チュートリアル: 1 つの Active Directory フォレストでハイブリッド ID のためにパスワード ハッシュの同期を使用する
このチュートリアルでは、パスワード ハッシュの同期と Windows Server Active Directory (Windows Server AD) を使用して Azure でハイブリッド ID 環境を作成する方法について説明します。 作成したハイブリッド ID 環境は、テスト目的や、ハイブリッド ID のしくみについて理解を深めるために使用できます。
このチュートリアルでは、以下の内容を学習します。
- 仮想マシンを作成します。
- Windows Server Active Directory 環境を作成する。
- Windows Server Active Directory ユーザーを作成する。
- Azure Active Directory テナントを作成する。
- Azure でハイブリッド ID 管理者アカウントを作成する。
- Azure AD Connect を設定する。
- ユーザーが同期されていることをテストして確認する。
前提条件
- Hyper-V がインストールされたコンピューター。 Hyper-V は、Windows 10 または Windows Server 2016 コンピューターにインストールすることをお勧めします。
- Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
- 仮想マシンがインターネットに接続できるようにするための外部ネットワーク アダプター。
- Windows Server 2016 のコピー。
注意
このチュートリアルでは、PowerShell スクリプトを使用して、チュートリアル環境をすばやく作成します。 各スクリプトでは、そのスクリプトの先頭で宣言された変数が使用されます。 変数は環境に合わせて変更してください。
チュートリアルのスクリプトでは、Azure AD Connect をインストールする前に、一般的な Windows Server Active Directory (Windows Server AD) 環境を作成します。 スクリプトは、関連するチュートリアルでも使用されます。
このチュートリアルで使用される PowerShell スクリプトは、GitHub で入手できます。
仮想マシンの作成
ハイブリッド ID 環境を作成するための最初のタスクは、オンプレミスのWindows Server AD サーバーとして使用する仮想マシンを作成することです。
注意
ホスト コンピューターにおいて PowerShell でスクリプトを実行したことがない場合は、スクリプトを実行する前に、管理者として Windows PowerShell ISE 開き、Set-ExecutionPolicy remotesigned を実行します。 [実行ポリシーの変更] ダイアログで、[はい] を選択します。
仮想マシンを作成するには:
Windows PowerShell ISE を管理者として開きます。
次のスクリプトを実行します。
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create a new virtual machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add a DVD drive to the virtual machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount installation media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure the virtual machine to boot from the DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
オペレーティング システムをインストールする
仮想マシンの作成を完了するには、オペレーティング システムをインストールします。
- Hyper-V マネージャーで、仮想マシンをダブルクリックします。
- [スタート] を選択します。
- プロンプトで、任意のキーを押して CD または DVD から起動します。
- Windows Server のスタート ウィンドウで、使用する言語を選択し、[次へ] を選択します。
- [今すぐインストール] を選択します。
- ライセンス キーを入力し、[次へ] を選択します。
- [ライセンス条項に同意します] チェック ボックスをオンにし、[次へ] を選択します。
- [カスタム: Windows のみをインストールする (詳細設定)] を選択します。
- [次へ] を選択します。
- インストールが完了したら、仮想マシンを再起動します。 サインインし、[Windows Update] をオンにします。 更新プログラムをインストールして、VM が完全に最新であることを確認します。
Windows Server AD の前提条件をインストールする
Windows Server ADをインストールする前に、前提条件をインストールするスクリプトを実行します。
Windows PowerShell ISE を管理者として開きます。
Set-ExecutionPolicy remotesignedを実行します。 [実行ポリシーの変更] ダイアログで、[すべてはい] を選択します。次のスクリプトを実行します。
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "4.2.2.2" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set a static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Windows Server AD 環境を作成する
次に、環境を作成するために Active Directory Domain Services をインストールして構成します。
Windows PowerShell ISE を管理者として開きます。
次のスクリプトを実行します。
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomainNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install Active Directory Domain Services, DNS, and Group Policy Management Console start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create a new Windows Server AD forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Windows Server AD ユーザーを作成する
次に、テスト用のユーザー アカウントを作成します。 オンプレミスの Active Directory 環境でこのアカウントを作成します。 その後、アカウントは Azure Active Directory (Azure AD) に同期されます。
Windows PowerShell ISE を管理者として開きます。
次のスクリプトを実行します。
#Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Azure AD テナントを作成する
次に、Azure AD テナントを作成して、Azure でユーザーを同期できるようにします。
Azure portal で、Azure サブスクリプションに関連付けられているアカウントを使用してサインインします。
[Azure Active Directory] を検索して選択します。
[作成] を選択します
組織の名前と初期ドメイン名を入力します。 次に、[作成] を選択してディレクトリを作成します。
ディレクトリを管理するには、[こちらをクリックしてください] リンクを選択します。
Azure AD でハイブリッド ID 管理者を作成する
次のタスクは、ハイブリッド ID 管理者アカウントを作成することです。 このアカウントは、Azure AD Connect のインストール時に Azure AD コネクタ アカウントを作成するために使用されます。 Azure AD コネクタ アカウントは、Azure AD に情報を書き込むために使用されます。
ハイブリッド ID 管理者アカウントを作成するには:
左側のメニューの [管理] で、[ユーザー] を選択します。
![Azure AD でハイブリッド ID 管理者を作成するためにリソース メニューの [管理] で [ユーザー] が選択されていることを示すスクリーンショット。](media/tutorial-password-hash-sync/gadmin1.png)
[すべてのユーザー] を選択し、[新しいユーザー] を選択します。
[ユーザー] ペインで、新しいユーザーの名前とユーザー名を入力します。 テナントのハイブリッド ID 管理者アカウントを作成しているところです。 一時パスワードを表示およびコピーできます。
[ディレクトリ ロール] ペインで、[ハイブリッド ID の管理者] を選択します。 [作成] を選択します。
![Azure AD のハイブリッド ID 管理者アカウントを作成するときに選択する [作成] ボタンを示すスクリーンショット。](media/tutorial-password-hash-sync/gadmin2.png)
新しい Web ブラウザー ウィンドウで、新しいハイブリッド ID 管理者アカウントと一時パスワードを使用して
myapps.microsoft.comにサインインします。ハイブリッド ID 管理者アカウントの新しいパスワードを選択し、パスワードを変更します。
Azure AD Connect をダウンロードしてインストールする
次に、Azure AD Connect をダウンロードしてインストールします。 インストール後、高速インストールを使用します。
Azure AD Connect をダウンロードします。
AzureADConnect.msi に移動し、ダブルクリックしてインストール ファイルを開きます。
[開始] で、ライセンス条項に同意するチェック ボックスをオンにし、[続行] を選択します。
[簡単設定] で、[簡単設定を使う] を選択します。
![[簡単設定] 画面と [簡単設定を使う] ボタンを示すスクリーンショット。](media/tutorial-password-hash-sync/express1.png)
[Azure AD に接続] で、Azure AD のハイブリッド ID 管理者アカウントのユーザー名とパスワードを入力します。 [次へ] を選択します。
[AD DS に接続] で、エンタープライズ管理者アカウントのユーザー名とパスワードを入力します。 [次へ] を選択します。
[構成の準備完了] で、[インストール] を選択します。
インストールが完了したら、[終了] をクリックします。
次に、Synchronization Service Manager または同期規則エディターを使用する前に、サインアウトしてから、もう一度サインインします。
ポータルでユーザーを確認する
次に、オンプレミスの Active Directory テナント内のユーザーが同期され、Azure AD テナントに存在することを確認します。 このセクションが完了するまでに数時間かかることがあります。
ユーザーが同期されていることを確認するには:
Azure portal で、Azure サブスクリプションに関連付けられているアカウントにサインインします。
ポータル メニューで、[Azure Active Directory] を選択します。
リソース メニューで、[管理] の下の [ユーザー] を選択します。
テナントに新しいユーザーが表示されていることを確認します。
ユーザー アカウントでサインインして同期をテストする
Windows Server AD テナントのユーザーが Azure AD テナントと同期されていることをテストするには、次のいずれかのユーザーとしてサインインします。
https://myapps.microsoft.com にアクセスします。
新しいテナントで作成されたユーザー アカウントを使用してサインインします。
ユーザー名には、
user@domain.onmicrosoft.comという形式を使用します。 ユーザーがオンプレミスの Active Directory へのサインインに使用するのと同じパスワードを使用します。
ハイブリッド ID 環境を正常に設定できました。これは、Azure の機能をテストしたり理解したりするために使用できます。
次のステップ
- Azure AD Connect のハードウェアと前提条件を確認します。
- Azure AD Connect で簡単設定を使用する方法を確認します。
- Azure AD Connect とのパスワード ハッシュの同期の詳細を確認します。