.NETラボ 2023 02月勉強会
小鮒 通成

自己紹介です
 都内Sierに勤務し、Windows認証基盤のコンサル・
設計・構築・トラブルシュート・ブログ公開などを
やっています。
 Technetフォーラムで、ときどき回答しています。
 商業誌でWindows記事の寄稿を行うことがあります。
 MSMVP Enterprise Mobility→Securityを受賞してい
ます(MVP受賞回数20回+α)。
 秋葉原によく現れます。最近はCore i9-12900F&光る
PC組みました…。

オンプレミスドメインの統合
 ADMTを使って「オンプレミス上」で統合する
 気持ち的には安心
 オンプレミスを永久に使い続ける可能性
 Microsoft有償サポートが厳しい
 AADC CSを使って「クラウド上」で統合する
 とにかく簡単
 Azure AD参加ベースのAAD認証への移行
 既存環境の変更が極小・移行コストの最小化

AADC CSとは
 Azure AD Connect Cloud Sync という長い名前の
クラウドサービス
 Azure AD Connectのサブセットとしての機能
 信頼関係のないオンプレActive Directory統合が目的
 エージェントで動作するため、サーバーの負担が軽い
 パススルー認証は不可
 同期に関しての「高度な」属性カスタマイズは不可
 パスワード以外のWrite Back同期は不可
 デバイス登録は不可なので、ハイブリッドAzure AD参加は
できない
 Azure AD Connect クラウド同期とは - Microsoft Entra | Microsoft Learn

参考:AADCとは
 Azure AD Connect という長くない名前の
サーバーアプリケーション
 Active DirectoryからAzure ADへのプロビジョニング機
能
 Active Directoryユーザー・グループ情報をAzure ADに同期
 Azure ADに同期する内容(属性)をカスタマイズ
 オンプレActive Directoryとのシングルサインオン
 Azure AD側からオンプレへの同期(Write Back)
 Azure ADへのデバイス登録

AADC CSでのドメイン統合
 ユーザープリンシパル名での統合
 統合したいドメインすべてのuserPrincipalNameを統合先ド
メインに変更。
 userPrincipalName統合の際に「Windows信頼」は不要。
 移行前から移行後の属性変換
 メールアドレス(mail)は必須。AADC CSの属性マッピング
で設定が可能。
 シームレスシングルサインオン
 既定では無効になっており、AADCのコンポーネントを
使って有効化する。クラウド同期でシングル サインオンを
使用する方法 - Microsoft Entra | Microsoft Learnを参考のこ
と。

AADC CSでのドメイン統合(1)
ユーザープリンシパル名を統合する
[Active Directoryドメインと信頼関係]から[UPNサ
フィックス]-[代わりのUPNサフィックス]に値を入力
実ユーザーのUPNサフィックス名を変更
(実際はPowerShellでUPN全体を変更)

AADC CSでのドメイン統合(2)
AADC CSエージェントのインストールと構成
[Azure Active Directory]-[Azure AD Connect]-[クラウ
ド同期]-[Agents]からダウンロード。
インストール後の設定はウィザードに従えば問題ない。

AADC CSでのドメイン統合(3)
AADC CSクラウドサービスの構成
[Azure Active Directory]-[Azure AD Connect]-[クラウ
ド同期]-[構成]から、ドメイン名を選択して[作成]。

AADC CSでのドメイン統合(3)
AADC CSクラウドサービスの構成(cont.)
スコープフィルターの設定
[mail]属性マッピングの設定
IIF(IsPresent([mail]), Replace([mail], Mid([mail], InStr([mail], "@"), 1024), , ,
Mid([userPrincipalName], InStr([userPrincipalName], "@"), 1024), , ), Error("Empty"))

AADC CSでのドメイン統合(3)
AADC CSクラウドサービスの構成(cont.)
プロビジョニングテスト
サービスの有効化

AADC CSでのドメイン統合(4)
AADC CSクラウドサービス動作後の結果
統合されたUPNでのユーザー生成
メールアドレスが統合されたアドレスに変更

AADC CSでその他気づいたこと
式ビルダーは便利なんだけど…
式ビルダーで属性マッピング式をローコード風に使え
るが、使い勝手はかなり悪い。
動作の確認
[Azure Active Directory]-[Azure AD Connect]-[クラウ
ド同期]から、正常性を確認できる。[Agents]からエー
ジェントの動作状況も確認できる。
同画面の[プロビジョニングログ][監査ログ]から動作
の詳細が確認できる。[分析情報]でInsight情報も取れ
るが、Log Analyticsの統合構成が必要。

まとめ
 AADC CSを使えば、クラウド主体の統合環境ならば、
複数Active Directoryドメイン環境を簡単にまとめる
ことができる。
 移行の際の属性マッピングには注意する。Microsoft
365などでは"proxyAddresses" "usagelocation"など、
注意しなければならない属性が、ほかにも存在する。
 複数ドメイン環境では、ユーザー名が同一などの理
由で同期に失敗するケースがあり、検出やリカバー
対策を考える必要がある。

参考情報
 Azure AD Connect クラウド同期とは - Microsoft
Entra | Microsoft Learn
 Azure AD Connect クラウド同期の式と関数のリファ
レンス - Microsoft Entra | Microsoft Learn
 Azure AD での proxyAddresses 属性の設定方法 -
Active Directory | Microsoft Learn
 Azure AD Connect Health - 重複する属性の同期エ
ラーの診断 - Microsoft Entra | Microsoft Learn