Office 365の認証にADを使う

 2018.06.05  Microsoft 365チャネル編集部

Office 365はAzure Active Directory(Azure AD)と呼ばれる認証サービスの無料サブスクリプションが含まれていることで、ユーザーID管理を行っています。Azure ADとは通常オンプレミスで運用するActive DirectoryをAzure上に構築したもので、主にクラウドサービスでのID統合管理やシングルサインオン(SSO)を実装するための認証サービスです。

では、既にオンプレミスでActive Directoryを運用していてローカルシステムのSSOを実装している環境では、どのようにしてOffice 365を同じ認証基盤に統合すればよいのか?今回はその点についてお伝えしましょう。

Office 365とActive Directoryを統合する簡単な方法

結論としてはAzure ADとActive Directoryを接続することで、Office 365をオンプレミスの認証基盤に統合することができます。そのためにはまず「Azure AD Connect」という同期ツールが欠かせません。ちなみにAzure AD Connectは無料でダウンロードできるツールであり、「Microsoftのダウンロードページ」にて公開されています。

このAzure AD Connectを使用した最も簡単な接続方法をご紹介しましょう。

まずはAzure AD Connect用のサーバー(ドメイン参加済み)にローカル管理者としてサインインをしてダウンロードページからAzure AD Connectをダウンロードします。ダウンロードした「AzureADConnect.msi」を実行したら簡単設定を行うを選択しましょう。これはAzure AD Connectの設定を自動で行うためのオプションで、パスワード同期が自動で構成されます。

次にAzure ADに接続するために全体管理者権限を持ったユーザー情報を入力し、次にActive Directoryドメインサービスに接続するためにEnterprise Admins権限を持つユーザー情報を入力します。最後にインストールを実行して完了です。

以上の手順でOffice 365がオンプレミスのActive Directoryに統合され、単一IDとパスワードでサインオンできるはずです。

より詳しいインストール手順に関してはMicrosoftが公開している「ドキュメント」をご参照ください。

ハードマッチによるOffice 365とActive Directoryの統合

Office 365をご利用いただくと自然とAzure AD上でユーザーアカウントが管理されます。これを既存のローカルアカウントを管理しているActive Directoryと統合したいというケースは非常に多くあります。もしも先にご紹介した方法での統合ができなかった場合は、ハードマッチによる統合を行ってみてください。

通常はActive Directoryで同期対象となるアカウントのメールアドレスまたはUPN(User Principal Name)名を一致させた状態で同期を行います。ちなみにこれをソフトマッチと呼びます。しかし、Active DirectoryとAzure ADで管理されているアカウントメールアドレスやUPNが異なると、これを紐づけた上でオブジェクトの一意性を確保するためのID情報「Immutable ID」を紐づける必要があります。これがハードマッチと呼ばれる統合方法です。

以下にその手順をご紹介します。

[SMART_CONTENT]

手順①Active DirectoryにてBase64でエンコードされたObjectGUIDを確認する

  1. Active Directoryの任意のドメインコントローラー(DC)上で「管理ツール」「Active Directoryユーザーとコンピューター」を開く
  2. メニューから「表示」「拡張機能」にチェックを入れる
  3. 該当ユーザーアカウントのプロパティを開く
  4. 「属性エディター」タブを開き、"distinguishedName" 値を選択して「表示」をクリック
  5. "distinguishedName" 値の内容をコピーする
  6. コマンドプロンプトを起動し、次のコマンドを実行する「ldifde -f c:\ ldifde_user.txt -d "手順Eでコピーした内容" -p subtree」
  7. 出力されたファイルを開いてObjectGUIDの値を確認する

手順②Azure AD上でImmutableIdが設定されてないことを確認

  1. インターネットに接続している任意のパソコン上で「Windows PowerShell用Windows Azure Active Directoryモジュール」を管理者として実行する
  2. 起動したPowerShellにて「Connect-MsolService」コマンドを実行する(認証ダイアログが表示されたら管理者ユーザーの資格情報を入力し「OK」ボタンをクリック)
  3. 次のコマンドを実行する「Get-MsolUser -UserPrincipalName "対象ユーザーの UPN" | fl」
  4. 出力されたファイルを開いてImmutableの値を確認する

手順③ImmutableIdを手動で設定

  1. インターネットに接続している任意のパソコン上で「Windows PowerShell用Windows Azure Active Directoryモジュール」を管理者として実行する
  2. 起動したPowerShellにて「Connect-MsolService」コマンドを実行する(認証ダイアログが表示されたら管理者ユーザーの資格情報を入力し「OK」ボタンをクリック)
  3. 次のコマンドを実行する「Set-MsolUser -UserPrincipalName <対象ユーザーの UPN> -ImmutableId <Active DirectoryユーザーのBase64エンコードされたobjectGUID値>」
  4. 次のコマンドを実行する「Get-MsolUser -UserPrincipalName "対象ユーザーの UPN" | fl」

手順④手動で差分ディレクトリ同期を実施

  1. ディレクトリ同期サーバーに管理者権限でログインする
  2. 管理者のPowerShellを起動して次のコマンドを実行する「Start-ADSyncSyncCycle -PolicyType Delta」
  3. Office 365管理ポータルにて作業対象ユーザーの「同期の種類」がクラウドからActive Directoryに変わったことを確認する

以上でハードマッチによるOffice 365とActive Directoryの統合は完了です。既存のローカルシステム環境やOffice 365の利用状況によって最適な統合方法が異なるので、自社環境の状況把握を行ってから適切な方法でOffice 365とActive Directoryを統合しましょう。

[RELATED_POSTS]

マネージドセキュリティサービス Microsoft Defender for Identity

RECENT POST「セキュリティ」の最新記事


セキュリティ

Office 365のライセンス追加や割り当て方法

セキュリティ

Office 365でシングルサインオンを使用する方法

セキュリティ

徹底比較!Microsoft 365とOffice 365

セキュリティ

各種アプリケーションをまとめて管理するOffice 365 Groupsとは?

FAVORITE POST「Microsoft製品」の人気記事


Office 365の認証にADを使う
Microsoft 365 Enterprise セキュリティ機能カタログ
Microsoft Digital Trust Security ソリューション一覧
ブログ購読のお申込み
デジタルトランスフォーメーション チャンネル
クラウド実践チャンネル
BizApp チャンネル

関連サイト

サイト掲載へのお問い合わせ