見出し画像

オンプレADの.localドメインをAzureADと同期させよう

アイシーティーリンク株式会社 公式ブログ

みなさん初めましてアイシーティーリンクの相澤です(^^)/

アイシーティリンクの一員となってあっという間に1カ月が過ぎました。
未経験者ですが初めてのブログを載せさせて頂きます。
そもそもブログを書くの初めてなので、まとまっているか心配ですが、
お付き合いください!

この1カ月で学んだオンプレADとAzureAD(以下AAD)の同期についてお話しいたしますが、同期するにあたりオンプレAD側のドメインが.localであった場合に発生する問題について中心的にお話させて頂きたいと思います。

まず最初に、オンプレADとAADを同期する為にAzureAD Connect(以下AADC)というツールを使用しますのでインストールをお願いいたします。

オンプレActive DirectoryとAADC/AADの関係は下記の図の通りです。

GMOインターネットグループサイトより引用

AADCのユーザー同期は、Microsoft365で確認済みのドメインを対象としている為、Microsoft365で有効なインターネットドメイン(.com/.co.jp/.netなど)を使用しなくてはいけませんが、このオンプレミスAD側が.localドメインだった場合は非ルーティングドメインとなりMicrosoft365の確認済みドメインと一致しないので、この問題を解決しなくてはいけません。

この状況を解消する為にはいくつか方法がありますが、
今回はUPNサフィックスを追加してユーザのUPNを更新し、.localドメインを新しいドメイン名に置き換える方法をご説明いたします。

、、、、その前にUPNとは、、、なんだ?とIT初心者はなりますので、
UPNについてもご説明させて頂きます。

UPNとは?

UPNは User Principal Nameの略で ユーザープリンシパルネームと読みます。UPNはActive Directory で用いられるユーザー名の表記方法の一つです。

登録ユーザーのアカウント名 @ 所属ドメイン名 で表記されます。

                   例      test-user@example.com

上記のような形式となり、前半がアカウント名で@を挟んでドメイン名となります。電子メールアドレスと同様の表記方法で、UPNと本人のメールアドレスが一致するように運用する事が多いようです。

UPN追加方法

Active Directory ドメインと信頼関係を開きプロパティを選択します。
UPNサフィックスより代わりのUPNサフィックスを追加します。

【新しいユーザーを作成する場合】

ドメインコントローラーのスタートメニューから「Active Directoryユーザーとコンピューター」または「サーバーマネージャーのツール」から起動します。ユーザーを新しく作成する場合は、ユーザーログオン名で追加したサフィックスが選択できるようになっています。

【既存ユーザーの場合】

既存ユーザーの場合はユーザーのプロパティで「アカウント」-「ユーザーログオン名」で追加したサフィックスが選択できるようになっています。


Azure AD Connectの構成

AADCをインストール後の構成の流れをご紹介します。

ライセンス条項およびプライバシーに関する声明に同意して【続行】を選択

今回は【カスタマイズ】を選択

そのまま【インストール】を選択

シングルサインオンを有効にし 【次へ】を選択

AzureAD管理者アカウントを入力し【次へ】を選択

ディレクトリの追加を選択

新しいADアカウント作成からAD管理者を入力し【OK】を選択

【次へ】を選択

一部のUPNサフィックスが確認済みドメインに一致していなくても
続行するにチェックを入れたあと【次へ】を選択

【次へ】を選択

【次へ】を選択

【次へ】を選択

【次へ】を選択

【資格情報の入力】を選択

AD管理者アカウントを入力し【OK】を選択

【次へ】を選択

【インストール】を選択

構成が完了したら【終了】を選択

つづいてAzureADconnectでユーザーが追加されているか確認しましょう。
※既定の設定では30分毎に同期される設定になっています。

オンプレADで追加したユーザーが同期されている事を確認できます。

Synchronization Serviceより同期の詳細を確認

Synchronization Serviceを開き同期の状況を確認しましょう。


既定の設定では30分毎の同期となっていますが、ADユーザー情報を変更後、すぐに同期したいという際は、下記の方法で同期を実行する事ができます。

【即座に同期を実行したい場合】
PowerShellにて下記のコマンドを実行。

Start-ADSyncSyncCycle -PolicyType Delta

Successが表示されていれば同期の完了です。

【同期のスケジュールを確認したい場合】

Get-ADSyncScheduler

現在の同期スケジュールの設定を確認する事ができます。

最後に

ざっくりとしたご紹介となりましたが、.localドメインの同期を実施する際の参考にして頂ければ幸いです。

本日は初めてブログにお付き合い頂きましてありがとうございます。
今後も参考になるようなブログを書いていきたいと思います。
今後とも宜しくお願いします!

では!また次回のブログで!!(^^)/
ありがとうございました!

この記事が気に入ったらサポートをしてみませんか?