皆さんこんにちは。国井です。
以前、特定のデバイスからのアクセスのみADFS経由でのアクセスを許可するデバイス認証の話をしましたが、デバイス認証には事前にデバイス登録(Device Registration Service:DRS)をしておく必要があります。
そして、そのデバイス登録をAzure AD経由で行った場合、Azure ADからオンプレミスのActive Directoryへディレクトリ同期する必要があります。
既にOffice 365のシングルサインオン環境を構築している企業では、ディレクトリ同期にDirSyncを利用しているところも多いかと思いますが、今後、AAD Connectに切り替わっていくことも予想されます。
そして、登録されたデバイスのディレクトリ同期に関わる設定はDirSyncとAAD Connectでは異なるので、今日はAAD Connectでの設定方法を確認してみたいと思います。
■ ■ ■
DirSync での登録デバイスのディレクトリ同期は以下のようなコマンドレットを実行していました。
Import-Module DirSync
$ADCred=Get-Credential$AADCred=Get-Credential
Enable-MSOnlineObjectManagement –ObjectTypes Device `
–Credential $ADCred –TargetCredential $AADCred
一方、AAD Connectでは、上記のコマンドレットの代わりにAAD Connectのインストールウィザードで登録デバイスを同期するようにチェックボックスにチェックを入れるだけです。
(その他の作業は以前の投稿で確認してくださいね)
ところが、ウィザードを見てみると、チェックボックスにチェックをつけられない!
([デバイスの書き戻し]という欄です)
初めて実行するときには少し焦るのですが、そこは慌てずに一度ウィザードを完了させてしまい、その後PowerShellコマンドレットから以下のコマンドレットを実行してください。
Install-WindowsFeature –Name AD-DOMAIN-Services –IncludeManagementTools
Import-module ‘c:\Program Files\Microsoft Azure Active Directory Connect\Adprep\AdSyncPrep.psm1’
Initialize-ADSyncDeviceWriteBack –domainname <domain.com> –AdConnectorAccount <ドメイン管理者のUPN>
実行したら、デスクトップに作成されるAAD Connectのアイコンを実行して、ウィザードを起動し、追加のタスクから[同期オプションのカスタマイズ]を選択して、
ウィザードに沿って進めていくと、
ご覧のとおり、[デバイスの書き戻し]にチェックがつけられるようになります。
これから先、DirSyncからAAD Connectへの移行案件が出てくることが予想されますが、そのときに慌てないように今からAAD Connectについて、しっかり準備しておきたいものですね。
