「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その4）：vNextに備えよ！ 次期Windows Serverのココに注目（63：特別編）

Windows Server 2016による「Windows Hello for Business」のオンプレミス展開を検証し、実装のポイントやユーザーエクスペリエンスをレポート。今回は、Azure ADのディレクトリとオンプレミスのActive Directoryドメインのディレクトリ統合を解説します。

[山市良，テクニカルライター]

連載目次

Windows Hello for Businessのオンプレミス展開を実践・検証

　本稿では、最新版のWindows Server 2016とWindows 10を使用して「Windows Hello for Business」（旧称、Microsoft Passport for Work）のオンプレミス展開を実装し、その機能を検証していきます。

　前回は、「Active Directoryドメインサービス（AD DS）」のインストールと、ドメインコントローラーの展開ポイントを解説しました。今回は、「Azure Active Directory（Azure AD）」のディレクトリとオンプレミスのActive Directoryドメインのディレクトリ統合を解説します。

• Windows Helloとは（マイクロソフト）
• Windows Hello生体認証の企業利用（Windows IT Center）

「Azure AD Connect」でディレクトリ同期をセットアップ

　クラウドとオンプレミスの両方の環境が準備できたら、Windows Hello for Businessをオンプレミスに展開するために「Microsoft Azure Active Directory Connect（Azure AD Connect）」を使用して、Azure ADのディレクトリとオンプレミスのActive Directoryドメインのディレクトリ統合をセットアップします。

Azure ADのディレクトリにドメインを追加する

　Azureクラシックポータルで同期対象のディレクトリの「ドメイン」ページを開き、「追加」をクリックしてオンプレミスのActive DirectoryドメインのDNSドメイン名を入力します。また、「このドメインを構成して、ローカルActive Directoryにシングルサインオンします」をチェックして、「追加」をクリックします（画面1）。

画面1　Azure ADのディレクトリに同期対象のオンプレミスのActive Directoryドメインを追加する

　ドメインの追加が完了すると、「ディレクトリ統合」ページが開きます。「ディレクトリ統合」ページの「ローカルとの統合active directory」には、この時点で次のように表示されます。また、「ドメイン」ページでは追加したドメインの状態が「未確認」と表示されます。

• ディレクトリ同期用に確認済みのドメイン：0
• シングルサインオン用に計画されたドメイン：1
• シングルサインオン用に構成されたドメイン：0
• ディレクトリ同期：非アクティブ化済み

Azure AD Connectをインストールし同期を開始する

　次に、ディレクトリ同期コンポーネントのAzure AD Connectを、オンプレミスのActive Directoryドメインのメンバーサーバ（WebアプリケーションプロキシやActive Directoryフェデレーションサービスのサーバを使用可）にインストールして、ディレクトリ同期とシングルサインオン（SSO）のセットアップを行います。具体的な手順は、以下のようになります。

（1）Azure AD Connectをインストールするサーバに、以下の前提コンポーネントをインストールします。

• リモートサーバ管理ツールの「AD DSスナップインおよびコマンドラインツール」（RSAT-ADDS-Tools）
• リモートサーバ管理ツールの「Windows PowerShellのActive Directoryモジュール」（RSAT-AD-PowerShell）
• Windows PowerShell用Windows Azure Active Directoryモジュール

（2）以下のWebサイトからAzure AD Connectのインストーラー「AzureADConnect.msi」をダウンロードして実行します。

• Microsoft Azure Active Directory Connect（Microsoft Download Center）

（3）ダウンロードしたインストーラーを実行すると「Azure AD Connectウィザード」が自動開始するので、「簡単設定」のページで「カスタマイズ」を選択します（画面2）。

画面2　Windows Hello for Businessのオンプレミス展開のために「カスタマイズ」を選択する

　「簡単設定」を選択するとウィザードに設定をお任せできますが、後で「デバイスの書き戻し」オプションを有効化できないなどのトラブル原因となります。「デバイスの書き戻し」オプションの有効化が必要なWindows Hello for Businessのオンプレミス展開では、必ず「カスタマイズ」を選択してください。

（4）「必須コンポーネントのインストール」のページでは、必要に応じてオプションを構成して「インストール」をクリックします。サービスアカウントを事前に作成し、ここで指定するのがお勧めです。

（5）「ユーザーサインイン」のページでは、「構成しないでください」を選択して「次へ」をクリックします。

（6）「Azure ADに接続」のページで、Azure ADのテナントの管理者アカウントの資格情報を入力して「次へ」をクリックします。

（7）「ディレクトリの接続」のページで、オンプレミスのActive Directoryドメインとドメイン管理者の資格情報を入力し、「ディレクトリの追加」をクリックします。「構成済みディレクトリ」としてドメインが追加されたら、「次へ」をクリックします。

（8）「Azure ADサインインの構成」のページにオンプレミスのActive Directoryドメインが「Not Verified（未検証）」と表示されますが、「検証済みのドメインなしで続行する」をチェックして「次へ」をクリックします（画面3）。

画面3　ドメインの未検証状態のまま先に進める

（9）「ドメインとOUのフィルタリング」のページでは、「すべてのドメインとOUの同期」を選択して「次へ」をクリックします。または、同期したいユーザーやグループを含む組織単位（OU）だけを選択します。

（10）「一意のユーザー識別」のページは、何も変更せずに「次へ」をクリックします。

（11）「オプション機能」のページでは、この時点では何も選択せず、「次へ」をクリックします。

（12）「構成の準備完了」のページで、「インストール」をクリックします。構成の完了後、同期処理が開始します。

（13）Azure AD Connectウィザードでは、オンプレミスのActive Directoryドメインを未検証のまま進めました。ここで、Windows PowerShellを開き、次のコマンドラインを実行してドメインを検証するための作業を行います。

PS C:\> $aadAdminCred = Get-Credential	（Azure ADのテナント管理者の資格情報を入力）
PS C:\> Connect-MsolService -Credential $aadAdminCred
PS C:\> Set-MsolAdfsContext -Computer <Active DirectoryフェデレーションサーバのFQDN>
PS C:\> New-MsolFederatedDomain -DomainName <オンプレミスのActive DirectoryドメインのDNS名> -SupportMultipleDomain

ドメインを検証する

（14）上記4行目の「New-MsolFederatedDomain」コマンドレットはエラーで失敗します。警告メッセージに含まれる「MS=ms########」という文字列を控え、これをテキスト（TXT）レコードとしてインターネット向けのDNS（Active DirectoryのDNSサーバではない）に登録します。登録後、登録したTXTレコードがインターネット側から検索できるようになるまでしばらく待ってから、最後のコマンドラインを再実行します。今度は成功します（画面4）。

画面4　「New-MsolFederatedDomain」コマンドレットを実行して、オンプレミスのActive Directoryドメインを検証する

　ここまでで、Azure ADのディレクトリとオンプレミスのActive Directoryドメインとのディレクトリ統合の基本的な部分は完了です。Azureクラシックポータルでディレクトリの「ユーザー」や「グループ」ページを開くと、オンプレミスから同期されたユーザーやグループを確認できるはずです（画面5）。

画面5　オンプレミスのドメインユーザーアカウントがAzure ADのディレクトリに同期された。この時点で、Windows Hello for Businessを利用するドメインユーザーに対して、Azure AD Premium P1ライセンス（またはそれを含むライセンス）を割り当てておく

　また、「ドメイン」ページのディレクトリの状態は「確認済み」になり、「ディレクトリ統合」ページの「ローカルとの統合active directory」には、次のように表示されます。

• ディレクトリ同期用に確認済みのドメイン：1
• シングルサインオン用に計画されたドメイン：0
• シングルサインオン用に構成されたドメイン：1
• ディレクトリ同期：アクティブ化済み

　Windows Hello for Businessのオンプレミス展開では、有料ライセンスであるAzure AD Premium（P1またはP2）の「デバイスの書き戻し（デバイスライトバック）」機能が必要となります。そのため、この時点でAzure ADに同期されたドメインユーザーに対してAzure AD Premium ライセンス（またはAzure AD Premiumを含むEnterprise Mobility＋Security）を割り当てます。ライセンスの割り当ては、Azure AD参加や社内参加をドメインユーザーでセットアップして、社内リソースにアクセスさせる場合にも必要です。

　次回は、「デバイス登録サービス（Device Registration Service）」の有効化と、Windows 10デバイスのディレクトリ同期、自動デバイス登録の準備を解説します。

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。