Windows Server 2016 TP3 > Azure AD Connect でディレクトリ同期

新刊『Windows Server 2016 テクノロジ入門 ― Technical Preview エディション』の第 4 章では、オンプレミスの Active Directory と Azure Active Directory (Azure AD) のディレクトリ統合の手順について、Azure AD Connect ツールを使用しない、ひと世代前のツール（Azure AD PowerShellモジュール、Microsoft Online Servicesサインインアシスタント、Azure AD Syncを個別にインストールして使用）の手順で説明しました。そのとき、古い Azure AD Sync は Windows Server Technical Preview にインストールできないため、Windows Server 2012 R2 の環境を準備しました。

書籍でも言及していますが、オンプレミスの Active Directory と Azure AD のディレクトリ同期を簡素化する Azure AD Connect ツールが 2015 年 6 月 24 日にリリースされました。現在は、8 月 29 日付けのバージョン 1.0.8667 を利用できます。

Microsoft Azure Active Directory Connect (Version:1.0.8667, Date Published: 8/20/2015)
8/20/2015
[URL] http://www.microsoft.com/en-us/download/details.aspx?id=47594

というわけで、Azure AD Connect を使用したディレクトリ同期のセットアップについて。新刊『Windows Server 2016 テクノロジ入門 ― Technical Preview エディション』の P.137「Actve Directory フェデレーション サービスを SSO 用に構成する」「ディレクトリ同期を構成および実行する」の部分を、 Azure AD Connect で実行する場合の手順になります。

Azure AD 側の構成については省略します。Azure AD 側の構成、オンプレミス側の AD FS と Web Application Proxy の構成については、新刊『Windows Server 2016 テクノロジ入門 ― Technical Preview エディション』をご覧ください。なお、Azure AD Connect のウィザード内で AD FS と Web Application Proxy をインストールすることもできます。

その前に... Windows Server Technical Preview のフォレスト機能レベル

Azure AD Connect は、Windows Server 2016 Technical Preview 3 でも動きました。ですが、オンプレミス側の Active Directorey のフォレスト機能レベルが最上位の Windows Server Technical Preview (WindowsThresholdForest、7) だと、ドメインへの接続に失敗します。

Windows Server Technical Preview (WindowsThresholdForest、7) を選択してフォレストをセットアップしてしまったという場合は、ドメイン コントローラーの Windows PowerShell で次のコマンドラインを実行して、Windows Server 2012 R2（Windows2012R2Forest） 機能レベルに下げることができます。ただし、機能レベルを下げると、別のところで何か影響あるかもしれません。

Set-ADForestMode -Identity <ドメイン名> -ForestMode Windows2012R2Forest 

Azure AD Connect のセットアップが終了したら、次のコマンドラインで元に戻せます。

Set-ADForestMode -Identity <ドメイン名> -ForestMode WindowsThresholdForest

Azure AD Connect のダウンロードと実行

Azure AD 側のディレクトリに準備（オンプレミスのドメインの追加とディレクトリ同期のアクティブ化）ができたら、オンプレ側のドメイン メンバーに Azure AD Connect（AzureADConnect.msi）をダウンロードして実行します。以前の Azure AD Sync は Windows Server 2016 TP3 にインストールできませんでしたが、Azure AD Connect に含まれる Azure AD Sync はインストールできます。

［Use express settings］をクリックします。

Azure AD 側のディレクトリ の管理者アカウント (全体管理者ロールを持つ ID) の資格情報を入力します。フォレストの機能レベルが Windows Server Technical Preview だと、ここから先に進めません。

オンプレミス側の Active Directory のドメイン管理者アカウントの資格情報を入力します。

 ［Install］をクリックします。

完了。とっても簡単です。

既に初回の同期が始まっているので、少しすると、Azure AD のディレクトリにローカル Active Directory のアカウントがディレクトリ同期によって追加されます。

同期オプションをカスタマイズするには、デスクトップ上の Azure AD Connect アイコン（スタート メニューの Azure AD Connect\Azure AD Connect）をクリックします。なお、Password writeback（パスワード書き戻し）および Device writeback（デバイスの書き戻し）には、Azure AD Premium または Office 365 の契約が必要です。Group witeback (グループの書き戻し)には、Office 365 の Exchange Online とオンプレミスの Exchange 2013 (CU8) が必要です。

Azure AD Connect を使うと、オンプレミスから Azure AD (Inbound)、Azure AD からオンプレミス（Outbound）でどの ID を同期するか、フィルタリングもできるように。これには、スタート メニューの Azure AD Connect\Synchronization Rules Editor を使用します。

Office 365 のポータル (https://portal.office.com) にオンプレミスの ID を入力すると、AD FS の認証フォーム (Web アプリケーション プロキシ) にリダイレクトされます。