はじめてのAzure AD Connect(パススルー認証)Part3
- 作者: 日本マイクロソフト株式会社
- 出版社/メーカー: 日経BP社
- 発売日: 2016/11/12
- メディア: 単行本
- この商品を含むブログ (2件) を見る
【前提条件】
■オンプレミス
仮想マシン:AD、AzureADConnect、AADAPC(Azure AD Application Proxy Connector)
OS:Windows Server 2016 Standard
ドメイン参加
サービスアカウント:AADConnectsvc(Domain AdminsとEnterprise Adminsグループに所属させる)
■Azure
場所:東南アジア
リソースグループ:RGSEA
仮想ネットワーク:VnetSEA1 10.0.2.0/24 Subnet-1 10.0.2.0/25
仮想マシン:Windows Server 2012 R2 Datacenter
名前:VMSEA1
VMディスクの種類:HDD
ユーザー名:*****
パスワード:*****
サイズ:Standard A1
【同期手順概要】
1.前提条件を確認する
2.Azure AD Connect(パススルー認証)のインストール
【同期手順】
1.前提条件を確認する
1.1.Azure Portal側の設定
1.1.1.Azure AD テナントで、クラウド専用の全体管理者アカウントを作成します。
1.1.2.1つ以上のカスタムドメイン名を Azure AD テナントに追加します。
1.2.オンプレミス側
1.2.1.サーバーで Azure AD Connect を実行します。 このサーバーを、パスワードの検証が必要なユーザーと同じ AD フォレストに追加します。
1.2.2.最新バージョンの Azure AD Connect を、手順 1. で特定したサーバーにインストールします。 Azure AD Connect が実行されている場合は、バージョンが 1.1.486.0 以降であることを確認します。
1.1.557.0
1.2.3.サーバーで、スタンドアロンの認証エージェント(AzureADアプリケーションプロキシコネクタ)を実行します。 認証エージェントのバージョンは 1.5.58.0 以降である必要があります。 このサーバーは、サインイン要求の高可用性を確保するために必要です。 このサーバーを、パスワードの検証が必要なユーザーと同じ AD フォレストに追加します。
1.15.132.0
パススルー認証でのAzure AD Connectインストールが上手く行かないのは、この設定が抜けていたせいでは、、、
1.2.4.サーバーと Azure AD の間にファイアウォールがある場合は、次の項目を構成する必要があります。
ポートを開く: サーバーの認証エージェントがポート 80 およびポート 443 経由で Azure AD に対する送信要求を実行できることを確認します。 ファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスからのトラフィックに対してこれらのポートを開放します。
Azure AD エンドポイントを許可する: URL フィルタリングが有効になっている場合は、認証エージェントが .msappproxy.net および .servicebus.windows.net と通信できることを確認します。
直接 IP 接続を確認する: サーバーの認証エージェントが Azure データ センターの IP 範囲に直接 IP 接続できることを確認します。
2.Azure AD Connect(パススルー認証)のインストール
参考:
- 作者: 日本マイクロソフト株式会社
- 出版社/メーカー: 日経BP社
- 発売日: 2017/02/15
- メディア: Kindle版
- この商品を含むブログを見る