今回から3回にわたり、最後の作業となる「Azure AD とオンプレミス Active Directory とのフェデレーション」を構成する。前回、今回が最終回と述べたが、大規模な作業となるため、複数回に分けてお届けすることにする。

Azure AD の準備

まずは Azure AD 上に“テナント”と呼ばれるドメインを作成しよう。Azure Portalにログオンし、[新規] - [セキュリティ+ID] -[Active Directory] を選択する。

すると、「旧ポータル」と呼ばれるサイトに移動する。実は、Azure AD は現在のAzure Portalに完全に対応しておらず、多くの作業は旧ポータルから行う必要がある。これは今後改善される予定だ。

旧ポータルが起動すると新しいディレクトリを作成するための画面が表示されるので、「名前」「ドメイン名」「リージョン」を指定する。「名前」は管理ツール上の識別名なので何を指定してもよい。ここでは「mynavi」を指定している。「ドメイン名」は世界で唯一である必要がある。すでに使用されているドメイン名を指定すると赤いエラーマークが表示されるので、なんとかして唯一の文字列を指定する。ここでは「mynavi」がすでに使用されていたため「mynavidomain」を指定した。

ここで指定した文字列に「.onmicrosoft.com」というサフィックスが付加され、mynavidomain.onmicrosoft.com というドメイン名になる。これはAzureが用意している外部DNSに登録され、外部から参照可能なドメイン名となる。なお、オンプレミスのドメイン名は、後で当該ドメインの別名として登録する。リージョンは「日本」を選択しよう。すべて指定したらチェックボタンをクリックする。

作成が完了すると、以下のようにディレクトリの一覧画面に追加される。

管理者IDの作成

作成したディレクトリをクリックしてみよう。

次に、画面の上部にある「ユーザー」をクリックする。作成したばかりのディレクトリには、ユーザーが一人だけ登録されている。これはAzureサブスクリプションの契約に使用したマイクロソフトアカウントであり、これがサブスクリプション全体の既定の管理者として登録されている。

ここに、ディレクトリの管理者IDを登録しよう。画面の下にある「ユーザーの追加」をクリックする。

ウィザードが起動するので、ユーザー名として「admin」を指定し、「→」をクリックする。

ユーザー プロファイル画面では、「名」「姓」「表示名」を指定する。「ロール」は必ず「全体管理者」にしていただきたい。連絡用電子メールアドレスは、使用可能なアドレスを指定しよう。今回の演習ではあまり関係ないが、本番運用では管理者に対するアラートなどがこのアドレスに送られてくる。

一時パスワード画面では、作成したユーザーのパスワードを作成する。このパスワードは一時パスワードであり、初回ログオン時に必ず変更する必要がある。「作成」をクリックすると一時パスワードが発行されるので、この後のパスワードの変更が完了するまで忘れないようにしていただきたい。

パスワードが発行できたらチェックボタンをクリックしてウィザードを閉じよう。くれぐれもパスワードを忘れないように。もし忘れてしまったら、ユーザー管理画面の下にある「パスワードのリセット」を実行して新しい一時パスワードを発行しよう。

次に、ブラウザから以下のURLにアクセスしていただきたい。

https://myapps.microsoft.com/

ログオン画面が表示されたら、先ほど作成した管理者IDでログオンしよう。管理者IDは以下のフォーマットなので注意しよう。

admin@mynavidomain.onmicrosoft.com

サインインボタンをクリックするとパスワードの更新画面が表示されるので、一時パスワードと新しいパスワードを指定して、パスワードを更新する。 正しくログインできると、Azure アプリケーションポータル と呼ばれる画面が表示される。既定では何も表示されていないはずだ。

アイデンティティフェデレーションを構成するための準備

フェデレーションを構成するにあたり、現在のAzure ADのドメイン名(mynavidomain.onmicrosoft.com)にカスタムドメインを追加する。もちろん追加するのはオンプレミスADで使用しているドメイン名だ。

Azure AD の管理ポータルで「ドメイン」をクリックしよう。

「カスタムドメインの追加」をクリックし、ドメイン名にオンプレミスのドメイン名をFQDNで指定する。この例では mynavi.mydns.jp を指定している。さらに「このドメインを構成して、ローカル Active Directoryにシングルサインオンします。」をチェックし「追加」をクリックする。

画面の上部に「ドメイン ‘mynavi.mydns.jp’が正常に追加されました」が表示されたら次のページに移動する。

「ドメインをシングル サインオン用に構成する」が表示されたら「[ディレクトリ統合]ページに今すぐアクセスします。」にチェックが入っていることを確認してチェックボタンをクリックする。以下の画面が表示されることを確認しよう。この画面は後でまた使用するので、このままにしておく。

フェデレーションの構成

FS1に接続しよう。もちろんログオンに使用するIDはドメインの管理者だ。

フェデレーションを構成するには2つの方法がある。1つはAzure AD Connectの自動構成機能を使用する方法、もう1つはコマンドで設定する方法だ。自動構成を使用すれば簡単に設定できるが、トラブルシューティングが難しくなるというデメリットも生まれる。そのため、筆者はコマンドでフェデレーションを構成する方法をお勧めする。自動構成の手順を使用したい場合は以下のURLが参考になる。

https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect/

以降ではコマンドを使用して手動でフェデレーションを構成する方法について解説する。必要なコマンドやモジュールはダウンロードしてインストールする必要がある。FS1でブラウザを起動して、以下のURLにアクセスしていただきたい。

IT プロフェッショナル 用 Microsoft Online Services サインイン アシスタント
http://www.microsoft.com/ja-jp/download/details.aspx?id=41950

ダウンロードボタンをクリックし、64ビット版(msoidcli_64.msi)をダウンロードしてインストールしよう。インストールはすぐに完了する。次に、以下のURLにアクセスする。

Azure AD PowerShell モジュール
http://aka.ms/sw9hg3

画面を少しスクロールダウンすると、Version 9031.1 が登録されていることがわかる。これが本校執筆時点での最新版だ。

64-bit をクリックしてダウンロードしたら、インストールしよう。

以上で、Windows PowerShell から Azure AD を操作することができるようになった。残りの作業は、次回に説明することにする。

編集協力:ユニゾン

安納 順一
日本マイクロソフト テクニカル エバンジェリスト
主にインフラ系テクノロジーの日本市場への訴求を担当。近年はパブリッククラウド上のアイデンティティ・プロバイダーであるAzure Active Directoryを活用したセキュリティ基盤のデザインや実装方法などがメインのフィールドである。
Technetで個人ブログもさまざまな技術情報を発信している。