チュートリアル:パスワード ハッシュの同期 (PHS) を使用して単一 AD フォレストを統合するTutorial: Integrate a single AD forest using password hash sync (PHS)

作成

以下のチュートリアルでは、パスワード ハッシュの同期を使用してハイブリッド ID 環境を作成する手順を説明します。この環境は、テストを行うためや、ハイブリッド ID のしくみを詳しく理解するために使用できます。The following tutorial will walk you through creating a hybrid identity environment using password hash sync. This environment can then be used for testing or for getting more familiar with how a hybrid identity works.

前提条件Prerequisites

このチュートリアルを完了するために必要な前提条件を次に示します。The following are prerequisites required for completing this tutorial

注意

最短時間でチュートリアル環境を作成できるよう、このチュートリアルでは PowerShell スクリプトを使用します。This tutorial uses PowerShell scripts so that you can create the tutorial environment in the quickest amount of time. 各スクリプトでは、その先頭で宣言された変数が使用されます。Each of the scripts uses variables that are declared at the beginning of the scripts. 変数はお客様の環境に合わせて変更することができ、そうする必要があります。You can and should change the variables to reflect your environment.

使用されるスクリプトでは、Azure AD Connect のインストール前に一般的な Active Directory 環境が作成されます。The scripts used create a general Active Directory environment prior to installing Azure AD Connect. これらはすべてのチュートリアルに関連しています。They are relevant for all of the tutorials.

このチュートリアルで使用される PowerShell スクリプトのコピーは、こちらの GitHub で入手できます。Copies of the PowerShell scripts that are used in this tutorial are available on GitHub here.

仮想マシンの作成Create a virtual machine

ハイブリッド ID 環境を稼働させるには、まず、オンプレミスの Active Directory サーバーとして使用される仮想マシンを作成する必要があります。The first thing that we need to do, in order to get our hybrid identity environment up and running is to create a virtual machine that will be used as our on-premises Active Directory server. 次の操作を行います。Do the following:

  1. PowerShell ISE を管理者として起動します。Open up the PowerShell ISE as Administrator.
  2. 次のスクリプトを実行します。Run the following script.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

オペレーティング システムの展開を完了するComplete the operating system deployment

仮想マシンの作成を完了するには、オペレーティング システムのインストールを完了する必要があります。In order to finish building the virtual machine, you need to finish the operating system installation.

  1. Hyper-V マネージャーで仮想マシンをダブルクリックします。Hyper-V Manager, double-click on the virtual machine
  2. [スタート] ボタンをクリックします。Click on the Start button.
  3. "Press any key to boot from CD or DVD" というメッセージが表示されます。You will be prompted to ‘Press any key to boot from CD or DVD’. キーを押して続行します。Go ahead and do so.
  4. Windows Server の起動画面で言語を選択し、 [次へ] をクリックします。On the Windows Server start up screen select your language and click Next.
  5. [今すぐインストール] をクリックします。Click Install Now.
  6. ライセンス キーを入力し、 [次へ] をクリックします。Enter your license key and click Next.
  7. [ライセンス条項に同意します] をオンにし、 [次へ] をクリックします。Check **I accept the license terms and click Next.
  8. [カスタム: Windows のみをインストールする (詳細設定)] を選択します。Select Custom: Install Windows Only (Advanced)
  9. [次へ] をクリックします。Click Next
  10. インストールが完了したら、仮想マシンを再起動してサインインし、Windows の更新プログラムを実行して VM を最新の状態にします。Once the installation has completed, restart the virtual machine, sign-in and run Windows updates to ensure the VM is the most up-to-date. 最新の更新プログラムをインストールします。Install the latest updates.

Active Directory の前提条件をインストールするInstall Active Directory prerequisites

仮想マシンを稼働させたところで、Active Directory のインストール前にいくつかの作業を行う必要があります。Now that we have a virtual machine up, we need to do a few things prior to installing Active Directory. 言い換えると、仮想マシンの名前を変更し、静的 IP アドレスと DNS 情報を設定して、リモート サーバー管理ツールをインストールする必要があります。That is, we need to rename the virtual machine, set a static IP address and DNS information, and install the Remote Server Administration tools. 次の操作を行います。Do the following:

  1. PowerShell ISE を管理者として起動します。Open up the PowerShell ISE as Administrator.
  2. 次のスクリプトを実行します。Run the following script.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Windows Server AD 環境を作成するCreate a Windows Server AD environment

VM を作成して、名前の変更と静的 IP アドレスの設定を行いました。これで、Active Directory Domain Services のインストールと構成に進むことができます。Now that we have the VM created and it has been renamed and has a static IP address, we can go ahead and install and configure Active Directory Domain Services. 次の操作を行います。Do the following:

  1. PowerShell ISE を管理者として起動します。Open up the PowerShell ISE as Administrator.
  2. 次のスクリプトを実行します。Run the following script.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Windows Server AD ユーザーを作成するCreate a Windows Server AD user

Active Directory 環境を作成したところで、テスト アカウントが必要になります。Now that we have our Active Directory environment, we need to a test account. このアカウントは、オンプレミスの AD 環境で作成されて Azure AD に同期されます。This account will be created in our on-premises AD environment and then synchronized to Azure AD. 次の操作を行います。Do the following:

  1. PowerShell ISE を管理者として起動します。Open up the PowerShell ISE as Administrator.
  2. 次のスクリプトを実行します。Run the following script.
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Azure AD テナントを作成するCreate an Azure AD tenant

次に、ユーザーをクラウドに同期できるよう、Azure AD テナントを作成する必要があります。Now we need to create an Azure AD tenant so that we can synchronize our users to the cloud. 新しい Azure AD テナントを作成するには、以下を実行します。To create a new Azure AD tenant, do the following.

  1. Azure portal に移動し、Azure サブスクリプションがあるアカウントを使ってサインインします。Browse to the Azure portal and sign in with an account that has an Azure subscription.
  2. プラス (+) アイコンを選択し、Azure Active Directory を検索します。Select the plus icon (+) and search for Azure Active Directory.
  3. 検索結果で [Azure Active Directory] を選択します。Select Azure Active Directory in the search results.
  4. [作成] を選択しますSelect Create.
    作成Create
  5. 組織の名前初期ドメイン名を入力します。Provide a name for the organization along with the initial domain name. [作成] を選択します。Then select Create. これにより、ディレクトリが作成されます。This will create your directory.
  6. これが完了したら、こちらのリンクをクリックし、ディレクトリを管理します。Once this has completed, click the here link, to manage the directory.

Azure AD でグローバル管理者を作成するCreate a global administrator in Azure AD

Azure AD テナントを作成したので、次は全体管理者アカウントを作成します。Now that we have an Azure AD tenant, we will create a global administrator account. このアカウントは、Azure AD Connect のインストール時に Azure AD コネクタ アカウントを作成するために使用されます。This account is used to create the Azure AD Connector account during Azure AD Connect installation. Azure AD コネクタ アカウントは、Azure AD に情報を書き込むために使用されます。The Azure AD Connector account is used to write information to Azure AD. 全体管理者アカウントを作成するには、以下を実行します。To create the global administrator account do the following.

  1. [管理] にある [ユーザー] を選択します。Under Manage, select Users.
    作成Create
  2. [すべてのユーザー] を選択し、 + [新しいユーザー] を選択します。Select All users and then select + New user.
  3. このユーザーの名前およびユーザー名を入力します。Provide a name and username for this user. これがテナントのグローバル管理者になります。This will be your Global Admin for the tenant. また、 [ディレクトリ ロール][全体管理者] に変更してください。You will also want to change the Directory role to Global administrator. 一時パスワードを表示することもできます。You can also show the temporary password. 完了したら、 [作成] を選択します。When you are done, select Create.
    作成Create
  4. これが完了したら、新しい Web ブラウザーを開き、新しい全体管理者アカウントと一時パスワードを使用して myapps.microsoft.com にサインインします。Once this has completed, open a new web browser and sign-in to myapps.microsoft.com using the new global administrator account and the temporary password.
  5. 全体管理者のパスワードを覚えやすいものに変更します。Change the password for the global administrator to something that you will remember.

Azure AD Connect をダウンロードしてインストールするDownload and install Azure AD Connect

次に、Azure AD Connect をダウンロードしてインストールします。Now it is time to download and install Azure AD Connect. インストールが完了したら、高速インストールを実行します。Once it has been installed we will run through the express installation. 次の操作を行います。Do the following:

  1. Azure AD Connect をダウンロードします。Download Azure AD Connect
  2. AzureADConnect.msiを検索し、ダブルクリックします。Navigate to and double-click AzureADConnect.msi.
  3. [ようこそ] 画面で、ライセンス条項に同意するチェック ボックスをオンにし、 [続行] をクリックします。On the Welcome screen, select the box agreeing to the licensing terms and click Continue.
  4. [簡単設定] 画面で、 [簡単設定を使う] をクリックします。On the Express settings screen, click Use express settings.

    作成Create
  5. [Azure AD に接続] 画面で、Azure AD のグローバル管理者のユーザー名とパスワードを入力します。On the Connect to Azure AD screen, enter the username and password the global administrator for Azure AD. [次へ] をクリックします。Click Next.
  6. [AD DS に接続] 画面で、エンタープライズ管理者アカウントのユーザー名とパスワードを入力します。On the Connect to AD DS screen, enter the username and password for an enterprise admin account. [次へ] をクリックします。Click Next.
  7. [構成の準備完了] 画面で、 [インストール] をクリックします。On the Ready to configure screen, click Install.
  8. インストールが完了したら、 [終了] をクリックします。When the installation completes, click Exit.
  9. インストールの完了後、Sychronization Service Manager または同期規則エディターを使用する前に、サインアウトしてもう一度サインインします。After the installation has completed, sign out and sign in again before you use the Synchronization Service Manager or Synchronization Rule Editor.

ユーザーが作成され、同期が実行されていることを確認するVerify users are created and synchronization is occurring

オンプレミスのディレクトリに存在していたユーザーが同期され、現在 Azure AD テナントに存在することを確認します。We will now verify that the users that we had in our on-premises directory have been synchronized and now exist in out Azure AD tenant. これが完了するまでに数時間かかる場合があることに注意してください。Be aware that this may take a few hours to complete. ユーザーが同期されていることを確認するには、以下を実行します。To verify users are synchronized do the following.

  1. Azure portal に移動し、Azure サブスクリプションがあるアカウントを使ってサインインします。Browse to the Azure portal and sign in with an account that has an Azure subscription.
  2. 左側の [Azure Active Directory] を選択します。On the left, select Azure Active Directory
  3. [管理] にある [ユーザー] を選択します。Under Manage, select Users.
  4. テナントに新しいユーザーが表示されていることを確認します。Verify that you see the new users in our tenant
    同期Synch

いずれかのユーザーでサインインをテストするTest signing in with one of our users

  1. https://myapps.microsoft.com に移動します。Browse to https://myapps.microsoft.com
  2. 新しいテナントで作成されたユーザー アカウントを使用してサインインします。Sign-in with a user account that was created in our new tenant. user@domain.onmicrosoft.com の形式を使用してサインインする必要があります。You will need to sign-in using the following format: (user@domain.onmicrosoft.com). ユーザーがオンプレミスでのサインインに使用するのと同じパスワードを使用します。Use the same password that the user uses to sign-in on-premises.
    確認Verify

これでハイブリッド ID 環境を正常に設定できました。この環境は、Azure で提供されるサービスをテストしたり理解したりするために使用できます。You have now successfully setup a hybrid identity environment that you can use to test and familiarize yourself with what Azure has to offer.

次の手順Next Steps