Cloud Solutions On-Premisss Solutions

Azure AD Connect サーバー を パスワード同期無しで構築する

2022年12月19日

自分
閲覧ありがとうございます。ゆっくり よんでいってください

本記事に記載の内容は、
「 Azure AD Connect サーバー を パスワード同期無しで構築する」手順について解説します。

Azure AD Connectの構築パターンとして、パスワードハッシュ同期やパススルー認証を構成することが多いですが、以下の要望が上がることあるのでそんな時に必要な手順です。

  1. AD上のパスワードをクラウドに同期させたくない!
  2. AD上のパスワードが脆弱で同期するのが怖い!
  3. 他IdPと連携しているため、パスワードを同期する必要がない!

 

Azure AD Connectをパスワード同期無しで構築する

本章では、Azure AD Connectを パスワード同期無しで構築する手順について画像付きで記載します。

記事公開時点でのバージョンになるので、若干画面構成が変わっているかもしれません。

 

パスワード同期無し で構築した場合の注意点

  • パスワードを同期していないため、新規ユーザーアカウントの場合
    Azure AD側でパスワードリセットを実施しないとサインインすることが出来ません。

  • ソフトマッチによって、統合されたユーザーアカウントは
    Azure ADにて元々設定していたパスワードを利用してサインインをすることが可能です。

 

パスワード同期無し での構築手順

  1. まずは、Azure AD Connectのインストールパッケージをダウンロードします。
    英語のサイトになりますが、アクセスしてダウンロードするだけなので安心して進めてください。Azure AD Connectのインストールパッケージをダウンロード


  2. ダウンロードした、Azure AD Connectのインストールパッケージをダブルクリックで実行します。
    場合によって警告が表示されるので、同意したうえで進めてください。

  3. [Azure AD Connect へようこそ]画面が表示されるので、 [続行]をクリックして進めます。
    [Azure AD Connect へようこそ]画面が表示されるので、 [続行]をクリックして進めます


  4. [簡単設定]画面が表示されます。 [カスタマイズ]をクリックしてインストールを進めます。
    [簡単設定]画面が表示されます。 [カスタマイズ]をクリックしてインストールを進めます


  5. [必須コンポーネントのインストール] 画面が表示されます。
    自身の環境で別途設定する必要がある項目にチェックを入れ、 [インストール]をクリックします。
     ※本記事では、何もチェックを入れずに進めています。
    [必須コンポーネントのインストール] 画面が表示されます。 自身の環境で別途設定する必要がある項目にチェックを入れ、 [インストール]をクリックします


  6. インストールが完了すると、 [ユーザー サインイン]画面が表示されます。
    今回は パスワード同期無し で構築するため[構築しない]にチェックをいれて[次へ]をクリックします。
    パスワード同期無し で構築するため[構築しない]にチェックをいれて[次へ]をクリック

  7. [Azure AD に接続]画面が表示されるので、全体管理者権限を持ったAzure AD上のユーザーアカウント情報を入力して[次へ]をクリックします。
    全体管理者権限を持ったAzure AD上のユーザーアカウント情報を入力して[次へ]をクリック


  8. [ディレクトリの接続]画面が表示されるので、同期対象とするフォレストが選択されていることを確認して[ディレクトリの追加]をクリックします。
    同期対象とするフォレストが選択されていることを確認して[ディレクトリの追加]をクリック


  9. [AD フォレスト アカウント]画面にて、 始めてAzure AD Connectを構築する場合は
    [新しい ADアカウントを作成]を選択して EnterpriseAdmin権限を持つADユーザーアカウント情報を入力し、 [OK]をクリックします。
    [新しい ADアカウントを作成]を選択して EnterpriseAdmin権限を持つADユーザーアカウント情報を入力し、 [OK]をクリック


  10. 内容に問題が無ければ、 [構成済みディレクトリ]欄にフォレストが追加されるので、 [次へ]をクリックします。[構成済みディレクトリ]欄にフォレストが追加されるので、 [次へ]をクリック


  11. [Azure AD サインインの構成]画面にて、ユーザー プリンシパル名としたい属性を選択します。
     ※本記事では、mail属性を指定しています。
    ユーザー プリンシパル名としたい属性を選択します。 本記事では、mail属性を指定


  12. [ドメインとOUのフィルタリング]画面にて、同期対象としたいOUにチェックを入れます。
    設定が終わったら[次へ]をクリックします。
    同期対象としたいOUにチェックを入れます。設定が終わったら[次へ]をクリック


  13. [一意のユーザー識別]画面にて、環境に合わせた設定を行います。
     ※本記事では、objectGUID属性を指定しています。
    環境に合わせた設定を行います。本記事では、objectGUID属性を指定


  14. [ユーザーおよびデバイスのフィルタリング]画面にて、環境に合わせて設定を行います。
    [ユーザーおよびデバイスのフィルタリング]画面にて、環境に合わせて設定を行います


  15. [オプション機能]画面にて、パスワード同期が無いため 基本的にチェックを入れずに[次へ]をクリックします。
    パスワード同期が無いため 基本的にチェックを入れずに[次へ]をクリック


  16. [構成の準備完了]画面にて、表示された内容を確認して[インストール]をクリックして完了です。
    表示された内容を確認して[インストール]をクリックして完了

 

 

よくある質問と回答

  1. Azure AD Connectを構成した時に、パスワード同期無しで構築することは出来ない?
    • 本記事に記載の通り、構築することが可能です。
  2. パスワード同期無しで構築したいが、管理者による設定作業はオンプレミス側のみとしたい。
    • 残念ながら、新規ユーザーとして同期させたユーザーアカウントのパスワードリセット及び利用者様への新規パスワードの通知を行う必要が発生します。
  3. 他IdPで認証制御しているので、パスワード同期を行いたくない。
    • 本記事の通り構成していただくことで、問題無くAzure AD側にユーザーアカウントのみ同期することが可能です。
      フェデレーションに必要な属性は、事前にAD上のユーザーアカウントに設定してください。

 

-Cloud Solutions, On-Premisss Solutions