【やまなか日記】第3回Office 365のクラウドIDとディレクトリ同期

今日はクラウドIDとディレクトリ同期でのID管理方法を学んでいきますヽ(o゚ェ゚o)ノ

ディレクトリ同期ってどんなもの?

やまなか「ディレクトリ同期…とは???」

三瓶先生「(板書サラ~~~)」

まず、Office 365では、UPN(ユーザープリンシパルネーム)がサインイン用のIDであり、メールアドレスです。

ディレクトリ同期では、現在使っているメールアドレスをUPNとしてAzureADへ同期することで、普段使用しているメールアドレスでOffice 365を利用できるようになります。

ディレクトリ同期を使うことで、Active Directory上で、通常のIDを管理するのと同じ要領でIDを管理することができるの、現在社内でActive Directoryを使ってID管理を行っているのであれば、この方法がオススメです(n´v`n)

 

三瓶先生のワンポイントレッスン

すでに社内でActive Directoryを運用していて、かつOffice 365も活用するというシーンは非常に多いです。その際に課題となるのが、IDの二重管理をどうするか?という点です。

Office 365では、リリース当初からこの課題を解決するためのソリューションとして、ディレクトリ同期という方法を提供しています。現在Azure Active Directory Connect(Azure AD Connect)と呼ばれているものがそうです。

Azure AD Connectでは、オンプレミスAD側のUPNをキーとして、Office 365側のAzure ADに対して同期を行い、ユーザーIDを作成しています。

このとき、オンプレ側のADドメイン名をグローバルドメイン名としているところは少なく、通常はローカルドメイン名となっています。このままではOffice 365側に同期を行った際に自動的にテナント既定のドメイン名になってしまうため、事前準備が必要となります。

具体的には、オンプレミス側のADに対して代替UPNサフィックスを追加し、ユーザーIDのUPNサフィックスを置き換えます。こうしておいてから同期を取ることで、Office 365側に作成されるユーザーIDは代替サフィックスで追加されたドメイン名となります。

ディレクトリ同期してみた

やまなか「Active DirectoryからAzureADへディレクトリ同期をしてみよう!」

まず、Active Directoryのユーザープロパティから、同期をします。

この時、UPNとして同期を取ることに注意します(d゚ω゚d)

同期ができると、Office365のAdmin centerにアカウントが同期されます。

ユーザーの編集はOffice 365上ではできず、Active Directoryでのみ編集ができます。

逆にいうと、Active Directoryで変更を加えるとOffice 365上にも変更が反映されるので、今までのID管理の手順のまま、クラウドのIDを管理することができます!
やまなか「ディレクトリ同期でIDを管理すれば、長いIDが増えることもないし、Active DirectoryでIDを管理しながら、クラウドIDも同時に管理できるのはすっごく楽ですね!」

ディレクトリ同期ではActive Directoryで管理しているIDをそのままOffice365のIDとして使えます。

ID管理もActive Directoryでの管理とほぼ同じ要領で行うことができるので、管理者の手間が増えることがありません(o ‘∀’)ノ

 

三瓶先生のワンポイントレッスン
既にOffice 365側にユーザーアカウントを作成して運用している場合、後からオンプレミス側のADと同期を取るとどうなるでしょうか?

この場合、オンプレミス側ADに登録されているユーザーIDとSMTPアドレスがキーとなり、Office 365側のユーザーIDとプライマリメールアドレスが一致しているかどうかをチェックし、同じであれば同一IDと判断して同期されます。これをソフトマッチと呼びます。

したがって、オンプレミス側のADとOffice 365側のAzure ADと同期を取る際には、双方のUPNを一致させておく作業が事前に必要となります。一致させることが出来ない場合は、別途ハードマッチと呼ばれる手法で同期を取ることになりますが、基本的には、ソフトマッチを強く推奨します。

 
 
やまなか「三瓶先生、ディレクトリ同期で十分な気がするんですけど….?」

三瓶先生「機能的には十分。しかし、会社のポリシーによってはディレクトリ同期が使えないこともあるんだ!」

(次回に続く)

「やまなか、人生初のフェデレーション!?」
次回は「クラウドIDとフェデレーション認証」について学んでいきます(o’∀’o)ノ

 

AWS利用料$100ドル無料

あなたにおすすめの記事