Azure Active Directory パススルー認証によるユーザー サインイン環境の構築 ① ActiveDirectryServer側の準備
Azure Active Directory パススルー認証とは?
オン プレミスのActiveDirectryとAzureADを連携させる最新の方法といったところでしょうか。以前はADFSが主流で、えらい数のサーバ立てて連携していましたが、今現在はかなりシンプルになったと思います。
Azure AD Connect の前提条件
以下の公式ドキュメントをご確認ください。
Azure Active Directory パススルー認証によるユーザー サインイン
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-pta
実際の設定(オンプレミス側ADServer)
①オンプレミスActiveDirectryの要件よりドメインコントローラーのWindowsServerバージョンを確認する。
※WindowsServer2008R2以降なら問題なし
②ActiveDirectryスキーマバージョンの確認
Active Directory スキーマ バージョン (ja-JP)
https://social.technet.microsoft.com/wiki/contents/articles/37394.active-directory-ja-jp.aspx
スキーマ拡張作業の基礎 – その1 – 事前知識: スキーマとは
https://blogs.technet.microsoft.com/jpntsblog/2010/08/17/1/
③Exchange スキーマ拡張(ExchangeServerをインストール)
オンプレミスACtiveDirectryサーバにExchangeServer2016をインストールする
※インストールするだけ
Exchange Server のビルド番号とリリース日
https://docs.microsoft.com/ja-jp/Exchange/new-features/build-numbers-and-release-dates?redirectedfrom=MSDN&view=exchserver-2019
投稿する時点での最新は、「Exchange Server 2016 CU14」となります。
・Exchange Server 2016 CU14インストール要件:.NET Framework 4.7.2以上
・isoファイルをマウントする
・管理者でdosコマンド実行 「D(マウントしたドライブ):\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema」を実行
④ActiveDirectryServerのグループポリシーにレジストリ3つ追加する(代替IDによるログインの場合)
※個別にローカルグループポリシーとして設定してもOK
代替 ID を使用したハイブリッド先進認証
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/configuring-alternate-login-id#hybrid-modern-authentication-with-alternate-id
m9(^Д^)プギャーはグループポリシーに設定しました。以下のようになるかと思います。
⑤グループポリシーに3つ追加する
手順 3:機能をロールアウトする
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sso-quick-start#step-3-roll-out-the-feature
(その1)
[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [Windows コンポーネント] – [Internet Explorer] – [インターネット コントロール パネル] – [セキュリティ ページ] – [サイトとゾーンの割り当て一覧]
1.有効にする
2.ゾーンに以下の値を追加する
値の名前: https://autologon.microsoftazuread-sso.com
値 (データ):1
(その2)
[ユーザーの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [インターネット コントロール パネル] > [セキュリティ ページ] > [イントラネット ゾーン]
[スクリプトを介したステータス バーの更新を許可する]
有効
(その3)
[ユーザーの構成] > [基本設定] > [Windows 設定] > [レジストリ] > [新規] > [レジストリ項目]
キー パス:Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
値の名前: https
値の型:REG_DWORD
値のデータ:00000001
⑤DNSマネージャーにOffice365のDNS情報を追加する
m9(^Д^)プギャーがハマった場所です。AD参加するWindows10端末は通常ADサーバのDNSを参照するため、ExchangeのAutodiscoverが解決出来ずに詰まりました。Office365のDNS情報全部入れておけば問題ないでしょう。
