Windows Server 2016 × Azure Active Directory Connect によるADFSのインストール

皆さんこんにちは。国井です。

先週(2016年9月24日~)、米国アトランタで開催されていたMicrosoft Igniteに参加してきました。当ブログでもメインのパートとなっているAzure ADの話も多く、充実した日々を過ごしておりました。
今年は日本人の方で参加していた方や、オンラインでご覧になっていた方も多く、様々なブログ等でイベントの様子などは語られておりましたので、イベントの話は他の方にお任せして、私自身の所感などは様々なセミナーなどでご紹介させていただければと思います。

■ ■ ■

今日は、そのMicrosoft Igniteのイベントの中でGA(リリース)が発表された、Windows Server 2016でのADFSサーバーのインストールと、Office365のシングルサインオンについて確認します。

結論から先に言うと、ADFSのインストールやOffice365のシングルサインオン設定(初期設定)はAzure Active Directory Connectを使うことを推奨しているようなので、Windows Server 2016ならではの設定などはありません。
実際に、役割の追加でADFSの役割を追加し、構成ウィザードを実行すると、ご覧のように、「Office365のシングルサインオン設定するなら、Azure AD Connect使ってね」というメッセージが出ています。
(参考までに言っておくと、このメッセージを無視してADFSを手動でインストールしても、Windows Server 2012 R2のときと同様にSSO設定は可能です)

image

ということで、Azure AD Connectを使ってインストールを行います。

前提条件はこれまでと同じく

・Active Directoryドメイン
・ADFSサーバーとなるWindows Server 2016
・WebアプリケーションプロキシとなるWindows Server 2016(独立したサーバー)
・Azure ADドメイン
・Azure ADドメインに対応した証明書
・リモートからWAPをインストールできるようにするための設定
・代替UPNサフィックスの設定
・代替UPNサフィックスを設定したユーザーの作成

が必要になります。
主なところだけ簡単にご紹介しておきましょう。

【前提条件】Azure AD ドメイン

Microsoft Azure管理ポータルから作成するか、Office365の契約によって自動的に作成されるものを使いましょう。Azure管理ポータルから作成するときは[+新規]をクリックして作成します。
また、会社のドメイン名はAzure管理ポータルの[ドメイン]から[追加]をクリックして追加します。

image

【前提条件】リモートからWAPをインストールできるようにするための設定

Azure AD Connectでは、ADFSサーバーとWAPを一気にインストールします。Azure AD ConnectをインストールするサーバーとWAPとなるサーバーは確実に異なるサーバーになるため、遠隔からの操作でインストールできるように設定しておく必要があります。まず、WAPサーバー側では「Enable-PSRemoting」コマンドレットをPowerShellから実行しておくのと、

image

Hostsファイルにフェデレーションサービス名の名前解決ができるように設定しておきます。

image

一方、ドメインコントローラー側では、DNSサーバーにWAPの名前解決ができるようにレコードを登録しておきます。

image

DNSサーバーには、フェデレーションサービス名となるレコードも登録しておいてください。

image

その他、Azure AD Connectをインストールするサーバーから遠隔操作でWAPをインストールできるようにするための設定として、PowerShellで「Set-Item WSMan:\Localhost\Client\TrustedHosts –Value <WAPサーバーのFQDN> –Force」を実行します。

image

【前提条件】代替UPNサフィックスの設定

[Active Directoryドメインと信頼関係]から代替UPNサフィックスの設定として、会社のドメイン名を追加します。

image

image

【前提条件】代替UPNサフィックスを設定したユーザーの作成

ドメイン名が@以降に設定されたActive Directoryユーザーも作成しておきましょう。既に作成したユーザーであれば、ユーザーのプロパティから変更できます。

image

■ ■ ■

Azure AD Connectのインストール

前提条件が整ったら、いよいよAzure AD Connectをインストールしましょう。こちらのサイトからツールをダウンロードして、

・Microsoft Azure Active Directory Connect
https://www.microsoft.com/en-us/download/details.aspx?id=47594

ダウンロードしたツールをダブルクリックしたらスタートです。ウィザード画面は全部お見せしますけど、コメントは主なところだけ入れておきます。

AADC16-003

ADFSサーバーも一緒にインストールするときは、[カスタマイズ]をクリックします。

AADC16-004

AADC16-005

[ADFSとのフェデレーション]を選択しましょう。

AADC16-007

Azure AD全体管理者の資格情報を入力します。

image

AADC16-009

代替UPNサフィックスが設定されていること、Azure ADに会社のドメイン名が登録されていることを確認し、Verifiedになっていることも同時に見ておきましょう。

image

AADC16-017

AADC16-018

AADC16-019

[パスワードの同期]にチェックがつけてありますけど、必須な設定ではありません。

AADC16-020

前提条件で用意した証明書を指定します。

image

AADC16-022

WAPサーバーの指定画面。WAPサーバーはDNSサーバーに登録したレコードの名前と同じ名前をここでは入力してください。

AADC16-023

AADC16-024

AADC16-025

image

image

ここまででインストールが始まります。しばらくするとインストールが完了します。最後にADFSサーバーにアクセスするためのレコード(フェデレーションサービス名に対応するレコード)が登録されているか確認します。
(ちなみにインストール完了にならずに失敗する場合は、アンインストール→インストールで再チャレンジしてください。)

image

フェデレーションサービス名に対応するレコードがあれば、名前解決は完了し、無事にインストールが完了します。

image

ここまでできれば、ADFSサーバーを使ったOffice365のシングルサインオン環境は出来上がりです。

Azure AD Connectを利用したからといって、設定が劇的に簡単になるかといえば、そうでもなさそうな気もしますね。しかも言葉の意味や、なぜそのような設定をするのか?など、色々理解に苦しむ部分もあったかと思います。
Windows Server 2016での新しい機能の紹介などを含めて、トレーニングコースの中では紹介させていただいておりますので、よろしければご参加を検討してみてください。