「Azure AD Connectとは何?」「Azure AD Connectのメリットを具体的に知りたい」とクラウド・オンプレミスとさまざまな環境下で業務をしている場合、気になるのが各ユーザー情報の管理でしょう。
作業環境や使用ツールを導入しすぎると、管理しなければならないアカウント情報も多くなります。アカウント情報を忘れたり、管理者の業務が増えたりといったトラブルに繋がるケースも少なくありません。そんなユーザー情報の管理にお悩みの企業には、Azure AD Connectの活用がおすすめです。
今回は、Azure AD Connectの機能や導入メリットを詳しく解説します。導入に必要な環境や、導入手順なども合わせて解説するため、アカウント情報管理にお悩みの方は、Azure AD Connectの活用をご検討ください。
\ 年末までに限った無料特典 /
貴社のシステム開発・アプリ開発を爆速で進めるための
【毎月先着2社限定】デモアプリ構築・無料依頼フォーム
【BOLTでは、こんなデモアプリがすぐに作れます】
- 貴社で「まずつくってみたい」試作品アプリの構築を毎月先着2社限定で無料で承っております
- 社内の管理システムからtoB, toCのWebサービスまで幅広くご支援可能です
- ご興味のある方は下記のフォームよりお申し込みください
Azure AD Connectとは?
Azure AD Connect(Azure Active Directory Connect/以下、AzADC)とは、オンプレミスとクラウドのアカウント情報を同期させられる管理ツールです。
通常、オンプレミス環境のアカウント情報はActive Directory(以下、AD)で、クラウド環境はAzure Active Directory(以下、AzAD)で管理します。
| 特徴 | オンプレミス環境 | クラウド環境 | |
| Azure AD Connect(AzADC) | オンプレミス・クラウド両方で管理できる | ◯ | ◯ |
| Active Directory(AD) | オンプレミス環境で管理できる | ◯ | × |
| Azure Active Directory(AzAD) | クラウド環境で管理できる | × | ◯ |
※オンプレミス環境とはハードウェアやアプリケーションを通じて構築・活用できる環境
※クラウド環境とはインターネットを経由してシステムを構築・活用できる環境
それぞれ別ツールで管理を行うので、オンプレミス環境とクラウドを行き来すると、都度認証をしなければなりません。
Az ADCを用いると、1度認証を行えば追加認証せずオンプレミス・クラウドを行き来が可能です。1つのアカウント情報のみ管理すれば良いので、情報システム管理者も管理業務がシンプルになります。
Azure AD Connectの特徴
Az ADCの特徴には、さまざまな同期・認証方式を使える点があげられます。オンプレミス環境・クラウド環境での管理では、それぞれ異なった特徴があるため「簡単に同期できる設定が良い」「クラウドでパスを管理したくない」など、ニーズに合わせた運用が可能です。
また、管理の委任やオブジェクトの制限をかけたい場合などでは、OU(Organization Unit 、組織単位)ベースでフィルターを使って組織単位でアカウント権限等の区分けを行えば、同期範囲を設定したり、監視機能を使ってオンプレミス環境のユーザー情報の管理も行えます。
以下では、Az ADCの特徴を3つのポイントに分けて解説します。
同期・認証の方法
Az ADCは、次の3つの同期・認証方法から自社にあったものを選択可能です。
- パスワード ハッシュ同期(PHS)
- パススルー認証(PTA)
- フェデレーション認証
それぞれどのようにユーザー情報を同期するか、またどこにユーザー情報を保管するかがまったく異なります。以下で、各方法の特徴と、どんな人におすすめかを解説します。
パスワード ハッシュ同期(PHS)
パスワード ハッシュ同期(Password Hash Sync/PHS)は、オンプレミス環境のADパスワードのハッシュ値をAzure ADに同期させるサインイン方法です。
ハッシュとは、簡単に言うと「パスワード等の文字列を、特定のルールに従ってバラバラに散らばらせること」で、バラバラに散らばらせることをハッシュ化、ハッシュ化して出てきた値をハッシュ値といいます。
パスワード ハッシュ同期では、オンプレミス環境で使っていたパスワード情報をハッシュ化して、ハッシュ値をクラウドのAzure ADに同期させることでユーザー情報を共有します。
Az ADCのインストールを「簡単設定」で行う場合に適用される方法で、3種類のなかでも特に簡単にできるタイプです。
パススルー認証(PTA)
パススルー認証(Pass Through Authentication/PTA)は、クラウドにサインインの際にAzure AD経由でAD(オンプレミス)に認証を行う方式です。ADのパスワードでクラウドもサインイン可能となる点がハッシュ化と異なります。
ADのパスワード情報をもとにAzure ADがADに認証を行う方式なので、クラウド側にはユーザー情報が保管されません。クラウド側は「このようなアカウントがアクセスしてきたけれど、正しいアカウント情報ですか?」とオンプレミスのADに確認を取るだけだからです。クラウドにユーザー情報を残したくない場合は、PTAが適しています。
フェデレーション認証
フェデレーション認証は、Azure ADとADがAD フェデレーション サービス (以下、ADFS) を通じて認証情報を連携する方法です。フェデレーションとは、複数サービスを1回の認証で行き来する手法を意味します。
ADFSおよびAz ADCを通じて認証済みのユーザーアカウントを共有し、クラウド・オンプレミスどちらも認証なしになるため、入力作業コストを省けるでしょう。
ADFSが必要になるのでシステム構築の手間はかかりますが、利用者の利便性は大幅に向上します。ADFSを使えるさまざまなサービスを1回の認証で使えるようになるのが魅力です。なお、この認証方法は「PingFederate」でも運用可能です。
同期の範囲
Az ADCでは、同期の範囲を柔軟に設定可能です。設定は「同期」の「ドメインとOUのフィルタリング」から行えます。OU(組織単位)とはADの管理下にあるユーザーや端末をグループ化したものを意味します。任意のドメインおよびOUのみに同期をかけられるようにフィルタリングの設定を行えます。
なお、同期はデフォルトでは30分に1回、最低でも7日に1回は同期を取る仕様となっています。
監視機能
同期がうまく機能しているかを監視するツールもあります。監視ツールである「Azure AD Connect Health(以下、Az ADCH)」を使うと、クラウドベースでオンプレミスの同期状況を監視可能です。
Az ADCで同期エラーがないか、またADFS サーバーやプロキシに問題がないかなどを監視し、適宜監視レポートを作成してくれます。
なお監視機能を使うためには、認証方式にあわせてAz ADCHを導入しなければなりません。トラブル発生時に素早く対応できる体制構築を考えている企業は、インストールしておきましょう。
Azure AD Connectを使用するメリット
Azure AD Connectを使用するメリットには、IDやパスワードといったアカウントを管理しやすくなる点です。アカウントの管理を一本化すれば、エンドユーザーだけでなくIT管理者にとってもメリットがあります。
ここからは、Az ADCを導入のメリットをエンドユーザー・IT管理者それぞれに分けて解説します。
エンドユーザーのメリット
エンドユーザー側のメリットには、管理しなければならないIDやパスワードが減るといった点があげられます。クラウド・オンプレとさまざまな環境で仕事をしたり、たくさんのツールを活用したりすれば、管理しなければならないユーザー情報も膨大になるはずです。
管理項目が多くなるほど、エンドユーザーは忘れるリスクが高まります。付箋にパスワードを書いてデスク周りに貼っていたり、PCのメモに記録していたりすれば、サインイン情報が漏洩してしまうかもしれません。
Az ADCを活用すれば、1つのサインイン情報だけで各環境・ツールへのサインインが可能になります。情報を失念・紛失・漏洩の心配も減らすことが可能です。またシングルサインオンの活用によって認証作業の手間が減り、業務効率もアップします。
IT管理者のメリット
Az ADCを導入した場合のIT管理者のメリットには、トラブル対応がしやすくなるといった点があげられます。各ユーザーが複数のID・パスワードを管理していた場合、トラブルが起きると「そもそもトラブルの起きたアカウントはどれか」を特定し、そのうえで正しいID・パスワードを調べなければなりません。
情報をまとめれば、トラブル対応がスピーディーになります。また、エンドユーザー側の管理の手間が減るので、そもそもトラブル自体が減る可能性もあるのです。トラブルを減らし、かつ対応の手間も減らせるというのがIT管理者にとってのメリットといえます。
Azure AD Connectを使用するために必要な要件
Azure AD Connectを使用するための要件は、次のようになっています。
- Azure ADのテナント(単一)
- Azureポータル もしくは Officeポータル
- オンプレミスのAD
- オンプレミスのデータ
- PowerShell 実行ポリシー
- Azure AD Connect サーバーおよびSQL Server データベース
まずオンプレミスとクラウドの環境、そしてそれぞれのアカウント管理ツールが必要になります。またAz ADCを活用に向けサーバーやデータベースも準備しておきましょう。各要件を満たした状態で、インストールを進めてください。
サーバーの前提条件
Az ADCをインストールするサーバーは、次の要件を満たしていなければなりません。
- Windows Server 2012 以降
- 該当ドメインに参加している
- Windows Server 2012 R2以降※
※ADFDもしくはWeb アプリケーションプロキシをインストールするサーバー
スペックだけでなく、管理するドメインに参加していることも前提条件のひとつとなっていますので注意しましょう。なお、以下のサーバーはAz ADCをインストールできません。
Az ADCのインストールができないサーバー
- 2019 より前の Windows Server Essentials
- Small Business Server
- AzureポータルかOfficeポータル
- Windows Server Core
Azure AD Connectインストール時の注意点
Az ADCをインストールする際には、順序や別ツールとの兼ね合いに十分注意しましょう。インストールの順序を間違えたり、ユーザーデータの整理をしない状態で運用したりすると、トラブルの原因となるのでご注意ください。主に注意すべきなのは、以下3つのポイントです。
- Azure AD Connect のインストールの順序
- Azure AD内での変更や削除の制限
- SQL Serverデータベースの考慮事項
この後の項目では、Azure AD Connectインストール時の注意点3つをそれぞれ解説します。
Azure AD Connect のインストールの順序
Azure AD Connect のインストールは、以下の順序で行います。
- Az ADCをインストールするサーバーを同期させたいオンプレミス環境のADドメインに参加させる
- 「サーバーマネージャー」から 「IE セキュリティ強化の構成」を無効にする
- AzureADConnect.msiをダウンロードして実行
- Az ADへの接続、ディレクトリ接続等を行う
- 「構成が完了したら、同期プロセスを開始する。」にチェックして「インストール」を選択
- 構成が完了したら「終了」を選択
- アカウントのアクセス許可・同期状態を確認
細かな手順に関しては都度説明があるので、任意の方法で設定を行いましょう。
Azure AD内での変更や削除の制限
Az ADとADを同期させる前に、ADにある不要なユーザーアカウント情報を削除してください。Az ADCで同期したユーザーおよびグループ情報は、AD側からしか変更・削除ができません。
AD内に不要なユーザーアカウント情報(重複・書式違い)が残った状態で同期すると、そのままAz AD側に情報が移ってしまいます。
いらない情報を同期しないように、AD側であらかじめ不要なアカウント情報を整理し、きれいな状態にしてから同期作業を行いましょう。
SQL Serverデータベースの考慮事項
アカウント情報のデータベースに関しても、注意点があります。Az ADCのアカウント情報は、SQL Serverデータベースに保管されます。規定の状態だと簡易版データベース「SQL Server 2012 Express LocalDB」がインストールされていますが、簡易版では10GBが上限となっており、約10万件までしかオブジェクトを管理できません。
10GB以上の大規模データベースとなる場合は、SQL Server 2012以降のSQL Serverを使用する必要があります。設定はインストール時に表示される「必須コンポーネントのインストール」で変更可能です。
Azure AD Connectによくある疑問
ここからはAzure AD Connectに寄せられるよくある疑問についてQ&A方式で解説します。細かな疑問を抱える方はぜひ参考にしてください。
Azure AD Connectの料金は?
Azureサブスクリプションの範囲内で提供されているサービスのため、指定したサブスクリプションの料金が必要です。Azureサブスクリプションサービスは従量課金制となっており、利用した時間や使用したサポート、リソース使用量などを加味して毎月の金額が決まります。
支払い方法は、クレジットカード払いとなりますが、Azureポータルのヘルプとサポートへ問い合わせることで、請求書払いにも対応してもらえます。
Azure AD ConnectとAzure AD Connect Cloud Syncの違いは?
Azure AD Connect Cloud Syncは、AzADCの軽量版のサービスで、インストールするだけでクラウド上で同期が行われる機能を持ちます。AzADCの全ての機能をカバーしているわけではありませんが、Azure ポータル上でさまざまな設定を行うことが可能です。
AzADCよりも比較的簡単に同期が可能で、サービスの設定やバックアップもクラウド上で行うため、買収や合併などにより、管理が複雑になった企業に最適でしょう。
まとめ
Az ADCは、オンプレミスとクラウド環境を併用している企業におすすめのアカウント管理ツールです。アカウント情報を一元化し、認証作業の手間を減らせます。業務効率がアップにつながるのはもちろん、アカウントの管理業務およびトラブル対応も行いやすくなる魅力的なツールです。
インストールにおいては、必要要件を満たした環境を用意する点や、あらかじめアカウント情報の整理をしなければならない点に注意しましょう。本記事を参考にして、自社に最適なかたちでAz ADCをご活用ください。
