Azure ID

Azure AD Connect クラウドプロビジョニングを試してみたよ

Azure AD Connectのヘルスチェックをしようと思ったら・・・

プレビュー出てるじゃん!

ということで、試してみました。

2019年12月時点で、ドキュメントも色々出ているようでした。

https://docs.microsoft.com/ja-jp/azure/active-directory/cloud-provisioning/

Azure AD Connectクラウドプロビジョニングって?

ものすごく簡単に言ってしまうと、Azure AD Connectのサーバを作らなくても、エージェントをサーバーにインストールしてしまえば、Azure ADにID同期をしてくれる機能。
しかしながら、そのメリットは、Azure AD Connectを構築しなくて良いだけではなく、これからのクラウド時代に欠かせない点の実現にあるようでした。

ルーティング不可能な拠点を直接Azure ADにプロビジョニングできる

Azure AD Connectを利用してID同期をする場合、対象のオンプレADサーバを設置した拠点全てにルーティング可能であることが前提条件でした。
拠点A、拠点B、拠点Cのネットワークアドレスが重複している状況での使用はNGです。

ですが、直接Azure ADにプロビジョニングが可能になったことにより、重複したネットワークアドレスの拠点であっても、そのままAzure ADにID連携ができますね。

こんな場面での利用にメリットがありそうです。

  • M&Aなどで当初設計されたネットワーク以外の拠点が配下に入った
  • グローバル企業で、現地法人ごとにネットワークを管理している

個人的にはこんな点も良いなと思っています。

  • 10万オブジェクトを越えてもSQLServerが不要!
  • SQLServer不要なため、小さなサイズのVMで使用可能!

ID連携がインフラの中で重要なファクターになりつつある、とはいえ、そのためにSQLServerの運用をするのはなかなかの重荷だと思うんです。

できないこと

Azure AD Connectクラウドプロビジョニングで出来ること、できないことは以下のURLの通り。
https://docs.microsoft.com/ja-jp/azure/active-directory/cloud-provisioning/what-is-cloud-provisioning
パスワードライトバックとパススルー認証は2020年1月11日現在のところNGですね。

インストール&構築の流れ

Azure AD Connectクラウドプロビジョニングは次のような流れで構築することが出来ます。

  1. Azure Portalからエージェントをダウンロード
  2. オンプレミスADに接続可能な環境にエージェントをインストール
  3. Azure Portal上で同期設定

Azure Portalからエージェントをダウンロード

Azure PortalのAzure Active Directory – Azure AD Connectを選択すると、「Azure AD Connectのクラウドプロビジョニング」というものが表示されます。
「プロビジョニングの管理」をクリックします。

表示された画面の「エージェントをダウンロード」をクリックし、右側に表示される「使用条件に同意してダウンロード」をクリックします。

オンプレミス環境にエージェントをインストール

Active Directoryサーバにこのエージェントをインストールしても良いものなのか、他のサーバでもイケるのかどうかという点では評価していませんが、とりあえず検証なので、Active Directoryサーバにインストールしました。
エージェントとAzure ADの間の通信要件は、以下のURLに記載された通りで、オンプレ→Azure ADにTCP443と80のout boundだけ開けたらOKです。
https://docs.microsoft.com/ja-jp/azure/active-directory/cloud-provisioning/how-to-prerequisites

基本的には次へ次へでOKです。
インストール時にAzure ADの全体管理者アカウント&パスワードが必要になります。

Azure AD側での構成

インストールが完了した時点では、Azure ADに同期用のユーザが作成されるのみとなります。
同期を開始するには、Azure AD側の設定をします。
Azure ADのプロビジョニング画面で「+新しい構成」を開きます。

ドメインを選択して、必要に応じてスコープを指定します。「すべてのユーザ」という表示をクリックすると、OUかGroupを指定する画面が表示されます。
続いて、パスワードハッシュ同期の有効にするかどうかを選び、必要に応じて通知用電子メールを入力、配置で「有効にする」を選択し、上の方の「Azure ADのプロビジョニング」というタイトルの下にある「保存」をクリックします。

まだ試していないこと

ある程度の同期ルールが書けるようなのですが、まだ全然試していないです。
https://docs.microsoft.com/ja-jp/azure/active-directory/cloud-provisioning/how-to-transformation
また、ADが1台しかない検証環境にとりあえずインストールしただけというチープな感じなので、複数台のADを作ったり、マルチフォレストにしてみたりもやってみたいですね。