チュートリアル: 1 つの Active Directory フォレストでハイブリッド ID のためにパスワード ハッシュの同期を使用する

  • [アーティクル]

このチュートリアルでは、パスワード ハッシュの同期と Windows Server Active Directory (Windows Server AD) を使用して Azure でハイブリッド ID 環境を作成する方法について説明します。 作成したハイブリッド ID 環境は、テスト目的や、ハイブリッド ID のしくみについて理解を深めるために使用できます。

パスワード ハッシュの同期を使用して Azure でハイブリッド ID 環境を作成する方法を示す図。

このチュートリアルでは、以下の内容を学習します。

  • 仮想マシンを作成します。
  • Windows Server Active Directory 環境を作成する。
  • Windows Server Active Directory ユーザーを作成する。
  • Microsoft Entra テストを作成する。
  • Azure でハイブリッド ID 管理者アカウントを作成する。
  • Microsoft Entra Connect を設定する。
  • ユーザーが同期されていることをテストして確認する。

前提条件

  • Hyper-V がインストールされたコンピューター。 Hyper-V は、Windows 10 または Windows Server 2016 コンピューターにインストールすることをお勧めします。
  • Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
  • 仮想マシンがインターネットに接続できるようにするための外部ネットワーク アダプター
  • Windows Server 2016 のコピー。

注意

このチュートリアルでは、PowerShell スクリプトを使用して、チュートリアル環境をすばやく作成します。 各スクリプトでは、そのスクリプトの先頭で宣言された変数が使用されます。 変数は環境に合わせて変更してください。

このチュートリアルのスクリプトでは、Microsoft Entra Connect をインストールする前に、一般的な Windows Server Active Directory (Windows Server AD) 環境を作成します。 スクリプトは、関連するチュートリアルでも使用されます。

このチュートリアルで使用される PowerShell スクリプトは、GitHub で入手できます。

仮想マシンの作成

ハイブリッド ID 環境を作成するための最初のタスクは、オンプレミスのWindows Server AD サーバーとして使用する仮想マシンを作成することです。

注意

ホスト コンピューターにおいて PowerShell でスクリプトを実行したことがない場合は、スクリプトを実行する前に、管理者として Windows PowerShell ISE 開き、Set-ExecutionPolicy remotesigned を実行します。 [実行ポリシーの変更] ダイアログで、[はい] を選択します。

仮想マシンを作成するには:

  1. Windows PowerShell ISE を管理者として開きます。

  2. 次のスクリプトを実行します。

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

オペレーティング システムをインストールする

仮想マシンの作成を完了するには、オペレーティング システムをインストールします。

  1. Hyper-V マネージャーで、仮想マシンをダブルクリックします。
  2. [スタート] を選択します。
  3. プロンプトで、任意のキーを押して CD または DVD から起動します。
  4. Windows Server のスタート ウィンドウで、使用する言語を選択し、[次へ] を選択します。
  5. [今すぐインストール] を選択します。
  6. ライセンス キーを入力し、[次へ] を選択します。
  7. [ライセンス条項に同意します] チェック ボックスをオンにし、[次へ] を選択します。
  8. [カスタム: Windows のみをインストールする (詳細設定)] を選択します。
  9. [次へ] を選択します。
  10. インストールが完了したら、仮想マシンを再起動します。 サインインし、[Windows Update] をオンにします。 更新プログラムをインストールして、VM が完全に最新であることを確認します。

Windows Server AD の前提条件をインストールする

Windows Server ADをインストールする前に、前提条件をインストールするスクリプトを実行します。

  1. Windows PowerShell ISE を管理者として開きます。

  2. Set-ExecutionPolicy remotesigned を実行します。 [実行ポリシーの変更] ダイアログで、[すべてはい] を選択します。

  3. 次のスクリプトを実行します。

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Windows Server AD 環境を作成する

次に、環境を作成するために Active Directory Domain Services をインストールして構成します。

  1. Windows PowerShell ISE を管理者として開きます。

  2. 次のスクリプトを実行します。

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Windows Server AD ユーザーを作成する

次に、テスト用のユーザー アカウントを作成します。 オンプレミスの Active Directory 環境でこのアカウントを作成します。 その後、アカウントは Microsoft Entra ID に同期されます。

  1. Windows PowerShell ISE を管理者として開きます。

  2. 次のスクリプトを実行します。

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Microsoft Entra テストを作成する

ない場合は、「Microsoft Entra ID で新しいテナントを作成する」の記事の手順に従って、新しいテナントを作成します。

Microsoft Entra ID でハイブリッド ID 管理者を作成する

次のタスクは、ハイブリッド ID 管理者アカウントを作成することです。 このアカウントは、Microsoft Entra Connect のインストール中に Microsoft Entra Connector アカウントを作成するために使用されます。 Microsoft Entra Connector アカウントは、Microsoft Entra ID に情報を書き込むために使用されます。

ハイブリッド ID 管理者アカウントを作成するには:

  1. Microsoft Entra 管理センターにサインインします。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に参照してください
  3. [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [新しいユーザーの作成] ペインで、新しいユーザーの [表示名][ユーザー プリンシパル名] を入力します。 テナントのハイブリッド ID 管理者アカウントを作成しているところです。 一時パスワードを表示およびコピーできます。
    1. [割り当て][ロールの追加] を選択し、[ハイブリッド ID の管理者] を選びます。
  5. 次に、[確認と作成]>[作成] の順に選択します。
  6. 新しい Web ブラウザー ウィンドウで、新しいハイブリッド ID 管理者アカウントと一時パスワードを使用して myapps.microsoft.com にサインインします。

Microsoft Entra Connect をダウンロードしてインストールする

ここで、Microsoft Entra Connect をダウンロードしてインストールします。 インストール後、高速インストールを使用します。

  1. Microsoft Entra Connect をダウンロードします。

  2. AzureADConnect.msi に移動し、ダブルクリックしてインストール ファイルを開きます。

  3. [開始] で、ライセンス条項に同意するチェック ボックスをオンにし、[続行] を選択します。

  4. [簡単設定] で、[簡単設定を使う] を選択します。

  5. [Microsoft Entra ID に接続] で、Microsoft Entra ID のハイブリッド ID 管理者アカウントのユーザー名とパスワードを入力します。 [次へ] を選択します。

  6. [AD DS に接続] で、エンタープライズ管理者アカウントのユーザー名とパスワードを入力します。 [次へ] を選択します。

  7. [構成の準備完了] で、[インストール] を選択します。

  8. インストールが完了したら、[終了] をクリックします。

  9. 次に、Synchronization Service Manager または同期規則エディターを使用する前に、サインアウトしてから、もう一度サインインします。

ポータルでユーザーを確認する

次に、オンプレミスの Active Directory テナント内のユーザーが同期され、Microsoft Entra テナントに存在することを確認します。 このセクションが完了するまでに数時間かかることがあります。

ユーザーが同期されていることを確認するには:

  1. 少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[ユーザー]>[すべてのユーザー] の順に参照してください

  3. テナントに新しいユーザーが表示されていることを確認します。

    Microsoft Entra ID でユーザーが同期されたことを確認している様子を示すスクリーンショット。

ユーザー アカウントでサインインして同期をテスト

Windows Server AD テナントのユーザーが Microsoft Entra テナントと同期されていることをテストするには、次のいずれかのユーザーとしてサインインします。

  1. https://myapps.microsoft.com 」を参照してください。

  2. 新しいテナントで作成されたユーザー アカウントを使用してサインインします。

    ユーザー名には、user@domain.onmicrosoft.com という形式を使用します。 ユーザーがオンプレミスの Active Directory へのサインインに使用するのと同じパスワードを使用します。

ハイブリッド ID 環境を正常に設定できました。これは、Azure の機能をテストしたり理解したりするために使用できます。

次のステップ