Azure ADにデバイスを登録する方法を説明します。よく似た言葉で「Azure AD 登録」「Azure AD 参加」「ハイブリッド Azure AD 参加」がありますが、「ハイブリッド Azure AD 参加」はオンプレミスのActive DirectoryとAzure Active Directoryを連携させる手法です。例えば、Windows 7のようにAzure ADと直接連携できないデバイスを管理したい要望がある場合は、「ハイブリッド Azure AD 参加」は有効な手段になります。
オンプレミスとAzureのADが同期している事を確認する方法を示します。
テスト用のユーザとコンピュータ
オンプレミスのActive DirectoryとAzure Active Directorが連携している事を確かめるために、テスト用のユーザとコンピュータを作成します。
テスト用ユーザの作成
「サーバーマネージャー」の画面を開きます。「ツール」「Active Directory ユーザーとコンピューター」の順に押下します。
「Users」の右クリックメニューを表示し、「新規作成」「ユーザー」の順に押下します。
テスト用のユーザ情報を入力します。入力後、「次へ」を押下します。
パスワードを入力します。「ユーザーは次回ログオン時にパスワード変更が必要」のチェックボックスを外すと動作確認がやりやすくなります。入力後、「次へ」を押下します。
「完了」を押下します。
この操作を何度か繰り返し、ユーザを複数作成します。
テスト用コンピューターの作成
動作確認を目的としてWindows 10端末をいくつか準備します。もし、物理的なマシンを用意するのが難しいならばAzureのVirtual Machineを使用すると良いでしょう。
まずはテスト用のコンピュータの「コントロールパネル」から「TCP/IPv4」の設定をします。DNSサーバをActive Directoryに向けます。これはAcitve Directoryに参加するための前提条件です。
「左下スタートメニュー」「設定」の順に押下します。
「アカウント」を押下します。
「職場または学校にアクセスする」「接続」の順に押下します。
「このデバイスをローカル Active Directory ドメインに参加させる」を押下します。
オンプレミス側のActive Directoryの「ドメイン名前」を入力します。その後、「次へ」を押下します。
オンプレミス側のActive Directoryの「ユーザー名」「パスワード」を入力します。その後、「OK」を押下します。
このタイミングでActive Directoryにユーザを追加するかどうかを聞かれます。追加が必要ないならば、「スキップ」を押下します。
「今すぐ再起動する」を押下し、再起動で設定を反映させます。
念の為、コンピュータがオンプレミス側のActive Directoryに参加できているかを確認します。
「サーバーマネージャー」の画面で、「ツール」「Active Directory ユーザーとコンピューター」の順に押下します。
「Computers」を押下し、想定通りのコンピューターがActive Directoryに参加している事を確認します。
Azure AD Connectの設定
デバイスオプションの構成
「Azure AD Connect」を開きます。
以下は「チュートリアル:マネージド ドメイン用のハイブリッド Azure Active Directory 参加の構成」を参考に作成した操作手順です。
「構成」を押下します。
「デバイスオプションの構成」を選択し、「次へ」を押下します。
「概要」の画面は、そのまま「次へ」を押下します。
「Azure ADに接続」の画面は、Azureのユーザー名とパスワードを入力します。その後、「次へ」を押下します。
「デバイスオプション」の画面は、「ハイブリッド Azure AD 参加の構成」を選択し、「次へ」を押下します。
「デバイスのオペレーティングシステム」の画面は、「Windows 10 以降のドメインに参加しているデバイス」にチェックを入れ、「次へ」を押下します。
「SCPの構成」は操作が直感的ではなく分かりづらい所があります。やや丁寧に説明します。
Azure ADに参加させたいドメインにチェックを入れます。その後、「追加」を押下します。
オンプレミス側のActive Directoryエンタープライズ管理者のユーザー名とパスワードを入力し、「OK」を押下します。
しばらく待つと、「エンタープライズ管理者」欄にユーザ名が表示されます。その後、「認証サービス」欄がプルダウンで選択可能になります。「認証サービス」を「Azure Active Directory」とします。
「フォレスト」「認証サービス」「エンタープライズ管理者」が以下スクリーンショットのように設定されている事を確認し、「次へ」を押下します。
「構成」を押下します。
「終了」を押下します。
同期確認
Azure Portal
同期にはかなりの時間を要します。上記操作が終わってから1時間後くらいに確認しましょう。
「ID」「Active Directory」の順に押下し、「Active Directory」の画面を開きます。
「ユーザー」「すべてのユーザー」の順に押下し、オンプレミス上のユーザがAzure ADのポータルから見える事を確認します。
「グループ」を押下し、「ADSyncAdmins」などのハイブリッドAD専用のグループが作成されている事を確認します。
「デバイス」「すべてのデバイス」の順に押下し、オンプレミス上のデバイスがAzure ADのポータルから見える事を確認します。
Office 365 Portal
オンプレミスのActive DiretoryからAzure Active Directoryへ伝搬された情報はOffice 365 Portalからも確認できます。「Office 365 Login」をブラウザで開きます。
左側メニューの「管理」を押下します。
「ユーザー」「アクティブなユーザー」の順に押下し、オンプレミス側のActive Directoryによって登録されたユーザが表示されている事を確認します。