連載
» 2014年11月28日 18時00分 公開

Office 365運用管理入門(1):Office 365のユーザーアカウントを作成する (2/3)

[宮川麻里/株式会社IPイノベーションズ,阿部直樹/エディフィストラーニング株式会社]

[2]クラウドIDとディレクトリ同期を利用したアカウント管理

 二つ目のユーザー管理方法は「ディレクトリ同期ツール」を利用して、オンプレミスのActive Directory(以下、社内AD)とクラウドのAzure Active Directoryとの間でアカウントを同期する方法になる(画面4)。

画面4 画面4 「ディレクトリ同期ツール」は「Office 365管理センター」からダウンロードできる

 この方法により、社内システムで利用しているサインインIDを、Office 365へのサインインでもそのまま利用できるようになる。

 社員の異動があった場合でも、社内ADの情報を更新すれば、その情報はAzure Active Directory側へ同期できるため、管理者の負荷は軽減される。ユーザーも社内システムと同じIDでOffice 365にサインインができるため、積極的にOffice 365を活用することが期待できる。

 ディレクトリ同期ツールのインストールには、社内ADの「Enterprise Admins」権限と、Office 365の「全体管理者」権限が必要になる(画面5画面6)。ディレクトリ同期ツールを実行すると、同期を構成するためのウィザードが起動するので、指示に従って設定していけばよい。

画面5 画面5 Office 365の全体管理者資格情報の入力画面。画面では「Windows Azure Active Directory管理者の資格情報」と表示されている
画面6 画面6 Active Directoryの資格情報の入力画面。画面では「Active Directoryエンタープライズ管理者の資格情報」と表示されている

 構成ウィザードの「パスワード同期」の画面で「パスワード同期を有効にする」にチェックを入れると、社内ADのID、パスワードでOffice 365へのサインインが可能になる(画面7)。

画面7 画面7 「パスワード同期を有効にする」にチェックを入れると、Office 365(Azure Active Directory)にもアカウント情報が同期されるようになる

 ディレクトリ同期ツールによるアカウント情報の同期は、社内AD側からの“一方通行”になる。「同期」というよりは、「コピー」に近いだろう。よって、社内ADで変更した情報はOffice 365にも反映されるが、「Office 365管理センター」でアカウントを削除したり、属性を変更したりすることはできない。

 また、「サインイン」という操作と「認証」に関しては、社内ADとOffice 365のそれぞれで行われることに注意してほしい(図2)。

図2 図2 ディレクトリ同期ツールを通して社内ADのアカウント情報をAzure Active Directoryに同期する

 アカウントの差分情報を同期する間隔は既定では「3時間」となっているが、新規にユーザーを追加したり、属性を変更したりした場合など、更新情報をすぐに反映させるにはWindows PowerShellを使用する。

 Windows PowerShellを起動して、次のコマンドを実行することで強制同期が実行され、更新情報が即座にAzure Active Directory側に同期される。

Import-Module DirSync


Start-OnlineCoExistenceSync


 なお、ディレクトリ同期ツールによるアカウント展開方法のシステム要件は、表2の通りだ。

表2 表2 ディレクトリ同期ツールを利用する場合のシステム要件

 ディレクトリ同期ツールを稼働させるコンピューターは、そのドメインのメンバーコンピューターであることが前提条件となる。通常であれば、前出の図2のように別途ディレクトリ同期ツール用のコンピューターを用意すればよいのだが、現バージョンのディレクトリ同期ツールはドメインコントローラーにインストールすることも可能になっている。

 物理マシンを追加で用意する必要がなくなったため、導入時の敷居は低くなったといえるだろう。ただし、ドメインコントローラーとしてのパフォーマンス低下やトラブル発生時の問題切り分けの困難さを考慮してか、マイクロソフトはドメインコントローラーにディレクトリ同期ツールをインストールすることを推奨していない。そのため、ドメインコントローラーにインストールする際は、十分注意して各自の責任で行ってほしい。

 また、同期を行う前には、アカウントの属性情報に使用禁止文字(空白、@など)が使われていないか、ユーザープリンシパル名(userPrincipalName:UPN)の重複がないかなど、Active Directoryのクリーンアップが必要かどうかも確認しよう。詳細は以下の情報を確認してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。