kharuka2016のブログ

日々の出来事を書き留めておくブログ

はじめてのAzure AD Connect(パススルー認証)Part3

Azureテクノロジ入門2016 (マイクロソフト関連書)

Azureテクノロジ入門2016 (マイクロソフト関連書)

【前提条件】

■オンプレミス

仮想マシン:AD、AzureADConnect、AADAPC(Azure AD Application Proxy Connector)

OS:Windows Server 2016 Standard

ドメイン参加

サービスアカウント:AADConnectsvc(Domain AdminsとEnterprise Adminsグループに所属させる)

■Azure

場所:東南アジア

リソースグループ:RGSEA

仮想ネットワーク:VnetSEA1 10.0.2.0/24 Subnet-1 10.0.2.0/25

仮想マシンWindows Server 2012 R2 Datacenter

 名前:VMSEA1

 VMディスクの種類:HDD

 ユーザー名:*****

 パスワード:*****

 サイズ:Standard A1

【同期手順概要】

1.前提条件を確認する

2.Azure AD Connect(パススルー認証)のインストール

【同期手順】

1.前提条件を確認する

1.1.Azure Portal側の設定

1.1.1.Azure AD テナントで、クラウド専用の全体管理者アカウントを作成します。

1.1.2.1つ以上のカスタムドメイン名を Azure AD テナントに追加します。

1.2.オンプレミス側

1.2.1.サーバーで Azure AD Connect を実行します。 このサーバーを、パスワードの検証が必要なユーザーと同じ AD フォレストに追加します。

1.2.2.最新バージョンの Azure AD Connect を、手順 1. で特定したサーバーにインストールします。 Azure AD Connect が実行されている場合は、バージョンが 1.1.486.0 以降であることを確認します。

1.1.557.0

1.2.3.サーバーで、スタンドアロンの認証エージェント(AzureADアプリケーションプロキシコネクタ)を実行します。 認証エージェントのバージョンは 1.5.58.0 以降である必要があります。 このサーバーは、サインイン要求の高可用性を確保するために必要です。 このサーバーを、パスワードの検証が必要なユーザーと同じ AD フォレストに追加します。

1.15.132.0

パススルー認証でのAzure AD Connectインストールが上手く行かないのは、この設定が抜けていたせいでは、、、

kharuka2016.hatenablog.com

1.2.4.サーバーと Azure AD の間にファイアウォールがある場合は、次の項目を構成する必要があります。

  • ポートを開く: サーバーの認証エージェントがポート 80 およびポート 443 経由で Azure AD に対する送信要求を実行できることを確認します。 ファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスからのトラフィックに対してこれらのポートを開放します。

  • Azure AD エンドポイントを許可する: URL フィルタリングが有効になっている場合は、認証エージェントが .msappproxy.net および .servicebus.windows.net と通信できることを確認します。

  • 直接 IP 接続を確認する: サーバーの認証エージェントが Azure データ センターの IP 範囲に直接 IP 接続できることを確認します。

2.Azure AD Connect(パススルー認証)のインストール

kharuka2016.hatenablog.com

参考:

docs.microsoft.com

Azureテクノロジ入門 2016

Azureテクノロジ入門 2016