最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する:Office 365運用管理入門(10)(1/3 ページ)
前回は、オンプレミスのActive Directoryから「Office 365」(Azure Active Directory)へ、アカウント情報を同期するためのツールを紹介した。今回は、最新のディレクトリ同期ツール「Azure Active Directory Connect」の特徴や具体的な実装方法を解説する。
Azure Active Directory Connectを勧める理由
現在、「Office 365」の企業向けプランでは、「Office 365 Business Essentials」から「Office 365 Enterprise E3」まで、全てのプランで「Active Directoryとの統合」がサポートされている。
- 一般法人向けOffice 365のすべてのプランを比較する(マイクロソフト)
このことからも、企業規模の大小にかかわらず「オンプレミスとクラウドの連携」というニーズが以前にも増して高まっていることがうかがえる。
なお、マイクロソフトが無償提供しているディレクトリ同期ツール「DirSync」と「Azure Active Directory Sync」は、今後バージョンアップされることはないという発表があった(「ディレクトリ同期」および「フェデレーション」の詳細については本連載第1回、「ディレクトリ同期ツール」の比較については本連載第9回を参照してほしい)。
一方、最新のディレクトリ同期ツールとなる「Azure Active Directory Connect」(以下、AAD Connect)には、継続的に新機能が盛り込まれていくことになりそうだ。これだけでも、AAD Connectを利用する理由になる。
- Azure Active Directory(Microsoft Azure)
- Azure Active Directory Connect(Microsoft Azure)
これまでのディレクトリ同期ツール(DirSync、Azure Active Directory Sync)と違い、AAD Connectは「ディレクトリ同期」を含む三つの機能で構成されている。以下、AAD Connectの機能詳細を確認していこう。
[機能1]ディレクトリ同期
AAD Connectの「ディレクトリ同期」機能には、これまで提供されてきたDirSyncやAAD Syncの機能が全て含まれている。DirSyncやAAD Syncを長く利用してきたIT管理者も、安心してAAD Connectに乗り換えることができるだろう。
AAD Connectのインストール時には、ドメインやOU(Organization Unit:組織単位)などでアカウントをフィルタリングして同期できる「Azure Active Directory Synchronization Services」(AAD Sync)が同時に組み込まれ、「Synchronization Service Manager」管理ツールから簡単に管理できるようになる(画面1)。「Forefront Identity Manager(FIM)」を利用したことのあるIT管理者であれば、なじみある操作感でSynchronization Service Managerを使うことができるだろう。
Synchronization Service Managerは、既定では「C:¥Program Files¥Microsoft Azure AD Sync¥UIShell」フォルダーにインストールされる。
[機能2]Active Directoryフェデレーションサービス
Windows Serverでシングルサインオン(フェデレーション)環境を構成するには、「Active Directoryフェデレーションサービス(Active Directory Federation Services:AD FS)」サーバーファームとして複数台のAD FSサーバーを構成する必要がある。
AD FSのインストールと構成は、AAD Connectから行うことができる。詳細な実装手順は、後述の「AAD Connectによるシングルサインオン構成」で解説する。
[機能3]稼働状況監視
AAD Connectは「Azure Active Directory Connect Health(AAD Connect Health)」と連携することで、AD FSサーバーやAD FSプロキシサーバーの稼働状況(アラート、パフォーマンスなど)を監視することが可能だ。
なお、稼働状況監視機能(AAD Connect Health)を利用するには、「Azure AD Premium」のライセンスが必要になる。Azure AD Premiumのライセンスは、Office 365の管理ポータルからも購入できる(試用版も用意されている)。
Azure AD Premiumのライセンスを入手したら、Microsoft Azureの管理ポータルにある「Market Place」の「セキュリティ+ID」から設定する(画面2)。Microsoft Azureの管理ポータルで設定後は、管理対象のサーバーへエージェントのインストールを行う。エージェントのインストール手順は、以下のWebサイトを参照してほしい。
- Azure AD Connect Health Agent Installation Steps(Microsoft Azure)
Office 365の監視リポートに関しては、Office 365管理ポータルよりも、Azure AD(一部Azure AD Premium)管理ポータルの方が詳細な内容を出力できる。加えて、Azure AD Connect Healthの登場により、これまでOffice 365、ディレクトリ同期、フェデレーションで、それぞれ個別に行ってきた監視やトラブルシューティングが、Microsoft Azureの管理ポータル上で一元的に行えるようになりつつある。
Copyright © ITmedia, Inc. All Rights Reserved.