二つ目のユーザー管理方法は「ディレクトリ同期ツール」を利用して、オンプレミスのActive Directory(以下、社内AD)とクラウドのAzure Active Directoryとの間でアカウントを同期する方法になる(画面4)。
この方法により、社内システムで利用しているサインインIDを、Office 365へのサインインでもそのまま利用できるようになる。
社員の異動があった場合でも、社内ADの情報を更新すれば、その情報はAzure Active Directory側へ同期できるため、管理者の負荷は軽減される。ユーザーも社内システムと同じIDでOffice 365にサインインができるため、積極的にOffice 365を活用することが期待できる。
ディレクトリ同期ツールのインストールには、社内ADの「Enterprise Admins」権限と、Office 365の「全体管理者」権限が必要になる(画面5、画面6)。ディレクトリ同期ツールを実行すると、同期を構成するためのウィザードが起動するので、指示に従って設定していけばよい。
構成ウィザードの「パスワード同期」の画面で「パスワード同期を有効にする」にチェックを入れると、社内ADのID、パスワードでOffice 365へのサインインが可能になる(画面7)。
ディレクトリ同期ツールによるアカウント情報の同期は、社内AD側からの“一方通行”になる。「同期」というよりは、「コピー」に近いだろう。よって、社内ADで変更した情報はOffice 365にも反映されるが、「Office 365管理センター」でアカウントを削除したり、属性を変更したりすることはできない。
また、「サインイン」という操作と「認証」に関しては、社内ADとOffice 365のそれぞれで行われることに注意してほしい(図2)。
アカウントの差分情報を同期する間隔は既定では「3時間」となっているが、新規にユーザーを追加したり、属性を変更したりした場合など、更新情報をすぐに反映させるにはWindows PowerShellを使用する。
Windows PowerShellを起動して、次のコマンドを実行することで強制同期が実行され、更新情報が即座にAzure Active Directory側に同期される。
Import-Module DirSync
Start-OnlineCoExistenceSync
なお、ディレクトリ同期ツールによるアカウント展開方法のシステム要件は、表2の通りだ。
ディレクトリ同期ツールを稼働させるコンピューターは、そのドメインのメンバーコンピューターであることが前提条件となる。通常であれば、前出の図2のように別途ディレクトリ同期ツール用のコンピューターを用意すればよいのだが、現バージョンのディレクトリ同期ツールはドメインコントローラーにインストールすることも可能になっている。
物理マシンを追加で用意する必要がなくなったため、導入時の敷居は低くなったといえるだろう。ただし、ドメインコントローラーとしてのパフォーマンス低下やトラブル発生時の問題切り分けの困難さを考慮してか、マイクロソフトはドメインコントローラーにディレクトリ同期ツールをインストールすることを推奨していない。そのため、ドメインコントローラーにインストールする際は、十分注意して各自の責任で行ってほしい。
また、同期を行う前には、アカウントの属性情報に使用禁止文字(空白、@など)が使われていないか、ユーザープリンシパル名(userPrincipalName:UPN)の重複がないかなど、Active Directoryのクリーンアップが必要かどうかも確認しよう。詳細は以下の情報を確認してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.