第2回 Office 365とのアイデンティティ基盤連携を実現する（前）：クラウド・サービスと社内システムとのID連携 最新トレンド（3/3 ページ）

[富士榮 尚寛（Microsoft MVP - Forefront Identity Manager），伊藤忠テクノソリューションズ株式会社]

ディレクトリ同期を構成する

　次は社内AD DSとOffice 365上のアカウント同期（ディレクトリ同期）の構成を行う。ディレクトリ同期を行うためには以下の2つのステップを実行する必要がある。

1. Active Directory同期をアクティブ化する
2. ディレクトリ同期ツールをセットアップする

●Active Directory同期をアクティブ化する

　本設定を行うとOffice 365内でアカウントの源泉（権限ソース。マスタ）がOffice 365側からオンプレミスのActive Directoryへ変更される。設定後、アカウント管理はオンプレミス側をマスタとして実行されるため、オンプレミスのActive Directoryに対して実施したアカウントの追加や変更や削除などの操作がOffice 365へも反映されることになる。なお、本設定を行ってから実際にActive Directory同期がアクティブ化されるまでには半日から一日程度時間がかかる。そこで前述のSSOやAD FS 2.0の設定をする前に、あらかじめアクティブ化を行っておくと作業時間を短縮できる。

　Active Directory同期をアクティブ化するには、前述したSSOからディレクトリ同期までの作業手順ページにある6番目の手順において、［アクティブ化］ボタンをクリックする。

Active Directory同期をアクティブ化する
これは前述したSSOからディレクトリ同期までの作業手順ページ。6番目の手順に注目する。
　 （1）これをクリックすると（2）の確認ダイアログが表示される。
　 （2）これをクリックするとアクティブ化が始まる。

　しばらく待つとActive Directory同期がアクティブ化される。

Active Directory同期がアクティブ化された
　 （1）アクティブ化が完了すると、このように表示される。

●ディレクトリ同期ツールをセットアップする

　次はオンプレミスのサーバにディレクトリ同期を行うためのツールをセットアップする。同じくOffice 365の管理者ポータルからダウンロードが可能だが、インストールを行う前に前提となる環境を用意しておく必要がある。

準備物	内容
OS環境	ドメインに参加しているWindows Server 2008（64bit版）もしくはWindows Server 2008 R2 ※ドメイン・コントローラとの同居は不可
前提ソフトウェア	・Windows Server 2008の場合はディレクトリ同期用のPowerShellモジュール ・.NET Framework 3.5.1（Ver. 3.5 SP1）
ユーザー・アカウント	社内Active Directoryのオブジェクトへアクセスする権限を持つユーザー
ディレクトリ同期ツールをインストールするための環境準備

　ディレクトリ同期ツールをダウンロードするには、前述の作業手順ページにある7番目の手順の［ダウンロード］ボタンをクリックする。ダウンロードしたモジュールを実行するとインストールが開始される。インストールが完了するとMicrosoft Online Servicesディレクトリ同期構成ウィザードが開始されるので、まずMicrosoft Online Services管理者のIDとパスワード、次にActive Directoryエンタープライズ管理者のIDとパスワードをそれぞれ入力する。

Microsoft Online Servicesディレクトリ同期構成ウィザード
次の2種類の管理者のユーザー名とパスワードを順番に入力する。
　 （1）まずMicrosoft Online Services管理者の資格情報を入力し、［次へ］ボタンをクリックする。
　 （2）Active Directoryエンタープライズ管理者の資格情報を入力する。

　セットアップが完了するとディレクトリの同期が自動的に開始され、正常に同期が行われるとOffice 365の管理ポータル上から同期されたユーザーを確認できる。

ディレクトリ同期でOffice 365上に作成されたユーザー
　 （1）このマークが付いているアカウントが、同期されたユーザーである。

Graph APIによるアカウント管理機能について

　Office 365のアイデンティティ基盤であるWindows Azure Active Directoryでは現在、Graph APIによるアカウント管理機能のプレビュー版が利用できる。本稿での詳細な解説は割愛するので、概要については以下のページを参照していただきたい。

• Windows Azure Active Directory Graph（マイクロソフトMSDN）
• ［WAAD］ REST Client で Graph API を直接実行する（IdM実験室）

Office 365のライセンス割り当て

　ディレクトリ同期でOffice 365／Windows Azure Active Directory上に作成されたアカウントは、同期されただけの状態ではOffice 365のライセンスが割り当てられていないため、Exchange OnlineやLync Onlineを利用できない。そこで、ライセンスの割り当てをOffice 365の管理者ポータルから実施する。ユーザー一覧から同期されたユーザーを選択し、［ライセンス］をクリックして必要なライセンスを割り当てる。

ライセンスの割り当て
Office 365の管理者ポータルからユーザー管理画面を開き、ユーザー一覧から同期されたユーザーを選ぶと、この画面が表示される。
　 （1）これをクリックする。
　 （2）必要なライセンスにチェックを入れてオンにする。

　なお、PowerShellコマンドレットでライセンスを割り当てることも可能なので、実運用環境ではスクリプトを作成して一括でライセンス割り当てを行うことも多い。

• Office 365用PowerShellコマンドレットの解説（マイクロソフト Office 365オンライン・ヘルプ）

---

　ここまでの作業で社内のAD DSとOffice 365のアカウントが同期され、SSOのための環境構築が完了した。次回は、実際に社内／社外、Webブラウザ／Outlook／スマートフォンなどのさまざまな環境からOffice 365を利用した際の動作を確認していく。

次の回へ »

「クラウド・サービスと社内システムとのID連携 最新トレンド」