Azure Active Directory パススルー認証によるユーザー サインイン環境の構築 ③ Azure Active Directry のインストールと代替IDの設定
環境の前提
前回、ADサーバ兼AzureADConnect用サーバにシングルサインオンの前提まで設定しました。今回はその続きで、実際にAzure AD Connectをインストールしていきます。
まずOffice365側の先進認証をオンにします。以前記載したのでそちらを参照ください。
以前記載した2つの記事は以下に記載されています。
Office365側ドメインとADサーバのドメイン名が一致している場合は非常に設定が楽です。普通に聞かれた事を入力するだけでシングルサインオンが出来るようになるかと思います。
ただ、今回はOffice365側のドメイン名はxxxx.co.jpでADサーバのドメイン名はxxxx.localとしています。各ユーザーはWindows10端末にログインする際のID(ユーザープリンシパル名)は変更しないこととしています。
つまり、ユーザーはabcde@xxxx.localとしてWindows10にログインしつつ、Office365に対してAzure AD Connectと同期するというパターンになります。
Office365のメール機能は使用するとし、各ユーザーのメールアドレスはabcde@xxxx.co.jpとなっているという前提も追加します。※さすがにメールアドレスのドメインまで違うと大変すぎる・・・
いったんローカルに作ったAD環境は簡単にはドメイン名変更、各ユーザーのID変更は出来ない状況かと思います。ADサーバの情報を使って会社内部向けの基幹アプリアプリケーションがある所は特に無理かと思います。
Azure AD Connect をダウンロードする
Azure Active Directory 管理センター – 会社名 – Azure AD Connect
Azure Active Directory Connect Health – クイック スタート
赤枠をクリックすると以下のサイトにリダイレクトしました。
直接URLに行きダウンロードしても良いと思います。
Microsoft Azure Active Directory Connect
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Azure AD ConnectサーバにDNSサフィックスを追加する
Windows管理ツールにある「Active Directry ドメインと信頼関係」を開きます。そして赤枠の部分を右クリックし、プロパティを表示します。
ここにOffice365側で設定しているドメイン名を設定します。
AD管理ユーザーの権限を確認・追加する
Azure AD Connectのインストール中、AD管理ユーザーのユーザー情報を入力する箇所があります。この場合、「Enterprise Admins」の権限が必要となります。未設定の場合は先に設定しておきます。
Azure AD Connect のインストール
ダウンロードしたexeをダブルクリックし、実際にインストールして行きます。
インストール画面を起動後、「カスタムインストール」をクリックします。
パススルー、シングルサインオンにチェックします。
設定した情報を入力します。
設定した情報を入力します。
今回、AD側のユーザープリンシパル名では同期せず、メールアドレスを使用して同期することにします。
ディレクト全部を同期しても良いですが、今回は必要最小限のディレクトリを同期します。
mS-DS-ConsistencyGridを選択します。
お好みで。パスワードハッシュの同期を実施すると、AD側のユーザーパスワードがAzure AD側にも保存されます。企業ポリシーで外部保存が出来ない場合は、ここのチェックはしないでください。
お好みで。全部同期しても問題ないかと思います。
お好みで。さすがにExchange属性選別は面倒なので全部としました。
ここは確かそのままでよかったはずです。
ここからは確認画面が出て完了となります。
画像の順番が間違っている可能性がありますが、ご了承ください。