Office 365管理者のためのディレクトリ同期ツール入門 AADSync編

皆さん、こんにちは。国井です。

Office 365管理者のためのディレクトリ同期ツール入門シリーズの最後は
Azure Active Directory Sync(AADSync)ツールについてです。

2015年1月時点では、Office 365管理ポータルからダウンロード可能な
ディレクトリ同期ツールはDirSyncツールですが、将来的にAADSyncツールに
置き換わるものと思われます。

AADSyncツールを使うと嬉しいことは、なんと言っても
マルチフォレストでのディレクトリ同期に対応していること!

ということで、今回はAADSyncツールを確認してみましょう。

■ ■ ■

まず、AADSyncツールはマイクロソフトのダウンロードサイトよりダウンロードできます。
ダウンロードサイトを見ると、英語版のみがダウンロード可能であるかのように書いてありますが、
実際にはマルチランゲージ対応なので、日本語OSにインストールすれば、
セットアップウィザードは日本語になります。

AADSyncのインストールは至って簡単で、セットアッププログラムを起動して
インストールパスを指定するだけ。

AAD001

インストールが終わると、ディレクトリ同期に関する情報を設定します。
なお、ここから先の設定はデスクトップに作成されるショートカットから
改めて実行することも可能です。

image

AAD004

ここで、複数のフォレスト(ドメイン)を指定すれば、待望のマルチフォレスト対応が実現します!
ですが、今回はシングルフォレストで先を急ぎます。

AAD005

ディレクトリ同期を行う際、どの属性を使ってADユーザーとAzure ADユーザーを
マッピングするか?についての設定です。
Alternate Login IDの機能を利用する場合はここでカスタマイズします。

AAD006

パスワード同期を行うか?パスワードライトバック機能を使うか?などを
選択できます。ちなみにパスワードライトバックとは、Azure AD Premiumに含まれる
セルフサービスのパスワードリセット機能でパスワードをリセットしたときに、リセットしたパスワードを
オンプレミスのActive Directoryに同期させる機能です。
(「クラウドからActive Directoryのパスワードを変更する方法」で紹介したEnable-OnlinePasswordWriteBackに相当する操作です)
それから、Azure ADアプリと属性フィルターについては話が長くなるので場を改めて紹介します。

AAD008

残りはすべて次へ進めていくとウィザードが完了します。

AAD011

AAD012

AADSyncもDirSyncと同様にmiisclient.exeツールは用意されています。
ただしパスはc:Program FilesMicrosoft Azure AD SyncUIShellに変更になりました。

AAD013

画面構成はDirSyncツールと基本的には同じですが、[Joiner]メニューはなくなりました。

image

Connectorsメニューを見ると、MAの名前がドメイン名になっています。
カンの良い人なら、もうお気づきですね。
マルチフォレストの場合はフォレストごとにMAが作られます。

image

先ほど、オブジェクトのマッピングを担当するJoinerメニューはなくなったといいましたが、
正確には別ツールで用意されるようになった、というのが正しい表現です。
miisclientツールと同じフォルダーにSyncRulesEditor.exeという名前で用意されています。

image

Synchronization Rules Editorツールでは、マッピングに関する設定ができます。
マッピングだけでなく、同期に関するフィルター設定などもすべてここで行うことになります。
このあたりはMVPふじえさんの[AAD/Office365]AAD Sync Betaを試すでも
紹介しているので、ぜひご一読ください。

image

Synchronization Rules EditorツールにあるInboundとOutboundというのは
Forefront Identity Managerで登場する着信同期規則(ISR)と発信同期規則(OSR)のことです。FIMだとFIM専用のポータルサイトから規則を作成しますが、Synchronization Rules Editorツールではすべてこの画面から作成します。

こうやって見ると、AADSyncツールを使いこなすにはFIMの知識が必要になってきていることがわかりますね。FIMを学習するリソースは世の中に多くないので、ちょっと苦労しそうです。