最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する：Office 365運用管理入門（10）（2/3 ページ）

前回は、オンプレミスのActive Directoryから「Office 365」（Azure Active Directory）へ、アカウント情報を同期するためのツールを紹介した。今回は、最新のディレクトリ同期ツール「Azure Active Directory Connect」の特徴や具体的な実装方法を解説する。

[宮川麻里，株式会社IPイノベーションズ]

AAD Connectを利用したシングルサインオン構成の実装

　ここからは前述の「［機能2］Active Directoryフェデレーションサービス」の構成方法を、具体的に解説していこう。

AAD Connectのインストール

　（1）まずは、AAD Connectを以下のマイクロソフトのWebサイトから入手する。

• Download Microsoft Azure Active Directory Connect［英語］（Microsoft Download Center）

　（2）インストールからディレクトリ同期までの詳細な手順は、本連載第9回「Active Directoryのオブジェクトを『ディレクトリ同期ツール』でクラウドに同期する」を参照してほしい。第9回はディレクトリ同期ツールの実行だけだったので、インストール画面では「Use express settings」を選択したが、今回は「Customize」を選択してインストールを進める（画面3）。

画面3「Customize」を選択して、AAD Connectのインストールを進める

　（3）インストールオプションのコンポーネント選択画面が表示されるが、ここでは何も選択せずに「Install」ボタンをクリックして進む（画面4）。

画面4　オプションコンポーネントの選択画面。通常利用であれば、何も選択する必要はない

　（4）インストールが開始すると、数分でサインイン方法の選択画面が表示される。今回は「Federation with AD FS」を選択して、「Next」ボタンをクリックする（画面5）。なお、画面下部にはWindows Server 2012 R2やSSL証明書など、AD FSの構成に必要な情報が表示される。

画面5　サインインに利用する構成を選択する。今回は「Federation with AD FS」を選択する

Office 365／Active Directory資格情報の入力

　（5）その後、Office 365の全体管理者資格情報（Azure AD資格情報）を入力して認識されると、オンプレミスのActive Directoryの資格情報入力画面が表示されるので、各情報を入力後に「Add Directory」ボタンをクリックする（画面6）。ここでは、複数のフォレストを追加することも可能だ。

画面6　オンプレミスActive Directory資格情報を入力して、「Add Directory」ボタンをクリックする

同期する条件やオプションなどの設定

　（6）Azure ADユーザーと、オンプレミスのActive Directoryユーザーを、同一であると見なすための条件を設定する（画面7）。

画面7　ユーザー一致の条件は、ユーザー属性など複数から選択できる

　（7）ディレクトリ全体（全ユーザー／全デバイス）を同期するか、ユーザーやグループでフィルタリングして同期するかを選択する（画面8）。必要があれば、ここでユーザーやグループを特定する。

画面8　ディレクトリ全体を同期するか、ユーザーやグループでフィルタリングして同期するかを選択する

　（8）オプション機能の選択画面が表示されるが、ここでは特に指定しなくてもよい（画面9）。

画面9　オプション機能を追加する画面。まだプレビュー版の機能も多い