Azure AD Connect の構築

前回の「Azure AD Connect の事前準備」の続きとなります。今回はAzure AD Connect（以下、ADDC）の設定変更などを行います。すべての画面は2023年4月24日時点の情報となります。

注意事項

全体のシナリオとしてはAD＋Azure AD Connect（以下、AADC）を構築して、いろいろテストできる環境を作ろう(AD兼AADCを1台)というものです。（一番利用されているだろうWindows 2016で作ればよかったと若干後悔していますが、2022でAADC立ててみたかったのもあるのでご容赦）

全体のシナリオを読む（実際に構築してみる）場合のブログ記事としては大きく下記の流れで記載を予定しています。ゴールとしては検証環境を構築することですので、シンプルでお安く（Azureの無償範囲内）作る前提としており、情シスの方やエンジニアの方が最初のとっかかりになればと考えて記載した記事です。

少し業務のヒントも書くつもりではいますが、記載の内容だけで顧客にデリバリーしているものではないので「これだけやればいいんだ！」みたいなレベルで記載するつもりはありません。

具体例を出すとADは１台で構築するのでレプリケーションのことなど一切無視してます。その前提でスキーマ拡張するのでレプリケーション停止する必要などないのですが、本番（MSは２台以上を推奨としているので１台のケースはないと思っている）でこの手順でやってうまく適用されなかったら障害になります。

・VMの日本語化
・役割と機能の追加（ADの準備）
・ドメインコントローラーへの昇格（ADの構築）
・Azure AD Connectの事前準備
・Azure AD Connectの構築　☆本記事☆

※一部は既存のブログとかぶることがあるかと思います。既存のブログの方は不快に思うかもしれませんが、最新の画面で作成することに意義があると考えていますので気分を悪くされた方はご容赦ください。

最初に

Microsot 365 環境が必要になります（シナリオ順にやっていただいていれば用意がされている）

今回はパスワードハッシュ同期とシングルサインオンの設定をするシナリオにしています。
（Microsoftの一番推奨している同期方法のため）

各項目を細かく話すと読むほうも大変かと思うのでシンプルな説明だけ記載します。
（詳細は別途ブログ書くかもしれません）

今回インストールしたのは2023年4月24日時点の最新である「2.1.20.0」です
※2.1.20.0の更新日時は2022/11/9なのが後ほどの図で確認できます。

下記の公式文章を今回のシナリオ用（OSの前提なども考慮）に噛み砕いているのが記載の手順となります。

参考資料:
https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-prerequisites
https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-install-custom

インストールのための準備

Azure AD Connect のファイルをダウンロードする

① 最新のバージョンをインストールするために公式URLにアクセスします。
https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/whatis-azure-ad-connect

② Microsoft Azure Active Directory Connectのインストールというボタンがあるのでクリックします。

③ Downloadをクリックします。Detailsを見ることでバージョンなども確認できます。
※言語の変更はできません。日本語でインストール可能ですので安心ください。（MSあるある）

ダウンロードしたインストーラーパッケージを起動する

「ライセンス条項およびプライバシーに関する声明に同意します」にチェックを入れて「続行」をクリックする

「カスタマイズ」をクリックする

今後慣れてもらうためにも簡単設定を使わずにカスタマイズで行っています。
※下に警告が出ているのは代替UPNサフィックスの登録していると出ない、、、はず。

「インストール」をクリックする

AADCを動かすために必要なコンポーネント（直訳すると部品や要素だが、必要なプログラムと考えればいい）のオプション設定が出てきます。今回は検証用途なので既定のままとします。

「シングルサインオンを有効にする」にチェックを入れて「次へ」をクリックする

実際に自分で試したいものを選択すればいいのですが、今回は特定のシナリオで設定します。
※Pingfederate使っている環境の方はぜひ情報交換させてほしいです

「ユーザー名」と「パスワード」を入れて「次へ」をクリックする

Azure AD とあるとおり「Microsoft 365」の ID です。最初に Microsoft 365 を作った時のアカウントは Azure AD グローバル管理者になっていますので、それを入れることを想定しています。

「ディレクトリの追加」をクリックする

（少しだけエンジニア向けに記載）
複数フォレストの場合などはフォレストを手打ちする必要があります。
ADとAADCが別ネットワークの場合などはDNSで名前解決できないと設定ができません。
DNSを事前確認することが必要になるのですが、そんなもん公式文章のどこにも書いていないはずなので公式文章の行間を読む必要があります（製品考えるとわかって当然と言われてしまう部分）

実案件ではこの設定で顧客の「名前解決できるんで大丈夫です！」というのが嘘だったことに気付くことがあるので事前調査したほうがよいです。時間がタイトならSQLのインストール（上のインストールの工程をしないとこの画面にこないため）と本番設定の二回に分けてさっさとやるほうがよいです（事前に顧客環境に入れない制約や担当がコマンドたたくのに嫌悪感出すケースなど）

「新しいアカウントを作成」にチェックをして「ユーザー名」と「パスワード」を入れて「OK」をクリックする

今回はADの構築から行っているので、ユーザー名はADにしたサーバーのユーザー名となります。
※Enterprise Adminsグループ以上のメンバーである必要がある

画像にある通りで「contoso.com\ユーザー名」の形式で入力してください
今回のシナリオの場合は「m365labo.local\ユーザー名」となります。
※実際はlocalなくても通ったのでADで最後のドメイン違いがなければ通るはず

「次へ」をクリックする

構成済みディレクトリに登録されていれば「次へ」をクリックすることができます。

「一部のUPNサフィックスがドメインに一致していなくても続行する」にチェックを入れて「次へ」をクリックする

既定の画面ではチェックが入っていないため「次へ」がクリックできません。

チェックを入れたことにより「次へ」がクリックできます。
今回のシナリオではuserPrincipalNameをユーザー名として利用するMSの推奨例ですが、代替UPNサフィックスの登録＆UPN変更ができない環境などではここを「mail」に変えるケースなどもあります。
その場合は現時点ではいろいろな制約がでるので理由次第ですが基本的に変更は推奨しません。

補足説明：代替UPNサフィックスの設定をしている場合は下記のようになります。
・ADのドメインが「.local」だと Azure AD に追加ドメイン登録はできないので「追加されていません」になります。
・m365labo.xyzは接続先テナントに事前に登録してあるため「確認済み」となっています。
※Azure AD に追加ドメインという形で登録されていないものは「追加されていません」になりますが、AADCの登録としては問題ありません。