チュートリアル: 1 つの Active Directory フォレストでハイブリッド ID にパススルー認証を使用する

このチュートリアルでは、パススルー認証と Windows Server Active Directory (Windows Server AD) を使って Azure でハイブリッド ID 環境を作成する方法について説明します。 作成したハイブリッド ID 環境は、テスト目的や、ハイブリッド ID のしくみについて理解を深めるために使用できます。

このチュートリアルでは、以下の内容を学習します。

• 仮想マシンを作成します。
• Windows Server Active Directory 環境を作成する。
• Windows Server Active Directory ユーザーを作成する。
• Microsoft Entra テストを作成する。
• Azure でハイブリッド ID 管理者アカウントを作成する。
• カスタム ドメインをディレクトリに追加する。
• Microsoft Entra Connect を設定する。
• ユーザーが同期されていることをテストして確認する。

前提条件

• Hyper-V がインストールされたコンピューター。 Hyper-V は、Windows 10 または Windows Server 2016 コンピューターにインストールすることをお勧めします。
• Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
• 仮想マシンがインターネットに接続できるようにするための外部ネットワーク アダプター。
• Windows Server 2016 のコピー。
• 確認可能なカスタム ドメイン。

注意

このチュートリアルでは、PowerShell スクリプトを使用して、チュートリアル環境をすばやく作成します。 各スクリプトでは、そのスクリプトの先頭で宣言された変数が使用されます。 変数は環境に合わせて変更してください。

このチュートリアルのスクリプトでは、Microsoft Entra Connect をインストールする前に、一般的な Windows Server Active Directory (Windows Server AD) 環境を作成します。 スクリプトは、関連するチュートリアルでも使用されます。

このチュートリアルで使用される PowerShell スクリプトは、GitHub で入手できます。

仮想マシンの作成

ハイブリッド ID 環境を作成するための最初のタスクは、オンプレミスのWindows Server AD サーバーとして使用する仮想マシンを作成することです。

注意

ホスト コンピューターにおいて PowerShell でスクリプトを実行したことがない場合は、スクリプトを実行する前に、管理者として Windows PowerShell ISE 開き、Set-ExecutionPolicy remotesigned を実行します。 [実行ポリシーの変更] ダイアログで、[はい] を選択します。

仮想マシンを作成するには:

1. Windows PowerShell ISE を管理者として開きます。

2. 次のスクリプトを実行します。

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

オペレーティング システムをインストールする

仮想マシンの作成を完了するには、オペレーティング システムをインストールします。

1. Hyper-V マネージャーで、仮想マシンをダブルクリックします。
2. [スタート] を選択します。
3. プロンプトで、任意のキーを押して CD または DVD から起動します。
4. Windows Server のスタート ウィンドウで、使用する言語を選択し、[次へ] を選択します。
5. [今すぐインストール] を選択します。
6. ライセンス キーを入力し、[次へ] を選択します。
7. [ライセンス条項に同意します] チェック ボックスをオンにし、[次へ] を選択します。
8. [カスタム: Windows のみをインストールする (詳細設定)] を選択します。
9. [次へ] を選択します。
10. インストールが完了したら、仮想マシンを再起動します。 サインインし、[Windows Update] をオンにします。 更新プログラムをインストールして、VM が完全に最新であることを確認します。

Windows Server AD の前提条件をインストールする

Windows Server ADをインストールする前に、前提条件をインストールするスクリプトを実行します。

1. Windows PowerShell ISE を管理者として開きます。

2. Set-ExecutionPolicy remotesigned を実行します。 [実行ポリシーの変更] ダイアログで、[すべてはい] を選択します。

3. 次のスクリプトを実行します。

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Windows Server AD 環境を作成する

次に、環境を作成するために Active Directory Domain Services をインストールして構成します。

1. Windows PowerShell ISE を管理者として開きます。

2. 次のスクリプトを実行します。

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Windows Server AD ユーザーを作成する

次に、テスト用のユーザー アカウントを作成します。 オンプレミスの Active Directory 環境でこのアカウントを作成します。 その後、アカウントは Microsoft Entra ID に同期されます。

1. Windows PowerShell ISE を管理者として開きます。

2. 次のスクリプトを実行します。

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Microsoft Entra テストを作成する

アカウントをお持ちではない場合は、「Microsoft Entra ID で新しいテナントを作成する」の記事の手順に従って、新しいテナントを作成してください。

Microsoft Entra ID でハイブリッド ID 管理者を作成する

次のタスクは、ハイブリッド ID 管理者アカウントを作成することです。 このアカウントは、Microsoft Entra Connect のインストール中に Microsoft Entra Connector アカウントを作成するために使用されます。 Microsoft Entra Connector アカウントは、Microsoft Entra ID に情報を書き込むために使用されます。

ハイブリッド ID 管理者アカウントを作成するには:

1. Microsoft Entra 管理センターにサインインします。
2. [ID]>[ユーザー]>[すべてのユーザー] の順に参照してください
3. [新しいユーザー]>[新しいユーザーの作成] を選択します。
4. [新しいユーザーの作成] ペインで、新しいユーザーの [表示名] と[ユーザー プリンシパル名] を入力します。 テナントのハイブリッド ID 管理者アカウントを作成しているところです。 一時パスワードを表示およびコピーできます。
   1. [割り当て] で [ロールの追加] を選択し、[ハイブリッド ID の管理者] を選びます。
5. 次に、[確認と作成]>[作成] の順に選択します。
6. 新しい Web ブラウザー ウィンドウで、新しいハイブリッド ID 管理者アカウントと一時パスワードを使用して myapps.microsoft.com にサインインします。

カスタム ドメイン名をディレクトリに追加する

テナントとハイブリッド ID 管理者を作成したので、Azure が検証できるように、カスタム ドメインを追加します。

カスタム ドメイン名をディレクトリに追加するには:

1. Microsoft Entra 管理センターに移動します。

2. ID>設定>ドメイン名 の順に進みます。

3. [カスタム ドメインの追加] を選択します。

   

4. [Custom domain names](カスタム ドメイン名) で、カスタム ドメインの名前を入力し、[Add domain](ドメインの追加) を選択します。

5. [カスタム ドメイン名] に、TXT または MX の情報が表示されます。 この情報は、ドメインのドメイン レジストラーの DNS 情報に追加する必要があります。 ドメイン レジストラーに移動して、ドメインの DNS 設定で TXT または MX 情報を入力します。

   この情報をドメイン レジストラーに追加すると、Azure がドメインを検証できるようになります。 ドメインの検証には最大 24 時間かかる場合があります。

   詳細については、カスタム ドメインの追加に関するドキュメントを参照してください。

6. ドメインが検証されていることを確認するには、[確認する] を選択します。

   

Microsoft Entra Connect をダウンロードしてインストールする

ここで、Microsoft Entra Connect をダウンロードしてインストールします。 インストール後、高速インストールを使用します。

1. Microsoft Entra Connect をダウンロードします。

2. AzureADConnect.msi に移動し、ダブルクリックしてインストール ファイルを開きます。

3. [開始] で、ライセンス条項に同意するチェック ボックスをオンにし、[続行] を選択します。

4. [Express settings](簡単設定) で、[カスタマイズする] を選択 します。

5. [必要なコンポーネントのインストール] で、[インストール] を選択します。

6. [ユーザー サインイン] で、[パススルー認証] と [シングル サインオンを有効にする] を選んでから、[次へ] を選びます。

7. [Connect to Microsoft Entra ID] (Microsoft Entra ID に接続) で、先ほど作成したハイブリッド ID の管理者アカウントのユーザー名とパスワードを入力し、[次へ] を選択します。

8. [Connect your directories](ディレクトリの接続) で、[ディレクトリの追加] を選択します。 次に [新しい AD アカウントを作成] を選択し、contoso\Administrator のユーザー名とパスワードを入力します。 [OK] を選択します。

9. [次へ] を選択します。

10. [Microsoft Entra sign-in configuration] (Microsoft Entra サインインの構成) で、[一部の UPN サフィックスが確認済みドメインに一致していなくても続行する] を選択します。 [次へ] を選択します。

11. [ドメインと OU のフィルタリング] で、[次へ] を選択します。

12. [一意のユーザー識別] で、[次へ] を選択します。

13. [ユーザーおよびデバイスのフィルタリング] で、[次へ] を選択します。

14. [Optional features](オプション機能) で、[次へ] を選択します。

15. [Enable single sign-on credentials] (シングル サインオン資格情報を有効にする) で、ユーザー名とパスワードに contoso\Administrator と入力して、[次へ] を選びます。

16. [構成の準備完了] で、[インストール] を選択します。

17. インストールが完了したら、[終了] をクリックします。

18. 次に、Synchronization Service Manager または同期規則エディターを使用する前に、サインアウトしてから、もう一度サインインします。

ポータルでユーザーを確認する

次に、オンプレミスの Active Directory テナント内のユーザーが同期され、Microsoft Entra テナントに存在することを確認します。 このセクションが完了するまでに数時間かかることがあります。

ユーザーが同期されていることを確認するには:

1. Microsoft Entra 管理センターにサインインします。

2. [ID]>[ユーザー]>[すべてのユーザー] の順に参照してください

3. テナントに新しいユーザーが表示されていることを確認します。

   

ユーザー アカウントでサインインして同期をテスト

Windows Server AD テナントのユーザーが Microsoft Entra テナントと同期されていることをテストするには、次のいずれかのユーザーとしてサインインします。

1. 「 https://myapps.microsoft.com 」を参照してください。

2. 新しいテナントで作成されたユーザー アカウントを使用してサインインします。

   ユーザー名には、user@domain.onmicrosoft.com という形式を使用します。 ユーザーがオンプレミスの Active Directory へのサインインに使用するのと同じパスワードを使用します。

ハイブリッド ID 環境を正常に設定できました。これは、Azure の機能をテストしたり理解したりするために使用できます。

次のステップ

• Microsoft Entra Connect のハードウェアと前提条件を確認します。
• Microsoft Entra Connect でカスタム設定を使用する方法を確認します。
• Microsoft Entra Connect でのパススルー認証について理解します。