AADSyncで同期実行する属性のカスタマイズ

皆さんこんにちは。国井です。

一方、管理対象となるユーザーをまとめる場合、
ユーザーに属性が割り当てられていると便利です。

たとえば、
部署=営業だったら、
役職=部長だったら、
事業所=東京だったら、
などなど、設定してあると、ユーザーをまとめてグループ化しやすくなります。

現在、Active Directoryで部署、役職、事業所などを
属性として設定していると企業であれば、Active Directoryで設定した
属性をAzure ADでも活用できるようにすることをお勧めします。

しかし、Active Directoryの、どの属性情報がAzure ADに同期されるのでしょうか?
このことを調べるには、いくつかの方法がありますが、ここでは
AADSyncを使って調べる方法を紹介します。

■ ■ ■

AADSyncをインストールしたサーバーからデスクトップに保存されているDirectorySyncToolアイコンを実行し、

image

ウィザードを進めていき、[オプション機能]ページで、[Azure ADアプリと属性フィルター]にチェックをつけます。

image

[Azure ADアプリ]ページでは、特定のアプリで使用する属性だけを同期するように
設定することができます。しかし、ここでは、そのまま次へ

image

ポイントはここです。
[Azure AD属性]ページで、一覧が表示されます。
実に色々な属性が同期されることがわかります。
たとえば、役職の属性として使われるtitleだったり、
部署の属性として使われるdepartmentだったり、
事業所の属性として使われるphysicalDeliveryOfficeNameだったり。
ユーザーにインストールされた証明書の情報を格納するuserCertificate属性も
同期されることが確認できます。

image

見ていただくと、実に多彩な情報が同期されることが確認できます。
また、Azure ADに同期された属性情報は、こちらもいくつかの方法で確認できますが、
Graph Explorerは属性名と属性値のセットで表示されるので確認しやすいと思います。
Graph ExplorerはAzure ADに対してGraph APIを利用してクエリを実行することができるサイトですが、
サイトの中で
http://graph.windows.net/<ドメイン名>/users/<ユーザー名@ドメイン名>
のクエリを書き、GETをクリックすると、下の画面のように表示されます。

image

クエリの書き方はマイクロソフトのWebサイトでも紹介しているので、合わせて参考にしてみてください。

■参考サイト
Jesper Stahle’s Notes From the Field
http://jesperstahle.azurewebsites.net/?p=1542