Azure Active Directory パススルー認証によるユーザー サインイン環境の構築 ① ActiveDirectryServer側の準備

2019年12月11日2019年12月12日

Azure Active Directory パススルー認証とは?

オン プレミスのActiveDirectryとAzureADを連携させる最新の方法といったところでしょうか。以前はADFSが主流で、えらい数のサーバ立てて連携していましたが、今現在はかなりシンプルになったと思います。

Azure AD Connect の前提条件

以下の公式ドキュメントをご確認ください。

Azure Active Directory パススルー認証によるユーザー サインイン

https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-pta

実際の設定(オンプレミス側ADServer)

①オンプレミスActiveDirectryの要件よりドメインコントローラーのWindowsServerバージョンを確認する。
※WindowsServer2008R2以降なら問題なし

②ActiveDirectryスキーマバージョンの確認

Active Directory スキーマ バージョン (ja-JP)
https://social.technet.microsoft.com/wiki/contents/articles/37394.active-directory-ja-jp.aspx

スキーマ拡張作業の基礎 – その1 – 事前知識： スキーマとは
https://blogs.technet.microsoft.com/jpntsblog/2010/08/17/1/

③Exchange スキーマ拡張(ExchangeServerをインストール)
オンプレミスACtiveDirectryサーバにExchangeServer2016をインストールする
※インストールするだけ

Exchange Server のビルド番号とリリース日
https://docs.microsoft.com/ja-jp/Exchange/new-features/build-numbers-and-release-dates?redirectedfrom=MSDN&view=exchserver-2019

投稿する時点での最新は、「Exchange Server 2016 CU14」となります。

・Exchange Server 2016 CU14インストール要件:.NET Framework 4.7.2以上
・isoファイルをマウントする
・管理者でdosコマンド実行 「D(マウントしたドライブ):\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema」を実行

④ActiveDirectryServerのグループポリシーにレジストリ3つ追加する(代替IDによるログインの場合)
※個別にローカルグループポリシーとして設定してもOK

代替 ID を使用したハイブリッド先進認証
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/configuring-alternate-login-id#hybrid-modern-authentication-with-alternate-id

m9(^Д^)ﾌﾟｷﾞｬｰはグループポリシーに設定しました。以下のようになるかと思います。

⑤グループポリシーに3つ追加する

手順 3:機能をロールアウトする

https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sso-quick-start#step-3-roll-out-the-feature

(その1)

[ユーザーの構成] – [ポリシー] – [管理用テンプレート] – [Windows コンポーネント] – [Internet Explorer] – [インターネット コントロール パネル] – [セキュリティ ページ] – [サイトとゾーンの割り当て一覧]

1.有効にする

2.ゾーンに以下の値を追加する

値の名前: https://autologon.microsoftazuread-sso.com

値 (データ):1

(その2)

[ユーザーの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [インターネット コントロール パネル] > [セキュリティ ページ] > [イントラネット ゾーン]

[スクリプトを介したステータス バーの更新を許可する]

有効

(その3)

[ユーザーの構成] > [基本設定] > [Windows 設定] > [レジストリ] > [新規] > [レジストリ項目]

キー パス:Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
値の名前: https
値の型:REG_DWORD
値のデータ:00000001

 

⑤DNSマネージャーにOffice365のDNS情報を追加する

m9(^Д^)ﾌﾟｷﾞｬｰがハマった場所です。AD参加するWindows10端末は通常ADサーバのDNSを参照するため、ExchangeのAutodiscoverが解決出来ずに詰まりました。Office365のDNS情報全部入れておけば問題ないでしょう。