックして元の画面に戻ります。

 

正しく設定できていれば、構成済みディレクトリに先程登録したドメインが記載されます。これを確認したら「次へ」をクリックします。

 

同期したいドメインが「確認済み」となっていることを確認します。今回は同期対象に含めないドメインが2つあったので2行「追加されていません」と表記されています。ユーザープリンシパル名にはAzure ADの一意識別子として指定したいADの属性を設定します。基本的には「userPrincipalName」で問題ないでしょう。最後に「一部のUPNサフィックスが確認済みドメインに一致していなくても続行する」にチェックを入れ「次へ」をクリックします。

 

同期するOUを指定します。特定のOUのみを同期したい場合は「選択したドメインとOUの同期」にチェックを入れ、同期したいOUを選択します。今回はAD上に作成した「member」ディレクトリにあるユーザを同期します。選択したら「次へ」をクリックします。

 

オンプレミスとAzure ADのユーザの識別方法を選択します。「Azureでソースアンカーを管理します」を選ぶとその下に記載されている「ms-DS-ConsistencyGuid」が一意識別子となります。選択したら「次へ」をクリックします。

 

同期する項目を選びます。選択したら「次へ」をクリックします。

 

必要な機能にチェックを入れて「次へ」をクリックします。

 

「構成が完了したら、同期プロセスを開始する。」のチェックを入れるとインストール終了後すぐに同期が開始されます。。「ステージングモードを有効にする」にチェックを入れると、インポートと同期だけが行われてエクスポートが行われません。万一設定に不備があった場合、ステージングモードにしていないとAzure ADに間違った情報が更新されてしまいます。本番環境の場合はまずステージングモードで設定が正しいかどうかを確認してからステージングモードを解除して設定を反映させると良いです。「インストール」をクリックするとインストールが開始されます。

 

インストールにしばらく時間がかかります。

 

以上でインストールは完了です。「終了」をクリックしてインストーラを閉じましょう。

AADC Rule Editorの設定

特定の部署のユーザだけ同期したい、同期するかどうかをフラグで判断したいなどの設定はRule Editorで行います。スタートメニューから「AADC Rule Editor」を起動します。

同期を行う際のルールが一覧で表示されています。新たにルールを作る場合は「Add new rule」を、既存のルールを編集する場合はルールを指定して「Edit」をクリックします。

 

Rule Editorの設定項目は4つに別れています。1つめのDescriptionはルールの概要について記載します。設定したら「Next >」をクリックします。

 

続いてScoping filterではルールの対象となるオブジェクトを指定します。まずは「Add group」をクリックします。

 

「Add clause」をクリックします。

 

フィルタの設定項目を指定します。設定は「Attribute(属性)」、「Operator(演算子)」、「Value(値)」の組み合わせで表現します。例えば、Attribute:department、Operator:EQUAL、Value:営業 とすると「department(部署)が営業のユーザのみをフィルタする」という意味になります。groupやclauseは複数設定することができます。設定したら「Next >」をクリックします。

 

3つ目の設定はJoin rulesです。ここでは同期する際の属性の対応を決めることができます。まずは「Add group」をクリックします。

 

「Source Attribute」はAD側の属性、「Target Attribute」はAzure AD側の属性で、これらの対応を設定します。「Case sensitive」にチェックを入れると大文字と小文字を区別します。設定を追加するには「Add clause」をクリックします。設定したら「Next >」をクリックします。

 

最後にTransformationを設定します。これは属性に新たな値を設定するものです。「Add transformation」をクリックします。

 

Flow typeには「Constant(定数)」、「 Direct(直接)」、「Expression(式)」の3つがあります。ConstantはTarget AttributeにSourceの値が設定されます。DirectはTarget AttributeにSourceで指定したAD側の属性値が設定されます。ExpressionはTarget AttributeにSourceで指定した式の演算結果が設定されます。Expressionの式の形式はこちらに詳しく記載されています。設定のが終わったら「Add」をクリックしてフィルタを保存します。

 

次回の同期時に反映される旨のアラートが出ます。「OK」をクリックします。以上でRule Editorの設定は終了です。

AADCの同期の方法

続いて同期の方法について説明します。スタートメニューから「AADC Synchronization Service Manager」を起動します。

Operationsタブに同期の結果が表示されます。インストール時に「構成が完了したら、同期プロセスを開始する。」のチェックを入れているため、初回の同期の結果が表示されています。それぞれ2つずつあるのはAD側とAzure AD側での処理が行われるためです。

 

「Actions > Run…」をクリックすると同期ができます。

 

「Connector」のプルダウンメニューから処理を行うディレクトリを指定します。「Run profiles」から起動する処理を選択します。ImportとSynchronizationには「Full」と「Delta」があります。Fullは全同期、Deltaは差分同期です。「OK」をクリックすると実行されます。

この実行方法は一つずつしか実行することができません。複数の同期処理を一括して行うにはコマンドラインを使用します。下記のように入力し実行します。「Success」と表示されれば成功です。Synchronization Service Managerにも結果が表示されます。

全同期:

Start-ADSyncSyncCycle -PolicyType Initial

差分同期:

Start-ADSyncSyncCycle -PolicyType Delta

 

この例ではステージングモードに設定しているため、エクスポートされません。この状態で正しく同期できていることを確認してからステージングモードを解除します。解除するにはスタートメニューもしくはショートカットから「Azure AD Connect」を起動します。「構成」をクリックします。

 

「ステージングモードの構成」を選択し、「次へ」をクリックします。

 

Azure AD管理者のユーザ名とパスワードを入力し、「次へ」をクリックします。

 

「ステージングモードを有効にする」のチェックを外し、「次へ」をクリックします。

 

しばらく時間がかかります。

 

「終了」をクリックします。これで設定完了です。

 

再度同期をかけるとエクスポートが行われていることがわかります。

AADCのスケジューラの設定

AADCは定期的に自動実行するためにスケジューラが用意されています。以下のコマンドでスケジューラの設定を確認することができます。

Get-ADSyncScheduler

規定では同期間隔は30分に設定されています。同期間隔を変更するには以下のコマンドを実行します。この例では3時間に変更しています。

Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00

同期スケジューラのオン/オフは以下のコマンドで実行できます。

Set-ADSyncScheduler -SyncCycleEnabled $true
Set-ADSyncScheduler -SyncCycleEnabled $false

再度設定確認を行うと変更されていることがわかります。

AADCのアンインストール方法

最後に、AADCをアンインストールする方法についてです。アンインストールするときもインストーラを実行します。「Next」をクリックします。

 

「Remove」を選択し「Next」をクリックします。

 

「Remove」をクリックします。

 

「サポートコンポーネントもアンインストールします」にチェックを入れるとSQLサーバもアンインストールされます。「削除」をクリックします。

 

アンインストールにしばらく時間がかかります。

 

「終了」をクリックするとアンインストール完了です。

まとめ

この記事ではAADCのインストール方法、Rule Editorの設定、同期の方法、スケジューラの設定、アンインストール方法についてまとめました。

最後までお読みいただきありがとうございます。

アバター画像
About AM 213 Articles
プロフェッショナルサービスチームの中の人。
Twitter YouTube
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。


ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!


SIOS Tech Lab

>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

Related Articles

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Copyright © 2024 | MH Magazine WordPress Theme by MH Themes

質問はこちら 閉じる