ユニバーサル プリントでハイブリッド AD/Azure AD 環境を有効にする
適用先:Windows Server 2016
背景
この情報は、ハイブリッド AD 構成を有効にすることが組織にとって適切な選択であるかどうかを判断するのに役立ちます。
ハイブリッド AD 構成とは何ですか?
ハイブリッド AD 構成は、組織が AD と Azure AD の両方を使用するセットアップです。 このような環境では、これらのディレクトリ サービスの両方にユーザー アカウントが存在します。
「ハイブリッド AD 構成を有効にする」とはどういう意味ですか?
ユニバーサル プリント コネクタは、インストールされている PC 上で Windows サービスとして実行されます。 コネクタ関数の 1 つは、ユニバーサル プリントから印刷ジョブを取得し、ターゲット プリンターに送信することです。 コネクタは、"System" アカウントを使用して、スプーラーに印刷ジョブを送信します。 そのため、ユニバーサル プリント ポータルには印刷ジョブを送信した Azure AD ユーザー名が表示されますが、ユニバーサル プリントを使用して印刷されるすべての印刷ジョブは、ユーザー "System" によって送信されたコネクタの Windows プリンター キューに表示されます。
Active Directory ドメインに依存する一部の従来の印刷管理アプリケーションは、スプーラー キューからユーザー名を読み取り、その情報を使用して何らかの機能を実行します (たとえば、ユーザーの毎月の印刷割り当てから印刷ジョブを差し引くなど)。 これらのアプリケーションがユニバーサル プリントでよりシームレスに動作するように更新されるまで、印刷ジョブを開始したユーザーの ID を取得することはできません。
ユニバーサル プリント コネクタで [ハイブリッド AD 構成を有効にする] オプションがオンになっている場合、コネクタは Azure AD のユーザー ID を対応するローカル AD ドメインのユーザー ID にマップしようとします。 一致する ID が見つかった場合、コネクタ サービスはそのユーザーのドメイン ID になりすましてから、ユーザーに代わって印刷ジョブをスプーラーに送信します。 その場合、印刷ジョブを作成したユーザーのドメイン ユーザー名がコネクタ PC のスプーラー キューに表示され、レガシー アプリケーションがそれを読み取ることができるようになります。
前提条件
このインストールを始める前に、いくつかのサブスクリプション、サービス、コンピューターを用意する必要があります。 制限事項は次のとおりです。
Azure AD Premium サブスクリプション。
Azure の試用版サブスクリプションについては、Azure サブスクリプションの使用開始に関する記事をご覧ください。
MDM サービス (Intune など)。
Intune の試用版サブスクリプションについては、Microsoft Intune に関する記事をご覧ください。
Active Directory を実行している Windows Server 2016 以降のコンピューター。
Active Directory のセットアップについては、「ステップバイステップ: Windows Server 2016 での Active Directory のセットアップ」をご覧ください。
プリント サーバーおよびコネクタ サーバーとして実行している、Windows Server 2016 以降のドメイン参加済み専用コンピューター。
詳しくは、「Azure AD アプリケーション プロキシ コネクタを理解する」をご覧ください。
公開されているドメイン名。
Azure によって自動的に作成されるドメイン名 (<ドメイン名>.onmicrosoft.com) を使用するか、独自のドメイン名を購入することができます。 「Azure Active Directory ポータルを使用してカスタム ドメイン名を追加する」を参照してください。
デプロイメントの手順
次の手順では、ハイブリッド AD/AAD 環境を有効にするために必要な一般的なユニバーサル プリントの展開を設定できます。
ステップ 1 - Azure AD Connect をインストールする
- Azure AD Connect は Azure AD をオンプレミスの AD に同期します。 Active Directory がある Windows Server コンピューターで、Azure AD Connect ソフトウェアをダウンロードして簡単設定でインストールします。 「簡単設定を使用した Azure AD Connect の開始」をご覧ください。
ステップ 2 - アプリケーション プロキシをインストールする
注: プリント サーバーが既に AzureAD に参加している場合は、この手順をスキップしてください。
アプリケーション プロキシを使うことで、組織のユーザーはクラウドからオンプレミスのアプリケーションにアクセスできます。 コネクタ サーバーにアプリケーション プロキシをインストールします。
- インストール手順については、チュートリアル: Azure Active Directory でのアプリケーション プロキシ経由のリモート アクセス用のオンプレミス アプリケーションの追加に関する記事をご覧ください。
- 組織のネットワーク トポロジが複雑な場合は、専用のコネクタ グループをお勧めします。 「コネクタ グループを使用して別のネットワークや場所にアプリケーションを発行する」を参照してください。
手順 3 - プリント サーバーをセットアップする
プリント サーバーに利用可能な Windows Update プログラムがすべてインストールされていることを確認してください (続行する前にサーバーを更新してください)。
注: Server 2019 にビルド 17763.165 以降のパッチが適用されている必要があります。
プリント サーバーとして機能する Windows Server (Windows サーバー) コンピューターでは、プリント サーバー ロールをインストールする必要があります。
- サーバーの役割のインストール方法について詳しくは、「役割と機能の追加ウィザードを使用して役割、役割サービス、および機能をインストールする」をご覧ください。
ローカル AD が AAD アカウントに確実にマップされるようにするには、プリント サーバーとして機能する Windows Server (Windows サーバー) が Hybrid Joined/Azure に参加している必要があります。 すべての手順が完了していることを確認するには、「ユニバーサル プリントのセットアップ」を参照してください。 要約すると、次のようになります。
- まだインストールしていない場合は、ユニバーサル プリント コネクタをプリント サーバー コンピューターにインストールします。
- コネクタの一意の名前を指定して、コネクタをユニバーサル プリントに登録します。
- 管理ポータルで登録済みのプリンターを共有します。
手順 4 - ローカル AD と Azure AD の Directory Sync をセットアップする
ユーザーまたはグループは、オンプレミスの Active Directory に存在し、Azure AD と同期されている必要があります。 ソリューションがルーティング不可能なドメイン (例: 自分のドメイン.local) にデプロイされる場合は、Azure AD ドメイン (例: ドメイン名.onmicrosoft.com、またはサードパーティ ベンダーから購入したドメイン) を、オンプレミスの Active Directory に UPN サフィックスとして追加する必要があります。 これにより、プリンターを公開するユーザーとまったく同じになります (例: admin@domainname.onmicrosoft.com)。 ローカル ドメインが確実に追加され、同期されるようにするには、「ディレクトリ同期のために非ルーティングドメインの準備を整える」を参照してください。
注: これは、完全なセットアップの基本的な要件であるため、重要な手順です。 ローカル AD ユーザーは、同期された AAD アカウントで同じユーザー名を持っている必要があります。
例: domain/user1 は user1@AADDomain.com に変換される必要があります
同期が行われると (デフォルトの同期の頻度は 30 分)、AD ユーザーが管理ポータルで同期されていることを確認できます。 [Azure Active Directory] で [ユーザー] タブを選択すると、すべてのユーザーのリストが表示されます。 ユーザーがそのリストでディレクトリを同期されているかどうかを簡単に確認できます。 ユーザーの詳細は、ソースが Windows Server AD であることを示す必要があります。
手順 5 - ユニバーサル プリント コネクタでハイブリッド AD/AAD サポートを有効にする
コネクタがインストールされているプリント サーバーには、アプリケーションの右上隅にトグル ボタンが必要です。
- コネクタの [ハイブリッド AD 構成を有効にする] オプションの [オン] ラジオ ボタンを選択します。
デプロイを検証する
AD 参加済みクライアント コンピューター上の AAD 資格情報を使用して、テスト印刷ジョブをプリント サーバーに送信して、展開が行われるかどうかを確認します。
マシンは、同期手順の中でリンクされているのと同じアカウントで AAD に参加している必要があります。 [設定]>[アカウント]>[メールアドレス & アカウント]の順に進みます。 [職場または学校アカウントの追加] をクリックし、資格情報を使用してログインし、AAD アカウントをクライアント コンピューターに追加します。
展開を確認するためにテスト印刷を送信する手順を次に示します。
- プリンターを追加してテスト ページを印刷する
- 印刷キューに印刷ジョブがキューに入っていることに気付くと、C:/print フォルダーの下のプリント サーバーに、printerName.pdf という名前のテスト印刷ファイルが表示されます。
- このファイルが表示された場合は、プリント サーバー ログの [トラブルシューティング] セクションに記載されているパスにあるイベント ログを確認することで、マッピングが正常に行われたかどうかを確認できます。
トラブルシューティング
展開時に発生する一般的な問題点を次に示します。
| エラー | 推奨される手順 |
|---|---|
| 指定したサーバーの機能を追加、または削除する要求が失敗しました | サーバー上の更新プログラムをチェックして、Windows Server (Windows サーバー) に最新の更新プログラムがあることを確認します。 |
| サーバーがドメインで Azure に参加しているかどうかを確認する | コマンド プロンプトで dsregcmd を実行し、AzureADJoined と DomainJoined が "YES (はい)" の状態に設定されている場合に確認します。 |
| 印刷ジョブが "プリンターへ送信" 状態のままになります | |
| 印刷ジョブは、ポータルで「中止済み」と表示されます。 プリント コネクタのイベント ログには、イベント 9「PrintJob failed System.Security.SecurityException: ユーザー名またはパスワードが間違っています...」に続いて、イベント 27「ジョブ <ID> に対する <ユーザー> の偽装に失敗しました。」が表示されます。 | ここで説明するように、コンピューター アカウントが "Windows 承認アクセス グループ" のメンバーであることを確認します。アプリと API にはアクセスが必要です。 |
ユニバーサル プリントに関連するトラブルシューティングのヘルプについては、「ユニバーサル プリントのトラブルシューティング ガイド」を参照してください。
トラブルシューティングに役立つログの場所を次に示します。
| コンポーネント | ログの場所 |
|---|---|
| Windows 10 クライアント | |
| プリント サーバー | イベント ビューアーを使用して、プリント コネクタのログを表示します。 [スタート] をクリックし、「イベント ビューアー」と入力します。 [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [PrintConnector] > [操作] に移動します。 |