Active Directoryのオブジェクトを「ディレクトリ同期ツール」でクラウドに同期するOffice 365運用管理入門(9)

現在、オンプレミスのActive DirectoryからOffice 365(Azure Active Directory)へ、アカウント情報を同期するためのツールがいくつかある。今回は、現在利用可能なディレクトリ同期ツールと今後の展開を確認する。

» 2015年07月22日 05時00分 公開
[宮川麻里株式会社IPイノベーションズ]
「Office 365運用管理入門」のインデックス

連載目次

複数あるディレクトリ同期ツール、どれを使えばよい?

 今回は、オンプレミスのActive Directory環境にあるユーザー情報やグループ、連絡先などのオブジェクトを、Office 365の「Microsoft Azure Active Directory」(以下、Azure AD)に同期するための「ディレクトリ同期ツール」を紹介する。マイクロソフトは複数の同期ツールを提供しているので、それらの機能の違いや導入・構成手順なども解説していこう。

[ツール その1]Azure Active Directory同期ツール(DirSync)

 まずは、本連載第1回(Office 365ユーザーアカウントを作成する)でも紹介した、「Azure Active Directory同期ツール」(以下、DirSync)から紹介していこう。DirSyncは、オンプレミスのActive DirectoryのオブジェクトをクラウドID(Office 365)に同期するためのツールだ。システム要件などは、本連載第1回を参照してほしい。

 2015年7月上旬現在で「Office 365管理センター」からダウンロード可能な同期ツールは、このDirSyncだ。Office 365の管理者にとっては一番なじみ深いツールだろう。

 DirSyncの同期対象は、オンプレミスのシングルフォレストのActive Directory環境のみとなる。また、同期可能なオブジェクト(ユーザー、グループ、連絡先など)の数は、既定では5万に制限されている。5万以上のオブジェクトを同期させる場合には「SQL Server Express」(既定値)ではなく、SQL Serverを利用する必要がある。

[ツール その2]Microsoft Azure Active Directory Sync Services

 「Microsoft Azure Active Directory Sync Services」(以下、AADSync)は、DirSyncの機能拡張版という位置付けのツールだ。単一のOffice 365テナントに対して、マルチフォレストのActive Directory環境を同期することができる。AADSyncは、以下のマイクロソフトのWebサイトから入手できる。

 AADSyncの構成時には、オンプレミスのActive DirectoryユーザーとOffice 365(Azure AD)上のユーザー属性のマッピングをリストから選択できるようになっている。また、AADSyncをインストールする環境にDirSyncが導入済みの場合は、事前にDirSyncをアンインストールしておく必要があることに注意してほしい。

 AADSyncのインストーラーを起動してセットアップを開始すると、Office 365(Azure AD)の全体管理者の「Azure AD資格情報」と、フォレストのActive Directoryドメイン管理者の「資格情報」を入力するように求められる(画面1)。マルチフォレストであれば「フォレストの追加」ボタンをクリックすることで、別のフォレスト情報を登録できる。

画面1 画面1 オンプレミスのActive Directoryドメイン管理者の「資格情報」入力画面。マルチフォレスト環境では、追加で登録することが可能だ

 続いて、オンプレミスのActive Directoryのユーザー情報と、Office 365(Azure AD)に登録されているユーザー情報の属性でマッピングする項目をリストから選択する(画面2)。

画面2 画面2 どのユーザー属性をマッピングするかをリストから選択する

 「オプション機能」画面では、「パスワードライトバック」と「Azure ADアプリと属性フィルター」が新たに追加されている(画面3)。パスワードライトバックは、Azure ADから更新したパスワードをオンプレミスのActive Directoryに書き戻すための機能(Azure Premiumの契約が必要)。また、Azure ADアプリと属性フィルターは、同期対象の属性やサービスを限定するために利用する。

画面3 画面3 AADSyncのオプション画面。設定項目がDirSyncよりも増えている

 AADSyncでは、DirSyncから格段に機能が増えていることを理解していただけただろう。AADSyncの詳細情報に関しては、以下のWebサイトを参照していただきたい。

[ツール その3]Azure Active Directory Connect

 2015年6月末に一般公開された最新の同期ツールが「Azure Active Directory Connect」(以下、Azure AD Connect)だ。Azure AD Connectは、DirSyncやAADSyncの機能を全て備え、さらなる機能拡張が図られている。

 Azure AD Connectが一般公開されてことで、今後、DirSyncやAADSyncのバージョンアップは行われなくなる予定だ。本稿執筆時点(2015年7月上旬現在)では、DirSync/AADSyncともにマイクロソフトのサポート対象となっているが、いずれサポート終了になることが懸念される。

 これまで、DirSyncやAADSyncに慣れ親しんできた管理者で、今後も同期ツールを利用する機会があるならば、タイミングを見て最新のAzure AD Connectに乗り換えることをお勧めする。Azure AD Connectには、DirSyncやAADSyncが備えていた「属性情報による同期のオプション」や「パスワードの書き戻しが可能」の他にも以下のような特徴がある。

  • Azure AD Connectの構成設定の簡略化
  • Active Directory以外の認証基盤の利用も可能(予定)
  • Azure AD Connectの構成画面から「Active Directoryフェデレーションサービス(AD FS)」へのシングルサインオン(SSO)設定が可能

 特に、「Active Directory以外の認証基盤も利用可能にする予定」については、実装されると以下の図1のような構成が実現できる可能性がある。

図1 図1 Azure AD Connectが可能にするシステム構成イメージ

Azure AD Connectのインストール手順

 ここからは、Azure AD Connectの具体的なインストール手順を解説していく。まずは、以下のWebサイトからインストールファイル「AzureADConnect.msi」をダウンロードしよう。

 (1)インストールファイル「AzureADConnect.msi」を実行して最初に表示される「Welcome to Azure AD Connect」画面で使用許諾に同意し、「Continue」をクリックする(画面4)。

画面4 画面4 インストール実行時最初の画面。ここでは使用許諾に同意して次に進もう

 (2)次の「Express Settings」画面では、画面下の「Customize」か「Use express settings」のどちらかを選択してボタンをクリックする(画面5)。シングルフォレスト環境で展開する場合や、ディレクトリ同期の設定のみ行う場合には、簡単に設定できる「Use express settings」を選択するとよいだろう。

画面5 画面5 設定方法の選択画面。初期値は「Use express settings」になっている

 「Express Settings」を選択した場合には、以下のような設定が行われる。

  • 現在のオンプレミスのActive Directoryフォレストで同期を構成
  • オンプレミスのActive DirectoryとAzure ADとの間でパスワードを同期
  • 同期の開始
  • 全ての属性情報の同期

 これ以外の設定が必要な場合、例えばシングルサインオンの設定を行う場合などは、「Customize」を選択するように求められる(画面6)。今回は「Use express settings」(簡易設定)で構成を進める。

画面6 画面6 「Customize」をクリックすると表示される画面

 (3)Office 365(Azure AD)の全体管理者と、オンプレミスのActive Directoryドメイン管理者の「資格情報」をそれぞれ入力してウィザードを進めると、「Ready to configure」(準備完了)画面が表示されるので「Install」ボタンをクリックする(画面7)。

画面7 画面7 構成の準備が完了した画面。ここで「Install」ボタンが表示される

 (4)「Install」ボタンをクリックした後の「Configure」(構成)画面では、SQL Server Expressのデータベースが構成されている様子が分かる(画面8)。

画面8 画面8 構成中の画面では、何が設定されているのかが表示される(ここではSQL Server Expressのデータベースが構成されている)

 (5)数分で「Configuration Complete」(構成完了)画面が表示され、インストールが完了する。これで、すぐに同期を開始することが可能だ。

Azure AD Connectの同期フィルターの作成

 Azure AD Connectのインストールが完了すると、インストールしたサーバーのアプリ画面に「Azure AD Connect」カテゴリが作成され、後述する「構成ツール」がインストールされていることが確認できる。

 条件によって同期対象を選択する必要がある場合などは、構成ツールを利用して同期内容をカスタマイズすることも可能だ。

 ただし、構成ツールはマイクロソフトのID/セキュリティ管理製品「Microsoft Identity Manager(MIM)」(旧名「Forefront Identity Manager」)がベースになっているので、操作にはMIMの知識がある程度必要になることに注意してほしい。

構成ツールの概要

[1]Azure AD Connect

 「Azure AD Connect」では、現在の構成の確認やフォレストの追加などの変更操作が行える。

[2]Synchronization Rules Editor

 「Synchronization Rules Editor」では、詳細な同期ルールを作成できる(画面9)。「inbound」がオンプレミスのActive Directory、「outbound」がOffice 365(Azure AD)になる。この次の画面で、どちらの設定か、どのオブジェクトを利用するかなどを指定していく。

画面9 画面9 Synchronization Rules Editorでは、詳細な「同期ルール」を作成できる

[3]Synchronization Service Manager

 「Synchronization Service Manager」は、DirSyncの「miisclient.exe」で実行するフィルタリング操作とほぼ同じであるため、以前から利用しているユーザーには違和感なく使うことができるだろう。例えば「営業部OUのみ」「Contosoドメインのみ」など、条件による同期を実行できる(画面10)。

画面10 画面10 Synchronization Service Managerでは、条件による同期を簡単に実行できる

[4]Synchronization Service Key Management

 「Synchronization Service Key Management」では、ウィザード形式で同期データの暗号化キーをエクスポートしたり、管理したりすることができる(画面11)。詳細は以下のサイトを参照してほしい。

画面11 画面11 Service Key Managementでは、同期データの暗号化キーを管理できる

 長らく試行錯誤されてきたディレクトリの同期処理も、ここにきてようやく一本化されつつある。今後もAzure AD Connectにはさらなる拡張が見込まれている。

 また、Azure AD Connectと同時に一般公開されたツールとして「Azure Active Directory Connect Health」(以下、Azure AD Connect Health)がある。Azure AD Connect HealthはAzure側からオンプレミスのActive Directoryフェデレーションサービス(AD FS)のログイン状態やリソースパフォーマンスなどを監視するツールだ(利用にはAzure AD Premiumの契約が必要)。

 Office 365を構成する上では、Microsoft Azureがやはり避けては通れなくなりつつある。どちらも進化の速いテクノロジだが、ぜひ興味を持って試してみていただきたい。今回紹介したAzure AD Connect、Azure AD Connect Healthの具体的な実装方法については、次回以降で解説していく。

筆者紹介

宮川 麻里(みやかわ まり)

株式会社IPイノベーションズ所属のマイクロソフト認定トレーナー。主に、Windows Server Active Directory、SQL Server、Office 365などを担当し、マイクロソフト認定コースや要望に沿ったカスタマイズコースを実施している。Microsoft MVP for Office 365(Jul 2015 - Jun 2016)を受賞。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。