ActiveDirectoryと連携できるAzureADの活用方法
本コラムではActiveDirectoryとAzureADの2つをAzureAD Connectを経由して連携させて活用していく方法を説明していきます。なお、AzureAD ConnectにはAzureAD Connect同期とAzureAD Connect クラウド同期がありますが、本コラムでは前者について説明していきます。
目次
連携するためのAzureAD Connectとは
現在ActiveDirectoryのユーザやデバイスなどの情報を使ってAzureADを活用したいという方には、AzureAD Connectというツールを使用して簡単にActiveDirectoryの情報を同期させることができます。AzureAD Connectは、ActiveDirectoryのユーザ情報等をAzureADに同期し、同期したユーザ情報をAzureADの機能で使うことができます。
なお、AzureADからActiveDirectoryへの同期は対応していません。
同期できる情報
ActiveDirectoryから同期できるユーザ情報 として、UserPrincipalName(UPN) をはじめ、所属部署の部門名や連絡先などさまざまなものがあります。またAzureAD Connectのオプション機能として、ActiveDirectory独自の属性情報をAzureADへ同期させることもできます。ユーザ情報以外にもActiveDirectoryに登録したデバイス情報も同期することができます。ActiveDirectoryのどのような情報ができるか詳細が知りたい方は以下のMicrosoft社のHPを参照してください。
(docs.microsoft.com)Azure AD Connect 同期: Azure Active Directory に同期される属性
同期される周期
既定では30分おきに同期サイクルが実行されます。同期頻度についてはカスタマイズすることもできます。ただし、少なくとも7日に1回は同期される必要があります 。
AzureADへのシングルサインオン
AzureAD ConnectはAzureADにActiveDirectoryのアカウント情報を同期します。そのため、ActiveDirectoryのユーザアカウントでAzureADにサインインできるシングルサインオン機能も備えています。AzureAD Connectでは3種類のシングルサインオン方式があります。
パスワードハッシュ同期
パスワードハッシュ同期はActiveDirectoryに格納されているユーザアカウントのパスワードのハッシュをAzureADへ同期させる方式になります。ActiveDirectoryではパスワードをハッシュ化していますが、AzureADに同期される前に追加のセキュリティ処理が行われた上でAzureADへと同期されます。
この同期は上で説明したユーザアカウント情報の同期サイクルとは別に行われるもので、2分間隔で同期されます。この同期頻度については変更できません。パスワードを同期するとAzureADのパスワードは上書きされます。
パススルー認証
パススルー認証はパスワードハッシュ同期と違ってパスワード情報はAzureADに同期されず、サインインする際にその都度ActiveDirectoryに対してユーザのパスワードを確認する認証方法になります。2分間隔とはいえ同期されるまでにスパンのあるパスワードハッシュ同期に比べて、パススルー認証はパスワード以外にもユーザアカウントの状態やサインイン時間、パスワードポリシーなどをActiveDirectoryに即座に確認するため、すぐに適用する必要のある方はパススルー認証が適していると言えます。
しかし、その都度認証を求めに行くため、認証を行うエージェントをいくつかのサーバにインストールして高可用性を確保する必要があります。また、IdentityProtectionなど一部サービスではパススルー認証ではなくパスワードハッシュ同期が必要なものもあるため、注意が必要です。
ActiveDirectoryフェデレーションサービス
ActiveDirectoryフェデレーションサービス(以下ADFS)は、AFDSをインストールしたサーバをオンプレミスのActiveDirectoryとクラウドのAzureADの仲介として設置し、認証を行う方式です。すでにAFDSをお使いの方であればこちらの方法を検討されるのもよいかと思いますが、使っていないのであれば新たにサーバを構築して運用するのはコストやかかる時間、必要な技術からしてもあまり得策とは言えません。特別な事情がなければ他の2つの方式を選択されることをお勧めします。
AzureADで実現するスタイルズIDaaSサービスはこちら→
導入した際のメリット
ユーザ
まずユーザ側のメリットとしては管理するID・パスワードといった認証情報が減ります。従来であれば、デバイスにサインインする際の認証情報、Office365やその他クラウドサービスなどにサインインする際の認証情報は別で管理されていたかと思います。
上で説明したシングルサインオン機能を使うことでデバイスにサインインする認証情報を使ってAzureADにもサインインできるため、AzureADの認証情報は管理する必要ありません。
管理者
管理する側としても、これまでActiveDirectoryとAzureADの2つを管理しなくてはならなかったのですが、AzureADConnectを使ってActiveDirectoryの情報をAzureADへ同期してくれるので、基本的にはActiveDirectoryのみ管理すればよくなります。
AzureAD Connectを使用する際の前提条件
ライセンス
AzureAD Connectを使用するためのライセンスは どのライセンスエディションでも使用することができます。したがって追加でかかる費用はありません。ただし、パフォーマンスの監視、使用状況の分析といった機能を持つAzureAD Connect Healthを使いたい場合はAzureAD Premium P1 ライセンスが必要になります。
また、同期するオブジェクトが500,000 個を超える場合は、Microsoft 365、Azure AD Premium、または Enterprise Mobility + Security などの有料ライセンスが必要になります。
サーバ
AzureAD Connectはドメインに参加しているWindows Server 2016 以降のサーバにインストールする必要があります。 Small Business Server または 2019 より前の Windows Server Essentials には、Azure AD Connect をインストールできないので注意が必要です。
また、Azure AD Connect には、ID データを格納する SQL Server データベースが必要になります。 既定では、SQL Server 2019 Express LocalDB (SQL Server Express の簡易バージョン) がインストールされます。 SQL Server Express のサイズ制限は 10 GB で、約 100,000 オブジェクトを管理できます。さらに多くのディレクトリ オブジェクトを管理する必要がある場合は、インストール ウィザードで別の SQL Server インストール済み環境を指定する必要があります。
接続
Azure AD Connect には、構成されているすべてのドメインへのネットワーク接続が必要です。
現在使用しているイントラネット環境でファイアウォールを使用している場合は、以下Microsoft社のHPを参照して、Azure AD Connect サーバとActiveDirectory 間の通信に必要なポートを開けてください。
(docs.microsoft.com)ハイブリッド ID で必要なポートとプロトコル
また、プロキシまたはファイアウォールによってアクセスできる URL が制限されている場合はいくつかのURLを開けるようにする必要があります。以下Microsoft社のHPを参照して対応内容を確認してください。
(docs.microsoft.com)Office 365 URL および IP アドレス範囲
(docs.microsoft.com)ファイアウォールまたはプロキシ サーバーで Azure portal の URL を許可する
Azure AD Connectでは、Azure AD との間の通信の暗号化に既定で TLS 1.2 が使用されています。Azure AD Connect バージョン 2.0 以降ではTLS 1.0 と 1.1 はサポートされなくなっており、TLS 1.2 が有効になっていないと、インストールは失敗してしまうので注意してください。
その他
オンプレミスのActiveDirectoryはWindows Server 2003 以降である必要があります。 また、同期先のAzureADテナントも事前に準備が必要になります。
また、AzureAD Connectではインストールする際に署名付きの PowerShell スクリプトが実行されるので、スクリプトの実行権限も必要になります。
AzureADで実現するスタイルズIDaaSサービスはこちら→
ADとAzureADを並行利用するための管理方法とは
ここで話をAzureAD ConnectからAzureADのデバイス管理方法に移したいと思います。オンプレミスのActiveDirectoryからAzureADへデバイス情報を同期させる場合は、ActiveDirectoryとAzureADを並行して利用し続けたいという方もいるかと思います。
そうなった場合、ActiveDirectoryのデバイス管理機能であるグループポリシー機能を使い続けることができるのかという疑問が生じると思います。 AzureADではグループポリシーを適用させながらAzureADのデバイスアクセス制御などの機能も使用したいケースに備えて、HybridAzureAD参加というデバイス管理方法があります。
そもそも、AzureADには3種類のデバイス管理方法があります。個人端末から組織のアプリケーションを利用する想定の管理方法である「AzureAD登録」や、オンプレミス環境を持たない想定の管理方法である「AzureAD参加」がありますが、今回は「HybridAzureAD参加」ついて以下に説明したいと思います。
HybridAzureAD参加
HybridAzureAD参加はオンプレミスのActiveDirectoryに参加している端末をAzureADにも登録したい場合に使用することを想定した管理方法になります。ActiveDirectoryにも参加している状態であるため、従来のグループポリシーでのデバイス管理も継続したままAzureADのデバイスアクセス制御などの機能を実装することができます。
なお、この管理方法はAzureAD Connectから設定することができます。対象OSはWindows10以降、8.1および 7になります。
HybridAzureAD参加できないケースについて
前段で説明したHybridAzureAD参加ですが、この管理方法が使えないケースというものがあります。このケースに該当する場合は構成を変更する必要があります。すでにO365を利用していて、以下のような使い方をしている場合はご注意ください。
O365専用のADを作成しているケース
このケースはO365用に新たにActiveDirectory(ここでは新ADとします)を作成して、新ADに対して各拠点のADのユーザ情報を集約している場合は該当します。新ADをもとにHybridAzureAD参加を行う場合、ユーザ情報は新ADにあるが、デバイス情報は新ADにない状態だとHybridAzureAD参加は利用できません。
HybridAzureAD参加を行うためにはユーザ情報とデバイス情報が同じADである必要があります。
ある1つのADに各拠点ADのユーザ情報を集約しているケース
新たにADを作成したわけではないが、ある1つのAD(ここでは本社ADとします)に各拠点ADのユーザ情報を集約してO365などを利用している場合も上記のケース同様HybridAzureAD参加を使うことができません。これも各拠点のデバイス情報が本社ADに同期されていない状態ですので、ユーザ情報とデバイス情報を同じADにする必要があります。
HybridAzureAD参加できるようにするために必要なこと
上記のような状態でHybridAzureAD参加を構成するにはどのようにすればいいかというと、対処法としては2つあります。
各拠点ADとAzureAD Connectを接続する
上の説明だと新ADや本社ADといった各拠点のユーザ情報を集約したADを使うのではなく、各拠点のADとAzureAD Connectを接続する必要があります。こうすることで、AzureAD Connectから同期される情報は各拠点のユーザ情報、デバイス情報となり、どちらの情報も同じADから得られた情報となります。すでにAzureAD Connectで接続している状態である場合は接続をし直すことになるので、ユーザ影響などが出る可能性があります。
ユーザ情報だけでなくデバイス情報も移行する
上の説明だと新ADや本社ADといった各拠点のユーザ情報を集約したADに、各拠点のデバイス情報も移行してしまうという方法も可能です。これにより新ADあるいは本社ADはユーザ情報もデバイス情報もどちらも持った状態になるのでHybridAzureAD参加ができるようになります。ただこの方法ですとADを統合する形になるので、統合にあたってAD自体の構成の見直しなどが必要になります。
