チュートリアル: 1 つの Active Directory フォレストでハイブリッド ID にフェデレーションを使用する
このチュートリアルでは、フェデレーションと Windows Server Active Directory (Windows Server AD) を使用して Azure でハイブリッド ID 環境を作成する方法について説明します。 作成したハイブリッド ID 環境は、テスト目的や、ハイブリッド ID のしくみについて理解を深めるために使用できます。
このチュートリアルでは、次の作業を行う方法について説明します。
- 仮想マシンを作成します。
- Windows Server Active Directory 環境を作成する。
- Windows Server Active Directory ユーザーを作成する。
- 証明書を作成する。
- Microsoft Entra テストを作成する。
- Azure でハイブリッド ID 管理者アカウントを作成する。
- カスタム ドメインをディレクトリに追加する。
- Microsoft Entra Connect を設定する。
- ユーザーが同期されていることをテストして確認する。
前提条件
このチュートリアルを完了するには、以下のものが必要です。
- Hyper-V がインストールされたコンピューター。 Hyper-V は、Windows 10 または Windows Server 2016 コンピューターにインストールすることをお勧めします。
- Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
- 仮想マシンがインターネットに接続できるようにするための外部ネットワーク アダプター。
- Windows Server 2016 のコピー。
- 確認可能なカスタム ドメイン。
注意
このチュートリアルでは、PowerShell スクリプトを使用して、チュートリアル環境をすばやく作成します。 各スクリプトでは、そのスクリプトの先頭で宣言された変数が使用されます。 変数は環境に合わせて変更してください。
このチュートリアルのスクリプトでは、Microsoft Entra Connect をインストールする前に、一般的な Windows Server Active Directory (Windows Server AD) 環境を作成します。 スクリプトは、関連するチュートリアルでも使用されます。
このチュートリアルで使用される PowerShell スクリプトは、GitHub で入手できます。
仮想マシンの作成
ハイブリッド ID 環境を作成するための最初のタスクは、オンプレミスのWindows Server AD サーバーとして使用する仮想マシンを作成することです。
注意
ホスト コンピューターにおいて PowerShell でスクリプトを実行したことがない場合は、スクリプトを実行する前に、管理者として Windows PowerShell ISE 開き、Set-ExecutionPolicy remotesigned を実行します。 [実行ポリシーの変更] ダイアログで、[はい] を選択します。
仮想マシンを作成するには:
Windows PowerShell ISE を管理者として開きます。
次のスクリプトを実行します。
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create a new virtual machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add a DVD drive to the virtual machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount installation media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure the virtual machine to boot from the DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
オペレーティング システムをインストールする
仮想マシンの作成を完了するには、オペレーティング システムをインストールします。
- Hyper-V マネージャーで、仮想マシンをダブルクリックします。
- [スタート] を選択します。
- プロンプトで、任意のキーを押して CD または DVD から起動します。
- Windows Server のスタート ウィンドウで、使用する言語を選択し、[次へ] を選択します。
- [今すぐインストール] を選択します。
- ライセンス キーを入力し、[次へ] を選択します。
- [ライセンス条項に同意します] チェック ボックスをオンにし、[次へ] を選択します。
- [カスタム: Windows のみをインストールする (詳細設定)] を選択します。
- [次へ] を選択します。
- インストールが完了したら、仮想マシンを再起動します。 サインインし、[Windows Update] をオンにします。 更新プログラムをインストールして、VM が完全に最新であることを確認します。
Windows Server AD の前提条件をインストールする
Windows Server ADをインストールする前に、前提条件をインストールするスクリプトを実行します。
Windows PowerShell ISE を管理者として開きます。
Set-ExecutionPolicy remotesignedを実行します。 [実行ポリシーの変更] ダイアログで、[すべてはい] を選択します。次のスクリプトを実行します。
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set a static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Windows Server AD 環境を作成する
次に、環境を作成するために Active Directory Domain Services をインストールして構成します。
Windows PowerShell ISE を管理者として開きます。
次のスクリプトを実行します。
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomainNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force #Install Active Directory Domain Services, DNS, and Group Policy Management Console start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create a new Windows Server AD forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Windows Server AD ユーザーを作成する
次に、テスト用のユーザー アカウントを作成します。 オンプレミスの Active Directory 環境でこのアカウントを作成します。 その後、アカウントは Microsoft Entra ID に同期されます。
Windows PowerShell ISE を管理者として開きます。
次のスクリプトを実行します。
#Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
AD FS の証明書を作成する
Active Directory フェデレーション サービス (AD FS) で使用する TLS または SSL 証明書が必要になります。 証明書は自己署名証明書であり、テストにのみ使用するために作成します。 運用環境では、自己署名証明書を使用しないことをお勧めします。
証明書を作成するには:
Windows PowerShell ISE を管理者として開きます。
次のスクリプトを実行します。
#Declare variables $DNSname = "adfs.contoso.com" $Location = "cert:\LocalMachine\My" #Create a certificate New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
Microsoft Entra テストを作成する
ない場合は、「Microsoft Entra ID で新しいテナントを作成する」の記事の手順に従って、新しいテナントを作成します。
Microsoft Entra ID でハイブリッド ID の管理者アカウントを作成する
次のタスクは、ハイブリッド ID 管理者アカウントを作成することです。 このアカウントは、Microsoft Entra Connect のインストール中に Microsoft Entra Connector アカウントを作成するために使用されます。 Microsoft Entra Connector アカウントは、Microsoft Entra ID に情報を書き込むために使用されます。
ハイブリッド ID 管理者アカウントを作成するには:
Microsoft Entra 管理センターにサインインします。
[ID]>[ユーザー]>[すべてのユーザー] の順に参照してください
[新しいユーザー]>[新しいユーザーの作成] を選択します。
[新しいユーザーの作成] ペインで、新しいユーザーの [表示名] と[ユーザー プリンシパル名] を入力します。 テナントのハイブリッド ID 管理者アカウントを作成しているところです。 一時パスワードを表示およびコピーできます。
- [割り当て] で [ロールの追加] を選択し、[ハイブリッド ID の管理者] を選びます。
次に、[確認と作成]>[作成] の順に選択します。
新しい Web ブラウザー ウィンドウで、新しいハイブリッド ID 管理者アカウントと一時パスワードを使用して
myapps.microsoft.comにサインインします。ハイブリッド ID 管理者アカウントの新しいパスワードを選択し、パスワードを変更します。
カスタム ドメイン名をディレクトリに追加する
テナントとハイブリッド ID 管理者を作成したので、Azure が検証できるように、カスタム ドメインを追加します。
カスタム ドメイン名をディレクトリに追加するには:
[Microsoft Entra管理センター](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview) で、[すべてのユーザー] ウィンドウを閉じてください。
左側のメニューで、[Manage](管理) の下の [Custom domain names](カスタム ドメイン名) を選択します。
[カスタム ドメインの追加] を選択します。
[Custom domain names](カスタム ドメイン名) で、カスタム ドメインの名前を入力し、[Add domain](ドメインの追加) を選択します。
[カスタム ドメイン名] に、TXT または MX の情報が表示されます。 この情報は、ドメインのドメイン レジストラーの DNS 情報に追加する必要があります。 ドメイン レジストラーに移動して、ドメインの DNS 設定で TXT または MX 情報を入力します。
この情報をドメイン レジストラーに追加すると、Azure がドメインを検証できるようになります。 ドメインの検証には最大 24 時間かかる場合があります。詳細については、カスタム ドメインの追加に関するドキュメントを参照してください。
ドメインが検証されていることを確認するには、[確認する] を選択します。
Microsoft Entra Connect をダウンロードしてインストールする
ここで、Microsoft Entra Connect をダウンロードしてインストールします。 インストール後、高速インストールを使用します。
Microsoft Entra Connect をダウンロードします。
AzureADConnect.msi に移動し、ダブルクリックしてインストール ファイルを開きます。
[開始] で、ライセンス条項に同意するチェック ボックスをオンにし、[続行] を選択します。
[Express settings](簡単設定) で、[カスタマイズする] を選択 します。
[必要なコンポーネントのインストール] で、[インストール] を選択します。
[ユーザー サインイン] で [AD FS とのフェデレーション] を選択してから、[次へ] を選択します。
[Connect to Microsoft Entra ID] (Microsoft Entra ID に接続) で、先ほど作成したハイブリッド ID の管理者アカウントのユーザー名とパスワードを入力し、[次へ] を選択します。
[Connect your directories](ディレクトリの接続) で、[ディレクトリの追加] を選択します。 次に [新しい AD アカウントを作成] を選択し、contoso\Administrator のユーザー名とパスワードを入力します。 [OK] を選択します。
[次へ] を選択します。
[Microsoft Entra sign-in configuration] (Microsoft Entra サインインの構成) で、[一部の UPN サフィックスが確認済みドメインに一致していなくても続行する] を選択します。 [次へ] を選択します。
[ドメインと OU のフィルタリング] で、[次へ] を選択します。
[一意のユーザー識別] で、[次へ] を選択します。
[ユーザーおよびデバイスのフィルタリング] で、[次へ] を選択します。
[Optional features](オプション機能) で、[次へ] を選択します。
[ドメイン管理者の資格情報] で contoso\Administrator のユーザー名とパスワードを入力してから、[次へ] をクリックします。
[AD FS ファーム] で、[新しい AD FS ファームを構成する] をオンにします。
[フェデレーション サーバーにインストールされている証明書を使用します] を選択し、[参照する] を選択します。
検索ボックスに「DC1」と入力し、検索結果で選択します。 [OK] を選択します。
[証明書ファイル] に、作成した証明書 adfs.contoso.com 選択します。 [次へ] を選択します。
[AD FS サーバー] で、[参照する] を選択します。 検索ボックスに「DC1」と入力し、検索結果で選択します。 [OK] を選択し、 [次へ] を選択します。
[Web アプリケーション プロキシ サーバー] で、[次へ] を選択します。
[AD FS サービス アカウント] で contoso\Administrator のユーザー名とパスワードを入力してから、[次へ] を選択します。
[Microsoft Entra ドメイン] で、検証済みのカスタム ドメインを選択し、[次へ] を選択します。
[構成の準備完了] で、[インストール] を選択します。
インストールが完了したら、[終了] をクリックします。
次に、Synchronization Service Manager または同期規則エディターを使用する前に、サインアウトしてから、もう一度サインインします。
ポータルでユーザーを確認する
次に、オンプレミスの Active Directory テナント内のユーザーが同期され、Microsoft Entra テナントに存在することを確認します。 このセクションが完了するまでに数時間かかることがあります。
ユーザーが同期されていることを確認するには:
少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。
[ID]>[ユーザー]>[すべてのユーザー] の順に参照してください
テナントに新しいユーザーが表示されていることを確認します。
ユーザー アカウントでサインインして同期をテスト
Windows Server AD テナントのユーザーが Microsoft Entra テナントと同期されていることをテストするには、次のいずれかのユーザーとしてサインインします。
「 https://myapps.microsoft.com 」を参照してください。
新しいテナントで作成されたユーザー アカウントを使用してサインインします。
ユーザー名には、
user@domain.onmicrosoft.comという形式を使用します。 ユーザーがオンプレミスの Active Directory へのサインインに使用するのと同じパスワードを使用します。
ハイブリッド ID 環境を正常に設定できました。これは、Azure の機能をテストしたり理解したりするために使用できます。
次のステップ
- Microsoft Entra Connect のハードウェアと前提条件を確認します。
- Microsoft Entra Connect でカスタム設定を使用する方法を確認します。
- Microsoft Entra Connect とフェデレーションの詳細をご確認ください。