現在、オンプレミスのActive DirectoryからOffice 365(Azure Active Directory)へ、アカウント情報を同期するためのツールがいくつかある。今回は、現在利用可能なディレクトリ同期ツールと今後の展開を確認する。
今回は、オンプレミスのActive Directory環境にあるユーザー情報やグループ、連絡先などのオブジェクトを、Office 365の「Microsoft Azure Active Directory」(以下、Azure AD)に同期するための「ディレクトリ同期ツール」を紹介する。マイクロソフトは複数の同期ツールを提供しているので、それらの機能の違いや導入・構成手順なども解説していこう。
まずは、本連載第1回(Office 365ユーザーアカウントを作成する)でも紹介した、「Azure Active Directory同期ツール」(以下、DirSync)から紹介していこう。DirSyncは、オンプレミスのActive DirectoryのオブジェクトをクラウドID(Office 365)に同期するためのツールだ。システム要件などは、本連載第1回を参照してほしい。
2015年7月上旬現在で「Office 365管理センター」からダウンロード可能な同期ツールは、このDirSyncだ。Office 365の管理者にとっては一番なじみ深いツールだろう。
DirSyncの同期対象は、オンプレミスのシングルフォレストのActive Directory環境のみとなる。また、同期可能なオブジェクト(ユーザー、グループ、連絡先など)の数は、既定では5万に制限されている。5万以上のオブジェクトを同期させる場合には「SQL Server Express」(既定値)ではなく、SQL Serverを利用する必要がある。
「Microsoft Azure Active Directory Sync Services」(以下、AADSync)は、DirSyncの機能拡張版という位置付けのツールだ。単一のOffice 365テナントに対して、マルチフォレストのActive Directory環境を同期することができる。AADSyncは、以下のマイクロソフトのWebサイトから入手できる。
AADSyncの構成時には、オンプレミスのActive DirectoryユーザーとOffice 365(Azure AD)上のユーザー属性のマッピングをリストから選択できるようになっている。また、AADSyncをインストールする環境にDirSyncが導入済みの場合は、事前にDirSyncをアンインストールしておく必要があることに注意してほしい。
AADSyncのインストーラーを起動してセットアップを開始すると、Office 365(Azure AD)の全体管理者の「Azure AD資格情報」と、フォレストのActive Directoryドメイン管理者の「資格情報」を入力するように求められる(画面1)。マルチフォレストであれば「フォレストの追加」ボタンをクリックすることで、別のフォレスト情報を登録できる。
続いて、オンプレミスのActive Directoryのユーザー情報と、Office 365(Azure AD)に登録されているユーザー情報の属性でマッピングする項目をリストから選択する(画面2)。
「オプション機能」画面では、「パスワードライトバック」と「Azure ADアプリと属性フィルター」が新たに追加されている(画面3)。パスワードライトバックは、Azure ADから更新したパスワードをオンプレミスのActive Directoryに書き戻すための機能(Azure Premiumの契約が必要)。また、Azure ADアプリと属性フィルターは、同期対象の属性やサービスを限定するために利用する。
AADSyncでは、DirSyncから格段に機能が増えていることを理解していただけただろう。AADSyncの詳細情報に関しては、以下のWebサイトを参照していただきたい。
2015年6月末に一般公開された最新の同期ツールが「Azure Active Directory Connect」(以下、Azure AD Connect)だ。Azure AD Connectは、DirSyncやAADSyncの機能を全て備え、さらなる機能拡張が図られている。
Azure AD Connectが一般公開されてことで、今後、DirSyncやAADSyncのバージョンアップは行われなくなる予定だ。本稿執筆時点(2015年7月上旬現在)では、DirSync/AADSyncともにマイクロソフトのサポート対象となっているが、いずれサポート終了になることが懸念される。
これまで、DirSyncやAADSyncに慣れ親しんできた管理者で、今後も同期ツールを利用する機会があるならば、タイミングを見て最新のAzure AD Connectに乗り換えることをお勧めする。Azure AD Connectには、DirSyncやAADSyncが備えていた「属性情報による同期のオプション」や「パスワードの書き戻しが可能」の他にも以下のような特徴がある。
特に、「Active Directory以外の認証基盤も利用可能にする予定」については、実装されると以下の図1のような構成が実現できる可能性がある。
ここからは、Azure AD Connectの具体的なインストール手順を解説していく。まずは、以下のWebサイトからインストールファイル「AzureADConnect.msi」をダウンロードしよう。
(1)インストールファイル「AzureADConnect.msi」を実行して最初に表示される「Welcome to Azure AD Connect」画面で使用許諾に同意し、「Continue」をクリックする(画面4)。
(2)次の「Express Settings」画面では、画面下の「Customize」か「Use express settings」のどちらかを選択してボタンをクリックする(画面5)。シングルフォレスト環境で展開する場合や、ディレクトリ同期の設定のみ行う場合には、簡単に設定できる「Use express settings」を選択するとよいだろう。
「Express Settings」を選択した場合には、以下のような設定が行われる。
これ以外の設定が必要な場合、例えばシングルサインオンの設定を行う場合などは、「Customize」を選択するように求められる(画面6)。今回は「Use express settings」(簡易設定)で構成を進める。
(3)Office 365(Azure AD)の全体管理者と、オンプレミスのActive Directoryドメイン管理者の「資格情報」をそれぞれ入力してウィザードを進めると、「Ready to configure」(準備完了)画面が表示されるので「Install」ボタンをクリックする(画面7)。
(4)「Install」ボタンをクリックした後の「Configure」(構成)画面では、SQL Server Expressのデータベースが構成されている様子が分かる(画面8)。
(5)数分で「Configuration Complete」(構成完了)画面が表示され、インストールが完了する。これで、すぐに同期を開始することが可能だ。
Azure AD Connectのインストールが完了すると、インストールしたサーバーのアプリ画面に「Azure AD Connect」カテゴリが作成され、後述する「構成ツール」がインストールされていることが確認できる。
条件によって同期対象を選択する必要がある場合などは、構成ツールを利用して同期内容をカスタマイズすることも可能だ。
ただし、構成ツールはマイクロソフトのID/セキュリティ管理製品「Microsoft Identity Manager(MIM)」(旧名「Forefront Identity Manager」)がベースになっているので、操作にはMIMの知識がある程度必要になることに注意してほしい。
[1]Azure AD Connect
「Azure AD Connect」では、現在の構成の確認やフォレストの追加などの変更操作が行える。
[2]Synchronization Rules Editor
「Synchronization Rules Editor」では、詳細な同期ルールを作成できる(画面9)。「inbound」がオンプレミスのActive Directory、「outbound」がOffice 365(Azure AD)になる。この次の画面で、どちらの設定か、どのオブジェクトを利用するかなどを指定していく。
[3]Synchronization Service Manager
「Synchronization Service Manager」は、DirSyncの「miisclient.exe」で実行するフィルタリング操作とほぼ同じであるため、以前から利用しているユーザーには違和感なく使うことができるだろう。例えば「営業部OUのみ」「Contosoドメインのみ」など、条件による同期を実行できる(画面10)。
[4]Synchronization Service Key Management
「Synchronization Service Key Management」では、ウィザード形式で同期データの暗号化キーをエクスポートしたり、管理したりすることができる(画面11)。詳細は以下のサイトを参照してほしい。
長らく試行錯誤されてきたディレクトリの同期処理も、ここにきてようやく一本化されつつある。今後もAzure AD Connectにはさらなる拡張が見込まれている。
また、Azure AD Connectと同時に一般公開されたツールとして「Azure Active Directory Connect Health」(以下、Azure AD Connect Health)がある。Azure AD Connect HealthはAzure側からオンプレミスのActive Directoryフェデレーションサービス(AD FS)のログイン状態やリソースパフォーマンスなどを監視するツールだ(利用にはAzure AD Premiumの契約が必要)。
Office 365を構成する上では、Microsoft Azureがやはり避けては通れなくなりつつある。どちらも進化の速いテクノロジだが、ぜひ興味を持って試してみていただきたい。今回紹介したAzure AD Connect、Azure AD Connect Healthの具体的な実装方法については、次回以降で解説していく。
株式会社IPイノベーションズ所属のマイクロソフト認定トレーナー。主に、Windows Server Active Directory、SQL Server、Office 365などを担当し、マイクロソフト認定コースや要望に沿ったカスタマイズコースを実施している。Microsoft MVP for Office 365(Jul 2015 - Jun 2016)を受賞。
Copyright © ITmedia, Inc. All Rights Reserved.