Azure Active Directory パススルー認証によるユーザー サインイン環境の構築 ② AzureAD Connect Server側の準備

2019年12月12日

前回に引き続き、Azure AD Connect Server側の設定です。

前回はADサーバ側に対してパススルーSSOの設定を実施しました。今回は、AzureADConnectサーバ側の設定となります。

Azure AD Connect の前提条件-Azure AD Connect サーバー

まずはこの公式サイト情報を確認しましょう。

https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites#azure-ad-connect-server

Windows Server 2008 R2以上、ただしSmall Business Server または Windows Server Essentialsにはインストール出来ないとのことですね。m9(^Д^)プギャーはAzureVM上にWindowsServer2016DataCenterで構築しました。前回投稿したADサーバは別に用意しておらず、ADサーバ兼AADサーバとなります。よって前回の投稿した設定内容もすべてこのサーバに設定しています。

ここからが設定内容です。

ProxyServer経由での接続時は、「Azure AD Connect の前提条件」に記載されている「接続」の内容を確認し、「C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config」に適切な追加を行う。

Proxyの設定を実施した場合は、

[powershell]
Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc

を実行し、

想定される結果
StatusCode:200 OK、StatusCode:403,407 proxy側のエラーとなるので事前に確認しましょう。

ポート開放を行う
以前は
「*.activedirectory.windowsazure.com」80/443 で良かったのですが、

(ソース)Azure AD Connect 接続先のサーバについて(「*.activedirectory.windowsazure.com」80/443と記載されている)

https://social.msdn.microsoft.com/Forums/ja-JP/42f7a564-b96f-4d21-a45d-cb0842a4bf84/azure-ad-connect-

今改めて確認してみると

Office 365 の URL と IP アドレスの範囲
https://docs.microsoft.com/ja-jp/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams
※No.56のようです、最近のIPレンジには用途が記載されてないんですね・・

となっていました。

Office 365 Endpoints
https://endpoints.office.net/EndpointSets/Details/52014492-e89b-4e5a-8e98-1d0312d598fb?showInflight=false

で確認してみると、以前のままでもよさそうですが、一応IPレンジ全部開けておけば問題ないかと思います。

[問題点]
オンプレミスでかつFQDNによる接続許可をするルーターやFWを導入している場合は問題ありませんが、機能がない場合やAzure上のVMとしてADやAADがある場合は標準機能で実現出来ません。出口にAzure Firewallあたりを入れるか、あきらめて全開放で行くしかなさそうです。
※m9(^Д^)プギャーの検証環境はAzureVMなので全開放しています。

参考情報

Azure Firewall
https://azure.microsoft.com/ja-jp/services/azure-firewall/

SSOサイトをイントラネットゾーンに追加する

コントロールパネル – インターネットオプション – セキュリティ – ローカル イントラネット – サイト – 詳細設定

https://autologon.microsoftazuread-sso.com を追加

Azure Active Directory シームレス シングル サインオン:クイック スタート
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sso-quick-start

とりあえずここまでが、ADとAADサーバのSSO構築でした。
情報が散らばっていて全体を把握するのが難しいですね。次回やっとAADインストールと設定といった感じとなるかと思います。