前回の投稿では、新しい Azure AD connect ツールを使用して、オンプレミス ドメインと Azure Active Directory を統合するデモを紹介しました。 このプロセスは非常に簡単ですが、私が受け取った 1 つの質問は、「Office 365 サブスクリプションとユーザーをオンプレミス ドメインに統合するにはどうすればよいですか? このツールのおかげで、Office 365 のユーザー アカウントが既存のドメイン アカウントと密接に一致することを確認する手順を踏めば、このプロセスはかなり簡単です。 そうでない場合は、統合の前に手動でいくつかのクリーンアップを行う必要があります。 これらの手動手順については、この記事の後半で説明します。
Details
Office 365 サブスクリプションを作成すると、Microsoft が裏で実際に Azure Active Directory インスタンスをプロビジョニングしてくれます。 Azure Subscription がある場合は、この 2 つを接続して、Azure 管理ポータルから O365 ドメインを管理できます。 つまり、いくつかの細かい設定変更の他は、本質的には前回のプロセスに非常に近いものです。 最初の変更は、[Identifying Users] のステップで行います。 ここでは、オンプレミスとオンラインのアカウントを一致させるために、Active Directory の属性を選択することになります。 私の場合は、メールアドレスが同じなので、メール属性を選択しました。
次に、オプション機能ステップで、「Azure AD アプリおよび属性フィルタリング」の横にあるチェックボックスを選択すると、同期すべき他のアプリケーションについて Connect ツールに通知することができます。 このツールは、アプリケーションをドメイン ユーザーに正しく統合するために、追加の AD 属性をマップするのに十分な賢さがあります。 特定の AD 属性については、さらに細かく設定することもできますが、私はそのままにしておきました。 ウィザードと最初の同期を完了すると、ユーザーは O365 に表示されるようになります。
ユーザーと構造がかなり単純な場合は、これで簡単な部分をカバーできます。 しかし、実稼働環境は単純でないことがよくあります。 以下は、注意すべきいくつかの点です。
- Active Directory は、シングル サインオンで適切に動作するために、特定の設定を行う必要があります。 特に、ユーザープリンシパル名(UPN)、またはログオン名は、各ユーザに対して特定の方法で設定する必要があります。 Microsoft Deployment Readiness Toolを使用してActive Directory環境を検査し、シングルサインオンを設定する準備ができているかどうか、またシングルサインオンを準備するためにどのような変更が必要かという情報を含むレポートを生成します。
- 連携するドメインは、ドメインレジストラにパブリックドメインとして登録されているか、独自のパブリックDNSサーバー内にある必要があります。
- すでにActive Directoryの同期を設定している場合、ユーザーのUPNはActive Directoryに定義されているユーザーのオンプレミスUPNと一致しない可能性があります。 これを修正するには、Microsoft Azure Active Directory Module for Windows PowerShellのSet-MsolUserPrincipalNameコマンドレットを使用してユーザーのUPNの名前を変更します。