【Q&Aコーナー】AADSyncを利用したマルチフォレストからシングルテナントへの同期

皆さんこんにちは。国井です。

今日は、先日セミナーでご質問をいただいた AADSyncでマルチフォレストからシングルテナントへの同期方法について紹介します。

Active DirectoryドメインサービスとAzure ADの間でディレクトリ同期を行うツールとして、 AADSyncというツールが出ておりますが、こちらを利用するとマルチフォレストからの同期が可能になります。
では、マルチフォレストをサポートするように、AADSyncをどのように設定すればよいか? また、そのときの挙動について、どのようなものになるのかを見てみましょう。

まず、AADSyncで同期対象となるフォレストを登録するときは、 AADSyncをインストールしたコンピューターのデスクトップに作られるDirectorySyncToolショートカットを実行し、[ADDSに接続]から2つのフォレスト(ドメイン)の情報を登録するだけです。

image

一方、登録されたフォレストは登録した順番にディレクトリ同期が行われるようになっています。
下の画面はAADSyncをインストールしたコンピューターに実装されるmiisclient.exeを実行し、ログを参照している様子。[ADDSに接続]で登録した順番である、example.com → nwtraders.comの順に同期が行われていることがわかります。

image

今度は視点を少し変えましょう。

マルチフォレストの場合、アカウントの一元管理が完全にできなくなるので、マルチフォレストからシングルテナントに同期を行うと、同じ名前のユーザーが同期されてしまうのではないかという心配があります。 これは、その通りで、同じ名前のユーザーを同期すると先に同期したユーザーだけが同期に成功し、後から同期したユーザーは同期に失敗します。 以下では、haraguchi@example.comユーザーとharaguchi@nwtraders.comユーザーを作って同期を行うと、 Azure ADにはharaguchi@xxxx.onmicrosoft.comという名前でユーザーが作られるのですが、 haraguchi@example.comとharaguchi@nwtraders.comはどちらもharaguchiなので、 後から同期を行うharaguchi@nwtraders.comの同期に失敗したことを示すログが出力されています。 image

こうした問題を避けるために、同期を行う前に同じ名前のユーザーがいないか?などについては事前に確認しておくことが重要です。 一方、同じ名前のユーザーでもドメイン名が異なれば、これは全く問題なく同期が可能です。
以下では、hamada@xxxx.adfs.jpとhamada@yyyy.adfs.jpというユーザーをActive Directoryに作って同期したところ、@以降の名前が異なるため、それぞれのユーザーが同期されていますね。 image

最後にグループについて。
グループはどうか?というと、同じ名前のグループでも、なんと2つ作られてしまうのです! グループの同期に関しては、AADSyncのフィルター設定などを活用し、少なくともDNSAdminsみたいな、どこのドメインでも存在するグループが勝手に同期されないように構成することが重要だと思います。 image