Cloud Solutions

AD同期 - Azure AD Connect Cloud Sync とは?

2021年9月16日

そもそも Azure AD Connect の進化版って考えてよいのか

Active Directoryで管理しているユーザーやグループをAzure ADに同期し、ハイブリッドID環境を実現するAzure AD Connectの進化版/更新版と考えて良いと思います。
しかしAzure AD Connect (Azure AD 同期)で実装できていた機能が利用できないこともありますので、目的に応じて選ぶ必要があります。
そもそもAzure AD Connectクラウド同期とはActive Directoryのユーザー情報やグループ情報をAzure ADに同期するサービスです。

ADの情報をAzureADに同期するという目的が出来ると、今まではAzure AD Connectを使う選択しかできませんでしたが、Azure AD Connectを利用しようと思ったらアプリケーションをインストールしなければならず、場合によってはAzure AD Connect専用のサーバーを建てることもありハードルが高いシーンがありました。
しかし、Azure AD クラウド同期を実装するにはADにエージェントを入れるだけで済むのです!

以下にAzure AD Connect Cloud Sync を採用するときに気にしなければいけない点を記載しているのでぜひ参考にしてくださいっ

Azure AD Connectとの差は?? メリット/デメリットは??

Azure AD Connect Cloud Sync の メリット

  1. Azure AD Connect アプリケーションのインストールが必要無く、ADに軽量なエージェントをインストールするだけで実装可能です。

  2. Azure AD Connect導入時に利用可能になる[Synchronization Services]や[Synchronization Rules Editor]などのツールに相当する機能をMicrosoft クラウド側で保有しているため、Azure AD Connectのサービスや設定のバックアップを自身で考える必要がないです。

  3. Azure AD Connectでは、一元的な同期が実現できるように[アクティブ/スタンバイ]の構成をとるとき以外は、
    絶対に複数のサーバーにAzure AD Connectをインストールしてはならないというルールがありました。
    しかし、Azure AD Connect クラウド同期の場合は複数のドメインコントローラーにエージェントをインストールして冗長化構成を実装することが可能です。

  4. Azure AD Connectは、複数のサーバーにAzure AD Connectをインストールしてはならないというルールがあったため、
    複数のADが存在する場合は、Azure AD ConnectをインストールしたサーバーからすべてのADが参照できる必要がありました。
    Azure AD Connect クラウド同期の場合は、複数のADにエージェントをインストールできるため、各ADを1つのネットワークから参照出来る必要はなくなります。

  5. 属性マッピングをクラウド側から設定可能。

  6. Azure AD Connectは最短30分おきの同期だが、Azure AD Connect Cloud Syncは10分おきの同期。

Azure AD Connect Cloud Sync の デメリット

  1. Azure AD Connectで利用可能なデバイス情報の同期をすることが出来ません。
    そのため、Hybrid Azure AD Join 構成をとることは不可能です。

  2. Azure AD Connectで利用可能なパスワードライトバックが利用できません。

  3. Azure AD Connect で利用可能なユーザーアカウントの拡張属性を同期をすることが出来ません。

  4. Azure AD Connectで利用可能なExchange ハイブリッド書き戻しを利用できません。
    そのため、Hybrid Exchangeの構成は取れません。

  5. パススルー認証は実装出来ない。

  6. Azure AD Connectと違い、Azure AD Connect Cloud Sync は同期間隔を設定できません。

  7. 大きなデメリットとは考えておりませんが、ソースアンカーの設定変更が出来ません。

他にもAzure AD Connectで出来るのに、Azure AD Connect Cloud Sync ではできないことがあります。私が重要と感じた違いをデメリットとして記載しているため、必要に応じてDocを参照ください。

Azure AD Connect Cloud Sync の前提条件

Azure AD での前提条件

  • グローバル管理者アカウントの利用 [全体管理者]
  • カスタムドメインの設定 [Azure AD Connectでの同期とは違い必須です]

Active Directory での前提条件

  • Windows Server 2012 R2以降のドメイン参加済みサーバー(RAM 4GB以上、.NET 4.7.1以降)

オンプレミス環境 での前提条件

  • Azure AD Connect Cloud Sync のエージェントとAzure ADが通信するポートの開放 (80, 443, (8080))
  • Microsoftとの通信に必要なURLへの接続許可設定
    • *.msappproxy.net
    • *.servicebus.windows.net
    • login.windows.net
    • login.microsoftonline.com
    • www.microsoft.com:80
    • crl.microsoft.com:80
    • ocsp.msocsp.com:80
    • mscrl.microsoft.com:80

いよいよ、Azure AD Connect Cloud Sync を構築します

Azure AD Connect Cloud Sync  のインストールと同期の構成

  1. グローバル管理者 (全体管理者) でAzure AD 管理センターにサインインし、[Azure Active Directory] > [Azure AD Connect] > [Azure AD クラウド同期を管理する] > [エージェントのダウンロード] で [使用条件に同意してダウンロードする] をクリックしてAzure AD Connect Provisioning Agentをダウンロードします。

  2. ダウンロードしたAzure AD Connect Provisioning AgentをActive Directoryにインストールします。
    エージェントをダブルクリックし、インストールウィザードに従ってAzure ADとの同期を構成を行います。
    ※インストールウィザードは、Azure AD Connectを導入したことある方だと、なんか見たことある?と思うと思います。

  3. Azure AD Connect Provisioning Agentのインストールが完了し、Azure ADとの同期設定が完了しましたら、Azure AD管理センターにサインインし、[Azure Active Directory] > [Azure AD Connect] > [Azure AD クラウド同期を管理する] > [すべてのエージェントを確認] の画面にて、ADのコンピューター名が表示されていることを確認します。

Azure AD Connect Cloud Sync の構成

  1. [Azure Active Directory] > [Azure AD Connect] > [Azure AD クラウド同期を管理する] > [+ 新しい構成] をクリックして、新しいクラウド同期を構成します。

  2. 表示された[新しいクラウド同期構成]にて、[どのActive Directory ドメインを同期しますか?]にて、上記[Azure AD Connect Cloud Sync  のインストールと同期の構成]にて構成した[ドメイン名]を選択します。 必要に応じて、[パスワード ハッシュ の同期を有効にする]のチェックを付け、[作成]をクリックし、完了です。
自分
自分
この時点では同期は始まらないので安心してくださいっ

Azure AD Connect Cloud Sync の構成を更新する

クラウド同期構成の編集

同期対象のセキュリティグループ or OU を指定する

[クラウド同期構成の編集]画面にて、[クリックしてスコープ フィルターを編集します]をクリックします。[ユーザーのスコープを指定する]画面が表示されるので、同期対象としたい[セキュリティグループ]または、組織単位(OU)を設定し、[完了]をクリックします

同期をテストする

  1. [クラウド同期構成の編集]画面にて、[ユーザーのプロビジョニング]をクリックします。

  2. [要求時にプロビジョニング]画面が表示されるので、[ユーザーを入力]欄にADユーザーの識別名を入力し、[プロビジョニング]をクリックします。

  3. 同期に成功していると、次の画面にて全て[緑のチェック]が付くので[完了]をクリックします。

通知用のメールアドレスを設定する

[クラウド同期構成の編集]画面にて、[通知用電子メール]欄があるので、通知メールを受信したいメールアドレスを設定します。

同期の開始

[クラウド同期構成の編集]画面にて、[配置]欄があるので、[有効にする]を選択し画面上部の[保存]をクリックすることで同期が開始されます。

同期の状態確認

正常に開始された場合は、[Azure Active Directory] > [Azure AD Connect] > [Azure AD クラウド同期を管理する] に表示されている作成した構成の状態が[正常]になっています。
また、Azure AD 管理センターにて[ユーザー] > [すべてのユーザー]画面を開くと、同期されたユーザーが増えていると思います。同期されたユーザーは[同期されたディレクトリ]列が[はい]になっているアカウントです。

必要な人は追加で設定が可能な属性マッピング

属性マッピングの編集

あまり設定することはないかもしれませんが、Active Directory での丁寧に属性を設定している場合には、本設定を綺麗にすることで
Azure AD上でもActive Directory で設定した属性を活用することが可能になります。
なお、属性マッピングの設定はユーザー、グループ、連絡先と別々に用意されています。
今まで属性マッピングをするためにAzure AD Connect導入サーバーにアクセスしなければ・・・。と手間に感じていた方々には革新的な進化かもしれません。

活用例

他の方も紹介している活用例になるので、私の備忘録を読まれている方は既に把握しているかもしれませんが記載しておきます。

  1. 代替ログインIDをメール属性で設定する
    これ、Azure AD Connect導入では良く使いますよね。
     command
    IIF(IsPresent([mail]), [mail], IIF(IsPresent([userPrincipalName]), [userPrincipalName], Error(“AccountName is not present”)))
    



  2. 利用場所をADの国/地域から引っ張ってくる。ただし、設定が無い場合は、日本にする。
     command
    IIF(IsNullOrEmpty([c]),”JP”, [c])
    


Azure AD Connect は不要??

アプリケーションのインストールいらない!ADとは別にサーバーを用意する必要ないからいいじゃん!と上記にも記載のメリットだけ見ていけば、Azure AD Connectは不要と思えて来るかもしれません。しかし私が考えるに、まだまだAzure AD Connectは必要だと思います。
理由としては、デメリットに記載している"デバイス情報の同期"や"パスワードライトバック"ができないです。
それ以外にも出来ないことは多くあるので、純粋にユーザー情報だけ同期したいよ。という方にはお勧めできる機能だと思います。

Azure AD Connect から Azure AD Connect Cloud Sync への移行

私自身、上記環境を構成するときに実施してみたのですが、単純にAzure AD Connectの同期設定を停止しAzure AD Connect クラウド同期の構成をとることで、簡単に移行(切替)が出来ました。 また、Azure AD Connect Provisioning Agent (エージェント)を入れるサーバーは、Azure AD Connectが稼働しているサーバーに入れましたが、特に問題は起きずに稼働しています。

注意点としてAzure AD Connect 同期のソース アンカーが objectGuid または ms-ds-consistencyGUIDとなっている必要があるそうです。

さいごに・・・

オンプレミスADがあるときに、クラウドでのID管理をオンプレミスADに委任したい場合にAzure AD 同期という選択肢が生まれます。
本記事を読んでいただき、ぜひどの同期方法を選ぶのが良いか判断する材料として使って頂ければ嬉しいです。

自分
自分
私個人として、Azure AD Connect Cloud Sync (クラウド同期)の登場は、すごく驚き良い機能だと感じました。
メリット/デメリットに記載した通り、利用できない機能が多々存在しているので要件に合わせて利用してみてください。
グループ会社などで、喜ばれるであろう横繋がりの無いADにエージェントをそれぞれ導入し、Azure ADに同期が可能!さらに複数エージェントを導入することで冗長化構成が可能!この2つが売り文句だと思いました。

 

構成方法は以下記事をご参照くださいっ。

-Cloud Solutions