Azure AD Connect の活用方法 (2016年3月時点)

皆さんこんにちは。国井です。

Azure Active Directory Connect (Azure AD Connect)ツールの1.1.119.0というバージョンが2016年3月にリリースされました。

手順書を作成したり、セミナーでお話しさせていただいたり、している立場としてはユーザーインターフェイスが変わった、手順が変わった、というのはインパクトが大きく、特にVer.1.1台の変更は結構大きいものだったので、少しまとめておきたいと思います。

■同期のスケジュールと実行

ディレクトリ同期のスケジュールは長らく3時間に1回でしたが、今回から30分に1回に変わりました。

設定は

Get-ADSyncScheduler

コマンドレットで確認することができます。

image

一方、今すぐ実行するときは

Start-ADSyncSyncCycle

コマンドレットで実行することができます。
また、同期実行するのに、Full-Syncだの、Delta-Syncだの、
Synchronization Serviceツールでも見ない限り、気にすることはなかったですが、
ちゃんと、スイッチで使い分けられるようになっています。

Start-ADSyncSyncCycle –PolicyType Delta
Start-ADSyncSyncCycle –PolicyType Initial

Synchronization Serviceで設定変更したときは、設定変更を正しく反映させるためにも
Deltaではなく、Initialを選択すべきかと思います。
また、同期中は設定変更ができません。Synchronization Serviceで設定変更して、OKボタンを押そうとすると、こんなエラーが出ることがあります。以前は3時間に1回の同期タイミングだったので、見かけることは少なかったと思いますが、今は30分に1回ですから遭遇する可能性も高いと言えます。

image

■スキーマ拡張

今までAPIベースでしかできなかった、スキーマ拡張もセットアップウィザードから簡単にできるようになりました。

セットアップウィザード(セットアップ完了後であれば、デスクトップに保存されているショートカット)からオプション機能で、[ディレクトリ拡張機能の属性の同期]を選択し、

image

[ディレクトリ拡張]から属性を追加するだけ。

image

ディレクトリ同期を行うと、Azure ADに属性が追加されます。
追加された属性はGraph Explorerから参照できます。
追加した属性はextension_…で始まる属性名になっています。

image

■将来のアップグレードを自動で実行

簡単設定限定の機能のようですが、将来、新しいバージョンのAzure AD Connectが登場したときに自動的にアップデートする機能が追加されました。

Get-ADSyncAutoUpgrade

コマンドレットでアップグレードの可否を確認できます。

その他、私自身は確認していないですが、Synchronization Rules Editorでカスタマイズしたルールはエクスポートして別のサーバーへ移行することもできるようになっています。(Ver.1.1台よりも前からできていた??)
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-upgrade-previous-version/

ディレクトリ同期ツールに限らず、Azure ADは変化が速くて、ついていくのが大変ですね。