■Azure AD Connect ダウンロード
https://www.microsoft.com/en-us/download/details.aspx?id=47594
※言語が「English」ですが、インストール後に起動するウィザードは日本語です(OSの言語設定に依存)。
■初期設定
インストール完了後、設定ウィザードが起動します。
①ライセンス条項への同意
②「簡単設定を使う」or 「カスタマイズ」の選択(今回は簡単設定を選択します。)
③Azure ADへの接続アカウントを入力(●●●@●●●.onmicrosoft.comアカウントを入力します。)
④Active Directoryに接続
接続が完了すると、自動的に「Active DirectoryのUPNサフィックス」を取得、表示してくれます。
更に、Office365に登録されているドメインと比較し、一致しているか?を確認してくれます。
(ADのUPNサフィックスがOffice365にドメインに登録されているか?ということです。)
「一部のUPNサフィックスが確認済みドメインに一致しなくても続行する」にチェックを入れて「次に」進みます。
⑥構成の確認
⑦完了!
とても簡単ですね。ただ、このままですとADの情報を全て同期してしまうので、特定のOU配下を同期対象にするなど、オプション設定をお勧めします。「ADConnect」を起動すると「追加のタスク」画面が表示されます。
「同期オプションのカスタマイズ」で、同期対象OUなどを指定することができます。
その他、パスワードの書き戻しや拡張属性を同期対象とするなど、細かい設定ができます。
■その他メモ
Azure AD Connectを導入したサーバにて、PowerShellから同期停止、同期開始が実行できます。
・同期を開始する場合
Start-ADSyncSyncCycle
・同期を停止する場合
Stop-ADSyncSyncCycle
ADConnectの同期を停止しただけでは、Office365側は同期の非アクティブ化がされません。PowerShellからOffice365へ「connect-MsolService」で接続、以下のコマンドで「同期の非アクティブ化」をしてください。なお、反映にはかなり時間がかかるようです。
Set-MsolDirSyncEnabled –EnableDirSync $false
非アクティブ化がされていない状態でID管理製品などからID同期を行おうとすると、以下のようなメッセージが表示されるようです。また、Office365の管理画面よりアカウントの作成はできるようですが、Exchange属性の編集を行おうとすると同様なエラーが発生することを確認しています。
選択されたユーザー アカウントは、テナント ‘●●●●’ に存在しないため、そのテナントのアプリケーション ‘●●●●’ にアクセスできません。最初に、アカウントをテナントの外部ユーザーとして追加してください。別のアカウントをお使いください。
PowerShellからOffice365へ「connect-MsolService」で接続、以下のコマンドで同期のアクティブ/非アクティブが確認できます。
Get-MsolCompanyInformation | Select-Object DirectorySynchronizationEnabled
昔に比べてとても使いやすくなっていると感じました。次回はADFSがない環境でもADで認証を行う「パススルー認証」機能について検証してみたいと思います。「Azure AD Connect」をちゃんと使いこなせば、「社内ADでアカウント管理 + Officew365の多要素認証」という環境が出来上がるので、お金をかけずにOffice365に対するセキュリティを高めることができると思います。