2017/06/06

最近の Azure AD Connect 周辺

ひさびさに、Azure Active Directory (Azure AD) とオンプレの Active Directory ドメインのディレクトリ同期、フェデレーション、Windows Hello for Business (旧称、Microsoft Passport for Business) をセットアップしてみたら...

Azure AD 管理コンソールが Azure ポータルで GA になり、Azure AD 管理センター (aad.portal.azure.com) が出たり、Azure AD Connect が新しくなったりして、Azure AD とオンプレの AD DS のディレクトリ同期&フェデレーションの手順がいろいろと変更になっています。公式ドキュメントも激しく更新されています。

オンプレミスのディレクトリと Azure Active Directory の統合
[URL] https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect
組織での Microsoft Windows Hello for Business の有効化
[URL] https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-azureadjoin-passport-deployment


追記) 以前の DirSync と Azure AD Connect 1.0.x は 2017 年 4 月 13 日以降サポートされなくなったそうです。

Office Blogs|【重要なお知らせ】 DirSync は 2017 年 4 月 13 日にサポートを終了します
[URL] https://blogs.technet.microsoft.com/microsoft_office_/2016/05/09/azure-active-directory-eos/


以前 (2016 年末頃) と変わったところ、拙著『Windows Server 2016 テクノロジ入門 完全版』に書いたのと変わったところで、気が付いた点をいくつかメモ。


使用した Azure AD Connect のバージョンは 1.1.524.0 (2017 年 5 月リリース → Azure AD Connect: Version release history https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-version-history)。

ほぼほぼ Azure ポータルでできるようになった。

例えば、カスタム ドメインを追加すると、DNS に登録しなければならない TXT または MX レコードがわかりやすく示されるし、[確認]ボタンで検証を行えたり。

以前は、New-MsolFederatedDomain を 1 回失敗させて、エラー メッセージに含まれる TXT レコードを確認してました。

デバイス登録サービスの構成も、[ユーザーとグループ|デバイスの設定]で行えます。最初、気が付きませんでした。

なお、Azure MFA はまだクラシック ポータルを利用する必要あり。

フェデレーションのセットアップに New-MsolFederatedDomain を使わなくなった。
 
Azure AD Connect の[ユーザー サインイン]の項目でセットアップできるようになりました。これが完了すると、AD FS の証明書利用者信頼に「Microsoft Office 365 Identity Platform」が登録されます。












Windows PowerShell 用 Azure AD モジュールと IT プロフェッショナル用 Microsoft Online Services サインイン アシスタントのインストールが簡単になった。

Install-Module AzureAD と Install-Module MSOnline で PS ギャラリーから簡単にインストールできるようになっています。

例えば、Azure AD Connect をインストールしたサーバーで Azure AD Connect 付属の AdSyncPrep.psm1 をインポートし、Initialize-ADSyncDomainJoinedComputerSync、Initialize-ADSyncDeviceWriteBack、 Initialize-ADSyncNGCKeysWriteBack を実行する場合は、前提となるツールとモジュールを次の 3 つのコマンドラインでインストールできます。

PS C:\> Install-WindowsFeature -Name RSAT-ADDS-Tools, RSAT-AD-PowerShell
PS C:\> Install-Module AzureAD
PS C:\> Install-Module MSOnline

証明書利用者信頼「Microsoft Office 365 Identity Platform」の要求発行ポリシーがさらに難解に。

Windows 10 ver 1511 以降の Windows Hello for Business のた
めのドメイン参加済みデバイスの自動登録では、証明書利用者信頼「Microsoft Office 365 Identity Platform」の要求発行ポリシーを変更する必要があるのですが、ドキュメントがさらに難解に。

以下のドキュメントの「AD FS 発行変換規則を作成するヘルパー スクリプト」をスクリプトにして実行するのが手っ取り早いみたい。

Azure Active Directory への Windows ドメイン参加済みデバイスの自動登録の構成方法
[URL] https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-conditional-access-automatic-device-registration-setup


ほんとにダイジョブ? って心配になるような難解さですが、なんだかんだ言って、Windows 10 Creators Update でもすんなりいけました(→)。Windows Hello for Business のポリシー展開後に初めてドメイン アカウントでサインインすると、電話やモバイル アプリによる本人確認 (Azure AD の機能) が求められ、その後、PIN のセットアップ (既定で 6 文字以上)、生体認証のセットアップ (対応デバイスがある場合) へと進みます。



Windows Hello for Business の自動登録デバイスは、Azure ポータルに表示されない (現時点)。


Azure AD やオンプレのワークプレース参加、Azure AD 参加デバイスは、これまで Azure クラシックポータルの[ユーザー > デバイス]から確認してたと思いますが、Azure ポータルでも見れるように。ただし、Windows 10 の自動登録デバイスについては、Azure クラシック ポータルだけに表示されました。こちらの FAQ によると...

Azure Active Directory automatic device registration FAQ
[URL] https://docs.microsoft.com/en-us/azure/active-directory/active-directory-device-registration-faq

Q: Why can I not see all the devices registered in Azure Active Directory in the Azure portal?
A: Currently, there is no way to see all registered devices in the Azure portal. You can use Azure PowerShell to find all devices. For more details, see the Get-MsolDevice cmdlet.
だそうです。

トラブルシュートのドキュメントが充実。

以前は、ドキュメントが無い中で、なんとか dsregcmd /status を見つけ出したもんですが、今では詳しく説明されています。遅い!

Troubleshooting auto-registration of domain joined computers to Azure AD – Windows 10 and Windows Server 2016
[URL] https://docs.microsoft.com/en-us/azure/active-directory/active-directory-device-registration-troubleshoot-windows



Azure AD Connect Health ってので同期ステータスを監視できる。

新しいバージョンの Azure AD Connect には、Azure AD Connect Health エージェント (同期サーバー用) が組み込まれていて、Azure ポータルの[Azure AD Connect Health]ブレードで監視できるようになってました。

Azure AD Connect Health エージェントには、ドメイン コントローラー用の AD FS 用もあって、これらは手動でダウンロード&インストールし、Azure AD Connect サービスに登録してあげる必要があります。インストーラーが AdHealthAddsAgentSetup.exe と AdHealthAdfsAgentSetup.exe で別になっているので注意。


クラウド内のオンプレミスの ID インフラストラクチャと同期サービスの監視
[URL] https://docs.microsoft.com/ja-jp/azure/active-directory/connect-health/active-directory-aadconnect-health

・・・

以前、何回かでもディレクトリ同期やフェデレーション、ワークプレース参加、Windows Hello for Business をセットアップした経験があれば、変更にちょっと戸惑うかもしれませんが、すんなり対応できると思いました。そうでない場合、難解だと思います。

Azure AD、AD DS、AD FS、WAP の環境が既にあれば、数時間でできると思いますが、ゼロからだと数日かかるかも。

いずれ、まとまったホワイト ペーパーが出るはず(たぶん)。

2017/06/28 追記) Azure AD Connect の脆弱性問題と更新バージョン (1.1.553.0)が出ています。
マイクロソフト セキュリティ アドバイザリ 4033453|Azure AD Connect の脆弱性により特権が昇格される(公開日: 2017 年 6 月 28 日)
[URL] https://technet.microsoft.com/ja-jp/library/security/4033453

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。