AD と Azure AD の同期環境を構築する

- 前提

Azure 上に AD を構築する - Azure AD ハンズオン

 

- Azure AD Connect のインストール

1. AD の仮想マシンに RDP 接続してドメイン管理者でサインインします。

2. サーバー マネージャーで [ローカル サーバー] をクリックします。

3. [Windows ファイアウォール] - [ドメイン: 有効] - [Windows ファイアウォールの有効化または無効化] をクリックして [Windows ファイアウォールを無効にする] を選択して [OK] をクリックします。

4. [IE セキュリティ強化の構成] - [有効] をクリックして [オフ] を選択して [OK] をクリックします。

5. https://www.microsoft.com/en-us/download/details.aspx?id=47594 にアクセスして [Download] をクリックしてインストーラーを実行します。

6. [ライセンス条項およびプライバシーに関する声明に同意します。] にチェックを入れて [続行] をクリックします。

7. [簡単設定を使う] をクリックします。

8. [Azure AD に接続] 画面で [ユーザー名]、[パスワード] に Azure AD のグローバル管理者アカウントの資格情報を入力して [次へ] をクリックします。

9. [AD DS に接続] 画面で AD のドメイン管理者アカウントの資格情報を入力して [次へ] をクリックします。

10. [インストール] をクリックします。

11. 少し待つと [構成が完了しました] と表示されるので、[終了] をクリックします。

 

- AD から Azure AD へのユーザーの同期

1. AD の仮想マシンに RDP 接続してドメイン管理者でサインインします。

2. サーバー マネージャーで画面右上の [ツール] - [Active Directory ユーザーとコンピューター] をクリックします。

f:id:yukiho634:20201116005527p:plain

3. AD UC 管理コンソールで [<ドメイン名>] - [Users] を右クリックして [新規作成] - [ユーザー] をクリックします。

4. [フル ネーム]、[ユーザー ログオン名] に任意の値を入力して [次へ] をクリックします。

5. [パスワード]、[パスワードの確認入力] に任意のパスワード入力します。

6. [ユーザーは次回ログオン時にパスワードの変更が必要] のチェックを外して [次へ] をクリックします。

7. 確認画面で [完了] をクリックします。

8. PowerShell で Start-ADSyncSyncCycle -PolicyType Delta コマンドを実行してオブジェクトを即時同期します。

f:id:yukiho634:20201116012257p:plain

9. https://portal.azure.com にグローバル管理者アカウントでサインインします。

10. [Azure Active Directory] をクリックします。

11. 画面左のメニューから [ユーザー] をクリックして AD で作成したユーザーが同期されていることを確認します。

12. 別ブラウザーか InPrivate モードで https://portal.azure.com にアクセスして AD で作成したユーザーの ID とパスワードでサインインできることを確認します。

Azure 上に AD を構築する

- 仮想マシンの作成

1. https://portal.azure.com にサブスクリプションの所有者アカウントでサインインします。

2. [Virtual Machines] をクリックします。

3. [+追加] - [仮想マシン] をクリックします。

4. [仮想マシン名] に任意の仮想マシン名を入力します。

5. [イメージ] で [Windows Server 2016 Datacenter - Gen1] を選択します。

6. [ユーザー名] に任意のユーザー名を入力します。

7. [パスワード] に任意のパスワードを入力します。

8. [受信ポートを選択] ですべてチェックを入れます。

9. その他はすべて既定値のまま進めて [確認および作成] タブで [作成] をクリックします。

10. 少し待つと [デプロイが完了しました] と表示されて仮想マシンの作成が完了します。

 

- 仮想マシンへの接続

1. https://portal.azure.com にサブスクリプションの所有者アカウントでサインインします。

2. [Virtual Machines] をクリックします。

3. 作成した仮想マシンをクリックします。

4. [接続] - [RDP] をクリックします。

5. [RDP ファイルのダウンロード] をクリックします。

6. ダウンロードした RDP ファイルを開きます。

7. [接続] をクリックします。

f:id:yukiho634:20201115130153p:plain

8. 資格情報の入力を求められますので、仮想マシン作成時に入力したユーザー名とパスワードを入力して [OK] をクリックします。

9. 警告画面で [はい] をクリックします。

f:id:yukiho634:20201115130437p:plain

 

- Windows Update の適用

1. スタート メニューから [Settings] -[Update & security] - [Windows Update] をクリックします。

2. [Check for updates] をクリックします。

3. 最新の状態になるまで繰り返します。

 

- 日本語化

1. スタート メニューから [Settings] - [Time & language] - [Region & language] をクリックします。

2. [Country or region] で [Japan] を選択します。

3. [Add a language] をクリックします。

4. [日本語] をクリックします。

5. [日本語] が追加されますので、[Set as default] をクリックします。

f:id:yukiho634:20201115131109p:plain

6. [Options] をクリックします。

7. [Language pack] の [Download] をクリックします。

7. [Change layout] をクリックします。

8. [Japanese key board] を選択して [Sign out] をクリックします。

9. 再度 RDP 接続します。

 

- AD の役割のインストール

1. サーバー マネージャーで [ダッシュボード] - [役割と機能の追加] をクリックします。

2. [サーバーの役割] で [Active Directory Domain Services] - [機能の追加] をクリックします。

3. その他は既定値のまま進めて [インストール] をクリックします。

4. インストールが完了したらウィザードを閉じます。

 

- ドメイン コントローラーに昇格

1. サーバー マネージャーで画面右上の [通知] - [このサーバーをドメイン コントローラーに昇格する] をクリックします。

f:id:yukiho634:20201115135901p:plain

2. [新しいフォレストを追加する] を選択して [ルート ドメイン名] に Azure AD に登録したカスタム ドメイン名と同じドメイン名を入力して [次へ] をクリックします。

f:id:yukiho634:20201115185444p:plain

3. [パスワード] と [パスワードの確認入力] に任意のパスワードを入力して [次へ] をクリックします。

4. その他はすべて既定値で進めて [インストール] をクリックします。

5. 自動的にサインアウトして RDP 接続が切断されます。

6. 再度 RDP 接続して [<ドメイン名>\<仮想マシン作成時のユーザー名>] と [仮想マシン作成時のパスワード] でサインインします。

7. コマンド プロンプトで whoami コマンドを実行してドメイン名が表示されることを確認します。

 

- IP アドレスの固定化

1. https://portal.azure.com にサブスクリプションの所有者アカウントでサインインします。

2. [Virtual Machines] をクリックします。

3. AD の仮想マシンをクリックします。

4. 画面左のメニューから [ネットワーク] をクリックします。

5. [ネットワーク インターフェース] をクリックします。

f:id:yukiho634:20201115193130p:plain

6. 画面左のメニューから [IP configurations] をクリックします。

7. [ipconfig1] をクリックします。

f:id:yukiho634:20201115194144p:plain

8. [Static] を選択して [Save] をクリックします。

 

- DNS の設定

1. https://portal.azure.com にサブスクリプションの所有者アカウントでサインインします。

2. [Virtual Machines] をクリックします。

3. AD の仮想マシンをクリックします。

4. 画面左のメニューから [ネットワーク] をクリックします。

5. [仮想ネットワーク/サブネット] をクリックします。

f:id:yukiho634:20201115195239p:plain

6. 画面左のメニューから [DNS servers] をクリックします。

7. [Custom] を選択して AD のプライベート IP アドレスを入力して [Save] をクリックします。

f:id:yukiho634:20201115195452p:plain

カスタム ドメイン名を登録する

- 無料ドメインを取得する

1. https://www.mydns.jp/ にアクセスします。

2. 画面上のメニューから [JOIN US] をクリックします。

3. 必要事項を入力して [CHECK] をクリックします。

f:id:yukiho634:20201115182017p:plain

4. 確認画面で [OK] をクリックします。

5. 入力したメール アドレス宛てに ID とパスワードが届くので、[MasterID]、[Password] に入力して [LOG IN] をクリックします。

f:id:yukiho634:20201115182613p:plain

6. [DOMAIN INFO] をクリックします。

f:id:yukiho634:20201115182856p:plain

7. [Domain] に [<任意のドメイン名>.mydns.jp] の形式で入力して [CHECK] をクリックします。

8. 確認画面で [OK] をクリックします。

 

- カスタム ドメイン名の登録

1. https://portal.azure.com にグローバル管理者アカウントでサインインします。

2. [Azure Active Directory] をクリックします。

3. 画面左のメニューから [カスタム ドメイン名] をクリックします。

4. [+カスタム ドメインの追加] をクリックします。

5. [カスタム ドメイン名] に MyDNS で取得したドメイン名を入力して [ドメインの追加] をクリックします。

6. ドメインの所有確認用の TXT レコードが表示されるので、値をコピーします。

f:id:yukiho634:20201115184051p:plain

7. MyDNS 側で TXT レコードを登録するため、https://www.mydns.jp/ に MyDNS のアカウントでログインします。

8. [DOMAIN INFO] をクリックします。

9. TXT レコードとして値を入力して [CHECK] をクリックします。

f:id:yukiho634:20201115184412p:plain

10. 確認画面で [OK] をクリックします。

11. Azure AD 側のカスタム ドメイン名の登録画面に戻り [確認] をクリックします。

12. [確認に成功しました] と表示されてカスタム ドメイン名の登録が完了します。

f:id:yukiho634:20201115184832p:plain

グループを作成する

静的グループの場合

1. https://portal.azure.com にグローバル管理者アカウントでサインインします。

2. [Azure Active Directory] をクリックします。

3. 画面左のメニューから [グループ] をクリックします。

4. [+新しいグループ] をクリックします。

5. [グループ名] に任意の値を入力します。

6. [所有者] で任意のユーザーを選択します。

* 所有者はグループの管理権限を持つユーザーです。

7. [メンバー] で任意の任意のユーザーを選択します。

 

- 動的グループの場合

1. https://portal.azure.com にグローバル管理者アカウントでサインインします。

2. [Azure Active Directory] をクリックします。

3. 画面左のメニューから [グループ] をクリックします。

4. [+新しいグループ] をクリックします。

5. [グループ名] に任意の値を入力します。

6. [メンバーシップの種類] で [動的ユーザー] を選択します。

7. [所有者] で任意のユーザーを選択します。

8. [動的クエリの追加] をクリックします。

9. [プロパティ] で任意の属性 (department など) を選択します。

10. [演算子] で任意の演算子 (Equals など) を選択します。

11. [値] で任意の値 (営業など) を入力します。

f:id:yukiho634:20201115113427p:plain

12. [保存] をクリックします。

 

- ユーザーの属性の編集

1. https://portal.azure.com にグローバル管理者アカウントでサインインします。

2. [Azure Active Directory] をクリックします。

3. 画面左のメニューから [ユーザー] をクリックします。

4. 対象のユーザーをクリックします。

5. [編集] をクリックします。

6. 動的クエリに合致するように属性を入力します (department が営業の場合は [部門] に [営業] と入力します。

f:id:yukiho634:20201115114034p:plain

7. [保存] をクリックします。

8. 属性を編集したユーザーが動的グループのメンバーに含まれることを確認します。

 

 

ユーザーを作成する

1. https://portal.azure.com にグローバル管理者アカウントでサインインします。

2. [Azure Active Directory] をクリックします。

3. 画面左のメニューから [ユーザー] をクリックします。

4. [+新しいユーザー] をクリックします。

5. [ユーザー名]、[名前] に任意の値を入力します。

6. [パスワードを表示] のチェックを入れて初期パスワードをコピーします。

f:id:yukiho634:20201115103418p:plain

 7. [利用場所] で [Japan] を選択します。

8. [作成] をクリックします。

9. ユーザー一覧画面で作成したユーザーをクリックします。

10. 画面左のメニューから [ライセンス] をクリックします。

11. [+割り当て] をクリックします。

12. [Microsoft 365 E5] のチェックを入れて [保存] をクリックします。

f:id:yukiho634:20201115105244p:plain

13. 別ブラウザーか InPrivate モードで https://portal.azure.com にアクセスして作成したユーザーの ID と初期パスワードでサインインします。

14. パスワードの更新を求められるので、初期パスワードと任意のパスワードを入力してサインインをクリックします。

f:id:yukiho634:20201115104218p:plain

試用版 Microsoft 365 E5 ライセンスを取得する

1. https://admin.microsoft.com/ にグローバル管理者アカウントでサインインします。

2. 画面右のメニューから [課金情報] - [サービスを購入する] をクリックします。

f:id:yukiho634:20201115053101p:plain

 3. [Microsoft 365 E5] をクリックします。

f:id:yukiho634:20201115053221p:plain

4. [無料試用版を入手する] をクリックします。

f:id:yukiho634:20201115053303p:plain

5. 携帯電話番号を入力して [自分にテキストを送信] をクリックします。

f:id:yukiho634:20201115053441p:plain

6. 携帯電話に届いた認証コードを入力して [無料試用版の開始] をクリックします。

f:id:yukiho634:20201115053607p:plain
7. [無料トライアル] をクリックします。

f:id:yukiho634:20201115053710p:plain

 

試用版 Azure サブスクリプションを取得する

1. https://portal.azure.com に組織アカウントでサインインします。

2. [サブスクリプション] をクリックします。

3. [+追加] をクリックします。

4. [無料試用版] をクリックします。

f:id:yukiho634:20201115045857p:plain

5. 必要事項を入力して [次へ] をクリックします。

f:id:yukiho634:20201115050041p:plain

6. 携帯電話番号を入力して [テキスト メッセージを送信する] をクリックします。

f:id:yukiho634:20201115050240p:plain

7. 携帯電話に届いた SMS の確認コードを入力して [コードの確認] をクリックします。

f:id:yukiho634:20201115050353p:plain

8. 必要事項を入力して [次へ] をクリックします。

f:id:yukiho634:20201115050440p:plain

9 [サインアップ] をクリックします。

f:id:yukiho634:20201115051512p:plain

 

- サブスクリプションの管理権限を付与する

1. https://portal.azure.com にサブスクリプションを取得した組織アカウントでサインインします。

2. [サブスクリプション] をクリックします。

3. [次で選択されているサブスクリプションのみを表示します] のチェックを外します。

4. [無料試用版] のサブスクリプションをクリックします。

f:id:yukiho634:20201115120713p:plain

5. 画面左のメニューで [アクセス制御 (IAM)] をクリックします。

6. [+追加] - [ロールの割り当ての追加] をクリックします。

7. [役割] で [所有者] を選択します。

8. [選択] で所有者にするユーザーを選択します。

9. [保存] をクリックします。