ユニバーサル印刷でハイブリッド AD/AAD 環境を有効にする

[アーティクル]
08/01/2022

適用先:Windows Server 2016

バックグラウンド

この情報は、ハイブリッド AD 構成を有効にすることが組織にとって適切な選択であるかどうかを判断するのに役立ちます。

ハイブリッド AD 構成とは

ハイブリッド AD 構成は、組織が AD と Azure AD の両方を使用するセットアップです。このような環境では、これらのディレクトリサービスの両方にユーザーアカウントが存在します。

"ハイブリッド AD 構成を有効にする" とはどういう意味ですか?

ユニバーサルプリントコネクタは、インストールされている PC でWindows サービスとして実行されます。コネクタ機能の 1 つは、ユニバーサル印刷から印刷ジョブを取得し、ターゲットプリンターに送信することです。コネクタは、"System" アカウントを使用して、スプーラーに印刷ジョブを送信します。そのため、ユニバーサル印刷ポータルには印刷ジョブを送信した Azure AD ユーザー名が表示されますが、ユニバーサル印刷を使用して印刷されたすべての印刷ジョブは、ユーザー "System" によって送信されたコネクタのWindows プリンターキューに表示されます。

Active Directory ドメインに依存する一部のレガシ印刷管理アプリケーションでは、スプーラーキューからユーザー名を読み取り、その情報を使用して何らかの機能を実行します (たとえば、ユーザーの毎月の印刷クォータから印刷ジョブを差し引くなど)。これらのアプリケーションがユニバーサル印刷でよりシームレスに動作するように更新されるまで、印刷ジョブを開始したユーザーの ID を取得することはできません。

ユニバーサルプリントコネクタで [ハイブリッド AD 構成を有効にする] オプションをオンにすると、コネクタは Azure AD ユーザー ID を対応するローカル AD ドメインユーザー ID にマップしようとします。一致する ID が見つかった場合、コネクタサービスは、印刷ジョブをスプーラーに送信する前に、そのユーザーのドメイン ID を偽装します。その場合、印刷ジョブを開始したユーザーのドメインユーザー名がコネクタ PC のスプーラーキューに表示され、レガシアプリケーションで読み取ることができます。

前提条件

このインストールを開始する前に取得する必要があるサブスクリプション、サービス、コンピューターは多数あります。制限事項は次のとおりです。

Azure AD Premium サブスクリプション。

Azure の試用版サブスクリプションについては、Azure サブスクリプションの使用開始に関する記事をご覧ください。
MDM サービス (Intune など)。

Intune の試用版サブスクリプションについては、Microsoft Intune に関する記事をご覧ください。
Active Directory を実行している Windows Server 2016 以降のコンピューター。

Active Directory のセットアップについては、「ステップバイステップ: Windows Server 2016 での Active Directory のセットアップ」をご覧ください。
プリントサーバーおよびコネクタサーバーとして実行されている専用のドメイン参加済みWindows Server 2016以降のコンピューター。

詳しくは、「Azure AD アプリケーションプロキシコネクタを理解する」をご覧ください。
公開されているドメイン名。

Azure によって自動的に作成されるドメイン名 (<ドメイン名>.onmicrosoft.com) を使用するか、独自のドメイン名を購入することができます。「Azure Active Directory ポータルを使用してカスタムドメイン名を追加する」を参照してください。

デプロイメントの手順

次の手順では、ハイブリッド AD/AAD 環境を有効にするために必要な一般的なユニバーサル印刷展開を設定できます。

ステップ 1 - Azure AD Connect をインストールする

Azure AD Connect は Azure AD をオンプレミスの AD に同期します。 Active Directory がある Windows Server コンピューターで、Azure AD Connect ソフトウェアをダウンロードして簡単設定でインストールします。「簡単設定を使用した Azure AD Connect の開始」をご覧ください。

ステップ 2 - アプリケーションプロキシをインストールする

注: プリントサーバーが既に AzureAD に参加している場合は、この手順をスキップします。

アプリケーションプロキシを使うことで、組織のユーザーはクラウドからオンプレミスのアプリケーションにアクセスできます。コネクタサーバーにアプリケーションプロキシをインストールします。

インストール手順については、チュートリアル: Azure Active Directory でのアプリケーションプロキシ経由のリモートアクセス用のオンプレミスアプリケーションの追加に関する記事をご覧ください。
組織のネットワークトポロジが複雑な場合は、専用のコネクタグループをお勧めします。「コネクタグループを使用して別のネットワークや場所にアプリケーションを発行する」を参照してください。

手順 3 - プリントサーバーをセットアップする

プリントサーバーに使用可能なすべてのWindows Updateがインストールされていることを確認します (先に進む前にサーバーを更新してください)。

注: Server 2019 にビルド 17763.165 以降のパッチが適用されている必要があります。

プリントサーバーとして機能する Windows Server コンピューターでは、プリントサーバーの役割をインストールする必要があります。
- サーバーの役割のインストール方法について詳しくは、「役割と機能の追加ウィザードを使用して役割、役割サービス、および機能をインストールする」をご覧ください。
ローカル AD が AAD アカウントにマップされるようにするには、プリントサーバーとして機能する Windows Server がハイブリッド参加済み/Azure 参加済みである必要があります。すべての手順が完了していることを確認するには、「ユニバーサル印刷のセットアップ」を参照してください。要は
- まだ実行していない場合は、ユニバーサル印刷コネクタをプリントサーバーコンピューターにインストールします。
- コネクタの一意の名前を指定して、コネクタを Universal Print に登録します。
- 管理ポータルで登録済みプリンターを共有します。

手順 4 - ローカル AD と Azure AD のディレクトリ同期を設定する

ユーザーまたはグループは、オンプレミスの Active Directoryに存在し、Azure AD と同期されている必要があります。ソリューションがルーティング不可能なドメイン (例: <自分のドメイン>.local) にデプロイされる場合は、Azure AD ドメイン (例: <ドメイン名>.onmicrosoft.com、またはサードパーティベンダーから購入したドメイン) を、オンプレミスの Active Directory に UPN サフィックスとして追加する必要があります。これは、プリンター (例: admin@domainname.onmicrosoft.com) を発行するユーザーとまったく同じです。ローカルドメインが追加および同期されていることを確認するには、「ディレクトリ同期用にルーティング不可能なドメインを準備する」を参照してください。

注: これは、完全なセットアップの基本的な要件であるため、重要な手順です。ローカル AD ユーザーは、同期された AAD アカウントで同じユーザー名を持っている必要があります。
例: domain/user1 の変換先 user1@AADDomain.com

同期が行われると (既定の同期頻度は 30 分)、AD ユーザーが管理ポータルで同期されていることを確認できます。 Azure Active Directoryで、[ユーザー] タブを選択すると、すべてのユーザーの一覧が表示されます。ユーザーがその一覧でディレクトリ同期されているかどうかを簡単に確認できます。ユーザーの詳細には、ソースがWindows Server ADされていることを示す必要があります。

User is Directory Synced

手順 5 - ユニバーサル印刷コネクタでハイブリッド AD/AAD サポートを有効にする

コネクタがインストールされているプリントサーバーで、アプリケーションの右上隅にトグルボタンが必要です。

コネクタの[ハイブリッド AD 構成を有効にする] オプションの [オン] ラジオボタンを選択します。

Enable Hybrid AD configuration

デプロイを検証する

AD 参加済みクライアントコンピューターで AAD 資格情報を使用して、テスト印刷ジョブをプリントサーバーに送信することで、展開が行われるかどうかを確認します。

マシンは、同期手順中にリンクされているのと同じアカウントで AAD に参加している必要があります。設定>Accounts電子メール & アカウントに>移動します。 [ 職場または学校アカウントの追加 ] をクリックし、資格情報を使用してログインし、AAD アカウントをクライアントコンピューターに追加します。

デプロイを確認するためにテスト印刷を送信する手順を次に示します。

プリンターを追加してテストページを印刷する
印刷キューに印刷ジョブがキューに入っていることに気付くと、 C:/print フォルダーの下にあるプリントサーバーに、 printerName.pdfという名前のテスト印刷ファイルが表示されます。
このファイルが表示される場合は、「プリントサーバーログのトラブルシューティング」セクションで説明されているパスのイベントログを確認することで、マッピングが正常に発生したかどうかを確認できます。

トラブルシューティング

デプロイ中に発生する一般的な問題を次に示します。

エラー	推奨される手順
指定したサーバーの機能を追加または削除する要求が失敗しました	サーバー Windows更新プログラムを確認して、サーバーに最新の更新プログラムがあることを確認します。
サーバーがドメインであり、Azure に参加しているかどうかを確認する	コマンドプロンプトで dsregcmd を実行し、AzureADJoined と DomainJoined が "YES" 状態に設定されているかどうかを確認します。
印刷ジョブが "プリンターへ送信" 状態のままになります	コネクタサーバーで TLS 1.2 が有効になっていることを確認します。手順 2 のリンクされた記事を参照してください。コネクタサーバーで HTTP2 が無効になっていることを確認します。手順 2 のリンクされた記事を参照してください。
印刷ジョブは、ポータルで "Aborted" と表示されます。 Print Connector イベントログには、イベント 27 "Failed to impersonate <user> for job <id>, followed and event 9 "PrintJob failed System.Security.SecurityException: The user name or password is incorrect...." が表示されます。	ここで説明するように、コンピューターアカウントが "Windows承認アクセスグループ" のメンバーであることを確認します。アプリと API にはアクセスが必要です。

ユニバーサル印刷に関連するトラブルシューティングのヘルプについては、ユニバーサル印刷のトラブルシューティングガイドを参照してください。

トラブルシューティングに役立つログの場所を次に示します。

コンポーネント	ログの場所
Windows 10 クライアント	Azure AD の操作のログを見るには、イベントビューアーを使います。 [スタート] をクリックし、「イベントビューアー」と入力します。 [アプリケーションとサービスログ] > [Microsoft] > [Windows] > [AAD] > [操作] に移動します。ログを収集するには、フィードバック Hub を使います。「フィードバック Hub アプリを使って Microsoft にフィードバックを送信する」をご覧ください
プリントサーバー	イベントビューアーを使用して、印刷コネクタのログを表示します。 [スタート] をクリックし、「イベントビューアー」と入力します。 Applications and Services Logs > Microsoft > Windows > PrintConnector > Operational に移動します。

コンポーネント

ログの場所

Windows 10 クライアント

Azure AD の操作のログを見るには、イベントビューアーを使います。 [スタート] をクリックし、「イベントビューアー」と入力します。 [アプリケーションとサービスログ] > [Microsoft] > [Windows] > [AAD] > [操作] に移動します。

ログを収集するには、フィードバック Hub を使います。「フィードバック Hub アプリを使って Microsoft にフィードバックを送信する」をご覧ください

プリントサーバー

イベントビューアーを使用して、印刷コネクタのログを表示します。 [スタート] をクリックし、「イベントビューアー」と入力します。 Applications and Services Logs > Microsoft > Windows > PrintConnector > Operational に移動します。