Active Directoryのオブジェクトを「ディレクトリ同期ツール」でクラウドに同期する：Office 365運用管理入門（9）

現在、オンプレミスのActive DirectoryからOffice 365（Azure Active Directory）へ、アカウント情報を同期するためのツールがいくつかある。今回は、現在利用可能なディレクトリ同期ツールと今後の展開を確認する。

[宮川麻里，株式会社IPイノベーションズ]

連載目次

複数あるディレクトリ同期ツール、どれを使えばよい？

　今回は、オンプレミスのActive Directory環境にあるユーザー情報やグループ、連絡先などのオブジェクトを、Office 365の「Microsoft Azure Active Directory」（以下、Azure AD）に同期するための「ディレクトリ同期ツール」を紹介する。マイクロソフトは複数の同期ツールを提供しているので、それらの機能の違いや導入・構成手順なども解説していこう。

［ツール その1］Azure Active Directory同期ツール（DirSync）

　まずは、本連載第1回（Office 365ユーザーアカウントを作成する）でも紹介した、「Azure Active Directory同期ツール」（以下、DirSync）から紹介していこう。DirSyncは、オンプレミスのActive DirectoryのオブジェクトをクラウドID（Office 365）に同期するためのツールだ。システム要件などは、本連載第1回を参照してほしい。

• Azure Active Directory同期ツール（DirSync）（Microsoft Azure）

　2015年7月上旬現在で「Office 365管理センター」からダウンロード可能な同期ツールは、このDirSyncだ。Office 365の管理者にとっては一番なじみ深いツールだろう。

　DirSyncの同期対象は、オンプレミスのシングルフォレストのActive Directory環境のみとなる。また、同期可能なオブジェクト（ユーザー、グループ、連絡先など）の数は、既定では5万に制限されている。5万以上のオブジェクトを同期させる場合には「SQL Server Express」（既定値）ではなく、SQL Serverを利用する必要がある。

［ツール その2］Microsoft Azure Active Directory Sync Services

　「Microsoft Azure Active Directory Sync Services」（以下、AADSync）は、DirSyncの機能拡張版という位置付けのツールだ。単一のOffice 365テナントに対して、マルチフォレストのActive Directory環境を同期することができる。AADSyncは、以下のマイクロソフトのWebサイトから入手できる。

• Microsoft Azure Active Directory Sync Services［英語］（Microsoft Download Center）

　AADSyncの構成時には、オンプレミスのActive DirectoryユーザーとOffice 365（Azure AD）上のユーザー属性のマッピングをリストから選択できるようになっている。また、AADSyncをインストールする環境にDirSyncが導入済みの場合は、事前にDirSyncをアンインストールしておく必要があることに注意してほしい。

　AADSyncのインストーラーを起動してセットアップを開始すると、Office 365（Azure AD）の全体管理者の「Azure AD資格情報」と、フォレストのActive Directoryドメイン管理者の「資格情報」を入力するように求められる（画面1）。マルチフォレストであれば「フォレストの追加」ボタンをクリックすることで、別のフォレスト情報を登録できる。

画面1　オンプレミスのActive Directoryドメイン管理者の「資格情報」入力画面。マルチフォレスト環境では、追加で登録することが可能だ

　続いて、オンプレミスのActive Directoryのユーザー情報と、Office 365（Azure AD）に登録されているユーザー情報の属性でマッピングする項目をリストから選択する（画面2）。

画面2　どのユーザー属性をマッピングするかをリストから選択する

　「オプション機能」画面では、「パスワードライトバック」と「Azure ADアプリと属性フィルター」が新たに追加されている（画面3）。パスワードライトバックは、Azure ADから更新したパスワードをオンプレミスのActive Directoryに書き戻すための機能（Azure Premiumの契約が必要）。また、Azure ADアプリと属性フィルターは、同期対象の属性やサービスを限定するために利用する。

画面3　AADSyncのオプション画面。設定項目がDirSyncよりも増えている

　AADSyncでは、DirSyncから格段に機能が増えていることを理解していただけただろう。AADSyncの詳細情報に関しては、以下のWebサイトを参照していただきたい。

• Azure Active Directory同期サービスのインストール（Microsoft Azure）

［ツール その3］Azure Active Directory Connect

　2015年6月末に一般公開された最新の同期ツールが「Azure Active Directory Connect」（以下、Azure AD Connect）だ。Azure AD Connectは、DirSyncやAADSyncの機能を全て備え、さらなる機能拡張が図られている。

• Azure AD Connect & Connect Health is now GA！［英語］（Microsoft TechNet Blogs）

　Azure AD Connectが一般公開されてことで、今後、DirSyncやAADSyncのバージョンアップは行われなくなる予定だ。本稿執筆時点（2015年7月上旬現在）では、DirSync／AADSyncともにマイクロソフトのサポート対象となっているが、いずれサポート終了になることが懸念される。

　これまで、DirSyncやAADSyncに慣れ親しんできた管理者で、今後も同期ツールを利用する機会があるならば、タイミングを見て最新のAzure AD Connectに乗り換えることをお勧めする。Azure AD Connectには、DirSyncやAADSyncが備えていた「属性情報による同期のオプション」や「パスワードの書き戻しが可能」の他にも以下のような特徴がある。

• Azure AD Connectの構成設定の簡略化
• Active Directory以外の認証基盤の利用も可能（予定）
• Azure AD Connectの構成画面から「Active Directoryフェデレーションサービス（AD FS）」へのシングルサインオン（SSO）設定が可能

　特に、「Active Directory以外の認証基盤も利用可能にする予定」については、実装されると以下の図1のような構成が実現できる可能性がある。

図1　Azure AD Connectが可能にするシステム構成イメージ

Azure AD Connectのインストール手順

　ここからは、Azure AD Connectの具体的なインストール手順を解説していく。まずは、以下のWebサイトからインストールファイル「AzureADConnect.msi」をダウンロードしよう。

• Microsoft Azure Active Directory Connect［英語］（Microsoft Download Center）

　（1）インストールファイル「AzureADConnect.msi」を実行して最初に表示される「Welcome to Azure AD Connect」画面で使用許諾に同意し、「Continue」をクリックする（画面4）。

画面4　インストール実行時最初の画面。ここでは使用許諾に同意して次に進もう

　（2）次の「Express Settings」画面では、画面下の「Customize」か「Use express settings」のどちらかを選択してボタンをクリックする（画面5）。シングルフォレスト環境で展開する場合や、ディレクトリ同期の設定のみ行う場合には、簡単に設定できる「Use express settings」を選択するとよいだろう。

画面5　設定方法の選択画面。初期値は「Use express settings」になっている

　「Express Settings」を選択した場合には、以下のような設定が行われる。

• 現在のオンプレミスのActive Directoryフォレストで同期を構成
• オンプレミスのActive DirectoryとAzure ADとの間でパスワードを同期
• 同期の開始
• 全ての属性情報の同期

　これ以外の設定が必要な場合、例えばシングルサインオンの設定を行う場合などは、「Customize」を選択するように求められる（画面6）。今回は「Use express settings」（簡易設定）で構成を進める。

画面6　「Customize」をクリックすると表示される画面

　（3）Office 365（Azure AD）の全体管理者と、オンプレミスのActive Directoryドメイン管理者の「資格情報」をそれぞれ入力してウィザードを進めると、「Ready to configure」（準備完了）画面が表示されるので「Install」ボタンをクリックする（画面7）。

画面7　構成の準備が完了した画面。ここで「Install」ボタンが表示される

　（4）「Install」ボタンをクリックした後の「Configure」（構成）画面では、SQL Server Expressのデータベースが構成されている様子が分かる（画面8）。

画面8　構成中の画面では、何が設定されているのかが表示される（ここではSQL Server Expressのデータベースが構成されている）

　（5）数分で「Configuration Complete」（構成完了）画面が表示され、インストールが完了する。これで、すぐに同期を開始することが可能だ。

Azure AD Connectの同期フィルターの作成

　Azure AD Connectのインストールが完了すると、インストールしたサーバーのアプリ画面に「Azure AD Connect」カテゴリが作成され、後述する「構成ツール」がインストールされていることが確認できる。

　条件によって同期対象を選択する必要がある場合などは、構成ツールを利用して同期内容をカスタマイズすることも可能だ。

　ただし、構成ツールはマイクロソフトのID／セキュリティ管理製品「Microsoft Identity Manager（MIM）」（旧名「Forefront Identity Manager」）がベースになっているので、操作にはMIMの知識がある程度必要になることに注意してほしい。

構成ツールの概要

［1］Azure AD Connect

　「Azure AD Connect」では、現在の構成の確認やフォレストの追加などの変更操作が行える。

［2］Synchronization Rules Editor

　「Synchronization Rules Editor」では、詳細な同期ルールを作成できる（画面9）。「inbound」がオンプレミスのActive Directory、「outbound」がOffice 365（Azure AD）になる。この次の画面で、どちらの設定か、どのオブジェクトを利用するかなどを指定していく。

画面9　Synchronization Rules Editorでは、詳細な「同期ルール」を作成できる

［3］Synchronization Service Manager

　「Synchronization Service Manager」は、DirSyncの「miisclient.exe」で実行するフィルタリング操作とほぼ同じであるため、以前から利用しているユーザーには違和感なく使うことができるだろう。例えば「営業部OUのみ」「Contosoドメインのみ」など、条件による同期を実行できる（画面10）。

画面10　Synchronization Service Managerでは、条件による同期を簡単に実行できる

［4］Synchronization Service Key Management

　「Synchronization Service Key Management」では、ウィザード形式で同期データの暗号化キーをエクスポートしたり、管理したりすることができる（画面11）。詳細は以下のサイトを参照してほしい。

画面11　Service Key Managementでは、同期データの暗号化キーを管理できる

• Azure AD Connect Synchronization rules editor［英語］（Microsoft Azure）

　長らく試行錯誤されてきたディレクトリの同期処理も、ここにきてようやく一本化されつつある。今後もAzure AD Connectにはさらなる拡張が見込まれている。

　また、Azure AD Connectと同時に一般公開されたツールとして「Azure Active Directory Connect Health」（以下、Azure AD Connect Health）がある。Azure AD Connect HealthはAzure側からオンプレミスのActive Directoryフェデレーションサービス（AD FS）のログイン状態やリソースパフォーマンスなどを監視するツールだ（利用にはAzure AD Premiumの契約が必要）。

• Azure Active Directory Connect Health（Microsoft Azure）

　Office 365を構成する上では、Microsoft Azureがやはり避けては通れなくなりつつある。どちらも進化の速いテクノロジだが、ぜひ興味を持って試してみていただきたい。今回紹介したAzure AD Connect、Azure AD Connect Healthの具体的な実装方法については、次回以降で解説していく。

「Office 365運用管理入門」バックナンバー

• Azure Active Directory（Azure AD）
• Office 365のセキュリティとコンプライアンスをさらに強化する
• Office 2016を社内で展開する二つの方法
• 最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する
• Active Directoryのオブジェクトを「ディレクトリ同期ツール」でクラウドに同期する
• 「コンプライアンスセンター」でOffice 365のコンプライアンス管理を強化する
• OneDriveのセキュリティをRMSで強化する
• Office 365のモバイルデバイス管理機能
• Office 365のセキュリティを強化する「多要素認証」
• Office 365の監視とトラブル解決に使えるツール
• Exchange Onlineでメールのセキュリティ対策を設定する
• Officeアプリケーションを展開する
• Office 365のユーザーアカウントを作成する

筆者紹介

宮川 麻里（みやかわ まり）

株式会社IPイノベーションズ所属のマイクロソフト認定トレーナー。主に、Windows Server Active Directory、SQL Server、Office 365などを担当し、マイクロソフト認定コースや要望に沿ったカスタマイズコースを実施している。Microsoft MVP for Office 365（Jul 2015 - Jun 2016）を受賞。