Azure AD Connect クラウド同期を使って同期してみた

はじめに

こんにちは、システムソリューション営業本部の青木と申します。

今回は"Azure AD Connect クラウド同期"を利用してオンプレミスActive Directory(AD)とAzure ADの同期を行う流れをご紹介したいと思います。

既に多くの企業で利用されているAzure ADですが、オンプレミス環境にADをお持ちの企業ではAzure AD Connectを利用されているパターンが多いのではないでしょうか。

こちらの記事では、Azure ADとオンプレミスADを結ぶ際の新たな選択肢となる"Azure AD Connect クラウド同期"についてご説明したいと思います。

Azure AD Connect クラウド同期とは

今までAzure AD - オンプレAD間の同期を行うためには"Azure AD Connectサーバーの構築"が必須でした。

Azure AD Connectはドメインコントローラーにインストールすることがサポートされていないため、個別の専用サーバーを用意することが必要となります。

そのため、アップデートの対応やサーバーのバックアップ等、多くの運用が発生していました。

今回ご紹介する"Azure AD Connect クラウド同期"では、以前のように専用のサーバーを用意する必要がなく、ドメインコントローラーにエージェントをインストールすることがサポートされています。

また、Azure AD Connectと異なり、エージェントを複数台のサーバーに同時にインストールすることが可能なため、冗長構成を組むことが可能になったようです。

(Azure AD Connectは複数のサーバーからの同期を行うことが出来ないため、アクティブ-スタンバイ構成までの用意しかできませんでした。)

それでは実際にAzure AD Connect クラウド同期を構成してみたいと思います。

サーバーの用意

まずはエージェントのインストールを行うオンプレミスサーバーを用意します。

細かいインストールの前提条件などは以下の参考URLからご確認下さい。

【参考URL】https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/cloud-sync/how-to-prerequisites?tabs=public-cloud

せっかくなので、今回はドメインコントローラーにインストールしてみたいと思います。

エージェントのダウンロード/インストール

次に、エージェントのダウンロード/インストールを行います。

エージェントはAzure ADの[Azure AD Connect] ⇒ [クラウド同期] ⇒ [Agents] ⇒ [オンプレミスのエージェントをダウンロードします] ⇒ [使用条件に同意してダウンロードする]からダウンロードが可能です。

ダウンロードしたエージェントをオンプレミスサーバーに移動して実行し、ウィザードに沿ってインストールを行います。
途中、Azure ADの管理者アカウントやオンプレミスADの管理者アカウント入力等が必要になりますが、データベースが不要だったり細かな設定はAzure AD側で行うので、Azure AD Connectよりも簡単にインストールができますね。

以上でインストールは完了です。

同期用の設定追加

エージェントのインストール後、Azure Portal側で同期用の設定を実施し、構成を有効化する必要があります。

Azure Portalに戻り、クラウド同期の[構成] ⇒ [新しい構成]から設定画面を開きます。

自組織のドメインが表示されるので、"作成"から同期構成を作成します。

クラウド同期の画面に戻ると、構成にはドメイン情報が追加されていますが有効化されていないため、状態は"無効"になっています。

構成を有効化するため、ドメイン部分をクリックします。

構成設定画面では、スコープフィルターや属性マッピング等、Azure AD Connectと同じような設定の画面が出てきます。

今回は細かい設定については割愛しますが、同期対象となるOUの設定や、ソースとターゲットの属性のマッピング等を設定することが可能です。

それでは同期をかけるために"確認して有効にする"をクリックしてみましょう。

クラウド同期画面に戻ると、"有効"となっていることがわかりますね。

プロビジョニングログからもオンプレミスADからの同期がかかっていることが確認できました。

Azure AD Connect クラウド同期のメリット・デメリット

ここまでAzure AD Connect クラウド同期を構成してみましたが、Azure AD Connectでしか実装出来ないような機能も存在しており、メリット・デメリットを考慮した上でどちらを利用するのかを判断する必要があります。

まずAzure AD Connect クラウド同期を利用する上でのメリットですが、以下が挙げられます。

• 専用サーバーの用意が必須ではないため、オンプレミス環境の運用を一部削減することが可能

• 複数のエージェントを同時に起動可能なため、冗長構成をとることが可能

• Azure上で管理が一元化されているため、設定変更やログの確認等をAzure上で実施することが出来る

上記の通り、主に運用の観点から大きなメリットがありますが、機能としては足りない部分もあり、

• 現時点ではユーザーアカウントの同期のみ可能であり、コンピューターアカウントに関しては同期ができない
  (Hybrid Azure AD Joinが必要な組織については適さない)

• パスワードハッシュ同期以外は設定できない
  (パススルー認証が必要な組織には適さない)

上記のようなデメリットが存在しています。

そのため、すべての組織においてAzure AD Connect クラウド同期への完全移行が可能なわけではなく、あくまでも選択肢の一つとしてとらえて頂くことが重要かと思います。

最後に

今回はAzure AD Connect クラウド同期について紹介させて頂きましたが、弊社ではAzure , Microsoft 365等のMicrosoftソリューションの導入支援を積極的に行っています。

ご興味のある方はお気軽にお問合せ下さい。

 
また、QESではクラウドエンジニアを募集しています。

このブログで参照されている、Microsoft、Windows、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。