チュートリアル:単一のフォレストを単一の Azure AD テナントに統合するTutorial: Integrate a single forest with a single Azure AD tenant

このチュートリアルでは、Azure Active Directory (Azure AD) Connect クラウド プロビジョニングを使用してハイブリッド ID 環境を作成する手順について説明します。This tutorial walks you through creating a hybrid identity environment using Azure Active Directory (Azure AD) Connect cloud provisioning.

作成

このチュートリアルで作成した環境は、テスト目的や、クラウド プロビジョニングについて理解を深める目的に使用できます。You can use the environment you create in this tutorial for testing or for getting more familiar with cloud provisioning.

前提条件Prerequisites

Azure Active Directory 管理センターIn the Azure Active Directory admin center

  1. Azure AD テナントで、クラウド専用のグローバル管理者アカウントを作成します。Create a cloud-only global administrator account on your Azure AD tenant. その方法を採用すると、オンプレミス サービスが利用できなくなったとき、テナントの構成を管理できます。This way, you can manage the configuration of your tenant should your on-premises services fail or become unavailable. クラウド専用のグローバル管理者アカウントを追加する手順については、こちらをご覧ください。Learn about adding a cloud-only global administrator account. テナントからロックアウトされないようにするには、この手順を必ず完了する必要があります。Completing this step is critical to ensure that you don't get locked out of your tenant.
  2. 1 つ以上のカスタム ドメイン名を Azure AD テナントに追加します。Add one or more custom domain names to your Azure AD tenant. ユーザーは、このドメイン名のいずれかを使用してサインインできます。Your users can sign in with one of these domain names.

オンプレミスの環境の場合In your on-premises environment

  1. 4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを搭載した、Windows Server 2012 R2 以降が実行されているドメイン参加済みホスト サーバーを特定します。Identity a domain-joined host server running Windows Server 2012 R2 or greater with minimum of 4 GB RAM and .NET 4.7.1+ runtime

  2. サーバーと Azure AD の間にファイアウォールがある場合は、次の項目を構成します。If there is a firewall between your servers and Azure AD, configure the following items:

    • エージェントが次のポートを介して Azure AD に "送信" 要求を発行できるようにします。Ensure that agents can make outbound requests to Azure AD over the following ports:

      ポート番号Port number 用途How it's used
      8080 SSL 証明書を検証する際に証明書失効リスト (CRL) をダウンロードするDownloads the certificate revocation lists (CRLs) while validating the SSL certificate
      443443 サービスを使用したすべての送信方向の通信を処理するHandles all outbound communication with the service
      8080 (省略可能)8080 (optional) ポート 443 が使用できない場合、エージェントは、ポート 8080 経由で 10 分おきにその状態をレポートします。Agents report their status every 10 minutes over port 8080, if port 443 is unavailable. この状態は Azure AD ポータルに表示されます。This status is displayed on the Azure AD portal.

      ご利用のファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスを送信元とするトラフィックに対してこれらのポートを開放します。If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • ファイアウォールまたはプロキシで安全なサフィックスを指定できる場合は、 *.msappproxy.net および *.servicebus.windows.net への接続を追加します。If your firewall or proxy allows you to specify safe suffixes, then add connections t to *.msappproxy.net and *.servicebus.windows.net. そうでない場合は、毎週更新される Azure データセンターの IP 範囲へのアクセスを許可します。If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • エージェントは、初期登録のために login.windows.netlogin.microsoftonline.com にアクセスする必要があります。Your agents need access to login.windows.net and login.microsoftonline.com for initial registration. これらの URL にもファイアウォールを開きます。Open your firewall for those URLs as well.

    • 証明書の検証のために、URL mscrl.microsoft.com:80crl.microsoft.com:80ocsp.msocsp.com:80www.microsoft.com:80 のブロックを解除します。For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. 他の Microsoft 製品でもこれらの URL を証明書の検証に使用しているので、URL のブロックを既に解除している可能性もあります。Since these URLs are used for certificate validation with other Microsoft products you may already have these URLs unblocked.

Azure AD Connect プロビジョニング エージェントをインストールするInstall the Azure AD Connect provisioning agent

  1. ドメイン参加済みサーバーにサインインします。Sign in to the domain joined server. AD と Azure の基本的な環境に関するチュートリアルを使用している場合、これは DC1 になります。If you are using the Basic AD and Azure environment tutorial, it would be DC1.

  2. クラウド専用の全体管理者資格情報を使用して Azure portal にサインインします。Sign in to the Azure portal using cloud-only global admin credentials.

  3. 左側の [Azure Active Directory] を選択して [Azure AD Connect] をクリックし、中央の [プロビジョニングの管理 (プレビュー)] を選択します。On the left, select Azure Active Directory, click Azure AD Connect, and in the center select Manage provisioning (preview).

    Azure ポータル

  4. [エージェントのダウンロード] をクリックします。Click Download agent.

  5. Azure AD Connect プロビジョニング エージェントを実行します。Run the Azure AD Connect provisioning agent.

  6. スプラッシュ スクリーンでライセンス条項に同意し、 [インストール] をクリックします。On the splash screen, Accept the licensing terms and click Install.

    [ようこそ] 画面

  7. この操作が完了すると、構成ウィザードが起動します。Once this operation completes, the configuration wizard will launch. 自分の Azure AD 全体管理者アカウントでサインインします。Sign in with your Azure AD global administrator account. IE セキュリティ強化を有効にしている場合はサインインがブロックされることに注意してください。Note that if you have IE enhanced security enabled this will block the sign-in. その場合はインストールを終了して、サーバー マネージャーで IE セキュリティ強化を無効にし、 [AAD Connect Provisioning Agent Wizard](AAD Connect プロビジョニング エージェント ウィザード) をクリックしてインストールを再開します。If this is the case, close the installation, disable IE enhanced security in Server Manager, and click the AAD Connect Provisioning Agent Wizard to restart the installation.

  8. [Connect Active Directory](Active Directory の接続) 画面で [ディレクトリの追加] をクリックし、Active Directory ドメイン管理者アカウントを使用してサインインします。On the Connect Active Directory screen, click Add directory and then sign in with your Active Directory domain administrator account. 注:ドメイン管理者アカウントに、パスワード変更要件は設定しないでください。NOTE: The domain administrator account should not have password change requirements. パスワードが期限切れになった場合や変更された場合は、新しい資格情報でエージェントを再構成する必要があります。In case the password expires or changes, you will need to re-configure the agent with the new credentials. この操作によってオンプレミス ディレクトリが追加されます。This operation will add your on-premises directory. [次へ] をクリックします。Click Next.

    [ようこそ] 画面

  9. [構成が完了しました] 画面で、 [Confirm](確認) をクリックします。On the Configuration complete screen, click Confirm. この操作によって、エージェントが登録され、再起動されます。This operation will register and restart the agent.

    [ようこそ] 画面

  10. この操作が完了すると、次の通知が表示されます。 "Your agent configuration was successfully verified. (エージェントの構成が正常に検証されました。)"Once this operation completes you should see a notice: Your agent configuration was successfully verified. [終了] をクリックします。You can click Exit.
    [ようこそ] 画面Welcome screen

  11. まだ最初のスプラッシュ スクリーンが表示されている場合は、 [閉じる] をクリックします。If you still see the initial splash screen, click Close.

エエージェントのインストールを確認するVerify agent installation

エージェントの確認は、Azure portal のほか、エージェントが実行されているローカル サーバーで行います。Agent verification occurs in the Azure portal and on the local server that is running the agent.

Azure portal でのエージェントの確認Azure portal agent verification

エージェントが Azure で表示されていることを確認するには、次の手順を実行します。To verify the agent is being seen by Azure follow these steps:

  1. Azure ポータルにサインインします。Sign in to the Azure portal.

  2. 左側の [Azure Active Directory] を選択して [Azure AD Connect] をクリックし、中央の [プロビジョニングの管理 (プレビュー)] を選択します。On the left, select Azure Active Directory, click Azure AD Connect and in the center select Manage provisioning (preview).
    Azure PortalAzure portal

  3. [Azure AD のプロビジョニング (プレビュー)] 画面で [すべてのエージェントの確認] をクリックします。On the Azure AD Provisioning (preview) screen click Review all agents. Azure AD のプロビジョニングAzure AD Provisioning

  4. [On-premises provisioning agents](オンプレミス プロビジョニング エージェント) 画面に、インストールしたエージェントが表示されます。On the On-premises provisioning agents screen you will see the agents you have installed. 該当するエージェントが存在し、 [アクティブ] としてマークされていることを確認します。Verify that the agent in question is there and is marked active. プロビジョニング エージェントProvisioning agents

ローカル サーバーの場合On the local server

エージェントが実行されていることを確認するには、次の手順に従います。To verify that the agent is running follow these steps:

  1. 管理者アカウントでサーバーにログオンします。Log on to the server with an administrator account
  2. [サービス] を開きます。これには、そこに直接移動するか、スタート ボタンをクリックし、[ファイル名を指定して実行] で「Services.msc」と入力します。Open Services by either navigating to it or by going to Start/Run/Services.msc.
  3. [サービス][Microsoft Azure AD Connect Agent Updater][Microsoft Azure AD Connect Provisioning Agent] が存在し、その状態が [実行中] になっていることを確認します。Under Services, make sure Microsoft Azure AD Connect Agent Updater and Microsoft Azure AD Connect Provisioning Agent are present and the status is Running. サービスServices

Azure AD Connect クラウド プロビジョニングを構成するConfigure Azure AD Connect cloud provisioning

プロビジョニングを構成するには、次の手順に従います。Use the following steps to configure provisioning

  1. Azure AD ポータルにサインインします。Sign in to the Azure AD portal.
  2. [Azure Active Directory] をクリックします。Click Azure Active Directory
  3. [Azure AD Connect] をクリックします。Click Azure AD Connect
  4. [プロビジョニングの管理 (プレビュー)] を選択します。 Select Manage provisioning (Preview)
  5. [新しい構成] をクリックします。 Click New Configuration
  6. 構成画面で、通知用メール アドレスを入力し、セレクターを [有効] に移動して、 [保存] をクリックします。On the configuration screen, enter a Notification email, move the selector to Enable and click Save.
  7. 構成の状態が [正常] になります。The configuration status should now be Healthy.

ユーザーが作成され、同期が実行されていることを確認するVerify users are created and synchronization is occurring

オンプレミスのディレクトリに存在していたユーザーが同期され、現在は Azure AD テナントに存在することを確認します。You will now verify that the users that you had in our on-premises directory have been synchronized and now exist in our Azure AD tenant. これが完了するまでに数時間かかる場合があることに注意してください。Be aware that this may take a few hours to complete. ユーザーが同期されていることを確認するには、以下を実行します。To verify users are synchronized do the following.

  1. Azure portal に移動し、Azure サブスクリプションがあるアカウントを使ってサインインします。Browse to the Azure portal and sign in with an account that has an Azure subscription.
  2. 左側の [Azure Active Directory] を選択します。On the left, select Azure Active Directory
  3. [管理] にある [ユーザー] を選択します。Under Manage, select Users.
  4. テナントに新しいユーザーが表示されていることを確認します。Verify that you see the new users in our tenant
    同期Synch

いずれかのユーザーでサインインをテストするTest signing in with one of our users

  1. https://myapps.microsoft.com に移動します。Browse to https://myapps.microsoft.com
  2. 新しいテナントで作成されたユーザー アカウントを使用してサインインします。Sign in with a user account that was created in our new tenant. user@domain.onmicrosoft.com の形式を使用してサインインする必要があります。You will need to sign in using the following format: (user@domain.onmicrosoft.com). ユーザーがオンプレミスでのサインインに使用するのと同じパスワードを使用します。Use the same password that the user uses to sign in on-premises.
    確認Verify

これでハイブリッド ID 環境を正常に設定できました。この環境は、Azure で提供されるサービスをテストしたり理解したりするために使用できます。You have now successfully setup a hybrid identity environment that you can use to test and familiarize yourself with what Azure has to offer.

次の手順Next steps