Hyper-VでAndroidを実行する方法 (Wi-Fi接続もあるよ)

ITインフラに関わる、様々なサービスや機能に関する検証を行う場合、WindowsマシンやLinuxマシン、場合によってMacOSを使って動作に関わる検証を行えば十分でしたが、最近ではスマートフォンやタブレットを使って会社のITシステムに接続する場合も増えてきたので、スマートフォンやタブレットも検証の対象に加えなければなりません。

しかし、スマートフォンやタブレットはPCと違って、仮想マシンを立ち上げて、すぐに検証というわけにはいきません。私自身、機会があってMicrosoft IntuneやAzure Active Directoryの検証を行うことが多いのですが、そのときにAndroidやiOSでの接続確認が何かと面倒くさかったりします。

そんな折、Android限定ですが、Hyper-Vの仮想マシンとして立ち上げる方法を見つけたので、
備忘録代わりとして載せておきます。

 

Androidイメージの用意

Android自体、フリーでOSを提供しているので、最新のOSをダウンロードして利用できます。

http://www.android-x86.org/download

上記サイトからAndroidのISOファイルをダウンロードしたら、
Hyper-Vで仮想マシンを作成し、ISOファイルをマウントすれば、、

ところが、いくつかのトラップが待ち受けています。
注意点を次から紹介します。

 

Hyper-V仮想マシンの作成

Hyper-Vの仮想マシンを作成自体は普通の作成方法で問題ありません。
ちなみに私は
次のパラメータで作成しました。

・仮想ディスク:第1世代 (必ず第1世代で作成してください)
・仮想ディスクの容量:可変32GB (普通のスマートフォンでもだいたいこれくらいですよね)
・仮想メモリの容量:1024MB (1GB程度割り当てておくと、スムーズに動作します)
・仮想スイッチ:接続しない
・インストールオプション:ダウンロードしたISOファイルを指定

仮想スイッチですが、普通の仮想スイッチはAndroidの仮想マシンで認識しないため、
レガシネットワークアダプターを利用しなければなりません。
Hyper-V仮想マシンの設定画面で、[ハードウェアの追加]から[レガシネットワークアダプター]を追加します。

image

それから、既存のネットワークアダプターは使わないので、削除しておきます。
最後にレガシネットワークアダプターに外部仮想スイッチを割り当てて完了。
最終的に以下のような設定になります。

image

ここまでで設定は完了です。
Android自体はCDブートで動作するので、仮想マシンの電源を入れれば、
Androidが使い始められるようになります。

image

また、デフォルトではネットワーク接続がオフの状態なので、Wi-Fi(ランチャーから[設定]を起動して操作)も起動しておきます。
(Androidの初期設定が完了してからでないと、Wi-Fiはオンにできません)

image

これで、すべてがうまくいきます。
Hyper-Vホストのネットワークが有線LANならば。

 

Hyper-Vホストが無線LANを利用している場合の設定

ここまで紹介した設定はHyper-Vホストが有線LANを利用していることを前提にしています。
そのため、SurfaceのようなWi-Fiしか装備していないノートPCで
Hyper-Vを起動し、Androidを動かそうと思ったら、うまくいきません。

そこで、こんなひと手間をかけてみました。

image

Hyper-Vホストに内部仮想スイッチと外部仮想スイッチをそれぞれ作成し、
Android仮想マシンのレガシネットワークアダプターは
内部仮想スイッチを利用するように設定します。

そして、外部仮想スイッチは作成すると、ネットワークアダプター一覧は次のように表示されるので、
外部仮想スイッチのプロパティを開きます。

image

ネットワークアダプターのプロパティで[共有]タブを開き、インターネット接続の共有を以下のように設定します。[ホームネットワーク接続]には内部仮想スイッチ(下の画面ではvEthernet (Internal))を選択します。

image

こうすれば、Android仮想マシン→内部仮想スイッチ→外部仮想スイッチ→インターネットという
接続になり、Wi-Fiを利用している環境でもAndroid仮想マシンが利用できるようになります。

これで普通のAndroidと同じように使えるのですが、
自動消灯(スリープ)の設定が有効になっていると、
一定時間経過したのちスリープに入り、二度とマシンを操作できなくなります。
利用するときはスリープ([設定]-[ディスプレイ])をオフにしておくことをお勧めします。

【Azure AD】パスワードリセットのログ

皆さん、こんにちは。国井です。

今日は完全な備忘録です。
2014年7月に「クラウドからActive Directoryのパスワードを変更する方法」という投稿で、
Azure Active Directory Premiumを利用することで、Microsoft Azure のユーザー用ポータル画面であるアクセスパネルからパスワードをリセットし、オンプレミスのActive Directoryのパスワードをリセットさせることができると紹介しました。

そのパスワードリセット機能を利用した場合、ディレクトリ同期ツールを使ってAzureユーザーのパスワードをオンプレミスADユーザーに同期しますが、この同期は3時間に1回のタイミングで行われる同期ではなく、別のプロセスによって行われています。そのため、miisclient.exeのOperationsログからはパスワードが同期されたことを確認できません。

そこで、パスワードの同期はイベントビューアからアプリケーションログを使って確認します。

image

image

パスワード同期が始まったことはPasswordResetServiceソースのID31001、同期完了はID3002でそれぞれ確認できます。

誰かの役に立てれば幸いです。

 

 

ディレクトリ同期を今すぐ実行する方法 – AADSync版

皆さんこんにちは、国井です。

2014年10月に「ディレクトリ同期を今すぐ実行する方法 – 2014年版」という投稿をさせていただき、
Start-OnlineCoexistenceSyncコマンドレットが有効だという話をさせていただきました。

ところが、前回の投稿でも登場したAADSyncでは、Start-OnlineCoexistenceSyncコマンドレットがなくなり、DirSyncで行っていたディレクトリ同期を今すぐ実行する方法が利用できなくなりました。

では、AADSyncツールではどうやってディレクトリ同期を今すぐ実行するか?

その答えはタスクスケジューラにありました。

[タスクスケジューラ]管理ツールからAADSyncのタスク(Azure AD Sync Scheduler)を開き、右ペインの[実行]をクリックすれば、いつでも実行開始できます。

image
([トリガー]タブを見ると、3時間ごとに同期タスクを実行するように設定されていることがわかりますね)

また、[操作]タブを見ると、c:\program files\microsoft azure ad sync\binフォルダーにある
DirectorySyncClientCmd.exeが同期実行のプログラムになっていることが確認できます。

image

 

つまり、DirectorySyncClientCmd.exeを実行すれば、ディレクトリ同期を今すぐ実行できることがわかります。

Office 365管理者のためのディレクトリ同期ツール入門 AADSync編

皆さん、こんにちは。国井です。

Office 365管理者のためのディレクトリ同期ツール入門シリーズの最後は
Azure Active Directory Sync(AADSync)ツールについてです。

2015年1月時点では、Office 365管理ポータルからダウンロード可能な
ディレクトリ同期ツールはDirSyncツールですが、将来的にAADSyncツールに
置き換わるものと思われます。

AADSyncツールを使うと嬉しいことは、なんと言っても
マルチフォレストでのディレクトリ同期に対応していること!

ということで、今回はAADSyncツールを確認してみましょう。

■ ■ ■

まず、AADSyncツールはマイクロソフトのダウンロードサイトよりダウンロードできます。
ダウンロードサイトを見ると、英語版のみがダウンロード可能であるかのように書いてありますが、
実際にはマルチランゲージ対応なので、日本語OSにインストールすれば、
セットアップウィザードは日本語になります。

AADSyncのインストールは至って簡単で、セットアッププログラムを起動して
インストールパスを指定するだけ。

AAD001

インストールが終わると、ディレクトリ同期に関する情報を設定します。
なお、ここから先の設定はデスクトップに作成されるショートカットから
改めて実行することも可能です。

image

AAD004

ここで、複数のフォレスト(ドメイン)を指定すれば、待望のマルチフォレスト対応が実現します!
ですが、今回はシングルフォレストで先を急ぎます。

AAD005

ディレクトリ同期を行う際、どの属性を使ってADユーザーとAzure ADユーザーを
マッピングするか?についての設定です。
Alternate Login IDの機能を利用する場合はここでカスタマイズします。

AAD006

パスワード同期を行うか?パスワードライトバック機能を使うか?などを
選択できます。ちなみにパスワードライトバックとは、Azure AD Premiumに含まれる
セルフサービスのパスワードリセット機能でパスワードをリセットしたときに、リセットしたパスワードを
オンプレミスのActive Directoryに同期させる機能です。
(「クラウドからActive Directoryのパスワードを変更する方法」で紹介したEnable-OnlinePasswordWriteBackに相当する操作です)
それから、Azure ADアプリと属性フィルターについては話が長くなるので場を改めて紹介します。

AAD008

残りはすべて次へ進めていくとウィザードが完了します。

AAD011

AAD012

AADSyncもDirSyncと同様にmiisclient.exeツールは用意されています。
ただしパスはc:\Program Files\Microsoft Azure AD Sync\UIShellに変更になりました。

AAD013

画面構成はDirSyncツールと基本的には同じですが、[Joiner]メニューはなくなりました。

image

Connectorsメニューを見ると、MAの名前がドメイン名になっています。
カンの良い人なら、もうお気づきですね。
マルチフォレストの場合はフォレストごとにMAが作られます。

image

先ほど、オブジェクトのマッピングを担当するJoinerメニューはなくなったといいましたが、
正確には別ツールで用意されるようになった、というのが正しい表現です。
miisclientツールと同じフォルダーにSyncRulesEditor.exeという名前で用意されています。

image

Synchronization Rules Editorツールでは、マッピングに関する設定ができます。
マッピングだけでなく、同期に関するフィルター設定などもすべてここで行うことになります。
このあたりはMVPふじえさんの[AAD/Office365]AAD Sync Betaを試すでも
紹介しているので、ぜひご一読ください。

image

Synchronization Rules EditorツールにあるInboundとOutboundというのは
Forefront Identity Managerで登場する着信同期規則(ISR)と発信同期規則(OSR)のことです。FIMだとFIM専用のポータルサイトから規則を作成しますが、Synchronization Rules Editorツールではすべてこの画面から作成します。

こうやって見ると、AADSyncツールを使いこなすにはFIMの知識が必要になってきていることがわかりますね。FIMを学習するリソースは世の中に多くないので、ちょっと苦労しそうです。

 

2014年に最も読まれた投稿ランキング

国井です。2015年最初の投稿では、毎年当ブログ内で最も読まれた投稿をご紹介していますが、
今回は、その2014年版をご紹介します。

 

第1位 【101シリーズ】パフォーマンスモニタ徹底攻略 ~ パフォーマンスの確認編
この投稿は、今はもうなくなってしまった商用サイトで執筆させていただいた内容なのですが、
思いのほか反響が大きかったので、転載させていただいたものです。
パフォーマンスモニタのカウンターについては色々な見かた、考えかたがあると思いますが、
その中でも私なりの考えを皆と共有できたことはうれしく思います。


第2位 忘れたAdministratorパスワードを変更する方法
最も読まれた投稿ランキングを書くようになってから、初めてこの投稿が第1位から外れました。
新しいOSでも使えるのですか?というご質問もよくいただくので、合わせて書かせてもらった
忘れた管理者パスワードを変更する方法 – Windows 8.1編」はGunosyでも取り上げてもらったせいか、ある一時だけページビューが跳ね上がっていたときもありました。


第3位 ADFSとは?フェデレーションとは?を知る方法
ここ数年、ADFSを中心とするID連携(フェデレーション)技術について、ブログの中で多くの投稿をしてきましたが、その中でも最もよく読まれたのがこの投稿です。Office365の台頭と共にADFSやフェデレーションという言葉をよく聞くようになったのではないかと分析しています。


第4位 【101シリーズ】パフォーマンスモニタ徹底攻略 ~ 基礎編
第1位の投稿と同じく商用サイトで執筆させていただいた内容の転載です。
パフォーマンスモニタそのものの使い方を紹介しているサイトって、あまり無いのか、
見ていただくことが多かったようですし、「参考になりました!」との声をいただくこともありました(多謝!)。


第5位 Office 365にADFSが必要な理由
第3位と同じくADFSに関する投稿です。このような動向を見ると、
2014年は皆がOffice365+ADFSの構成に興味を持ち始めた段階であり、
2015年は実際の導入が増える段階になってくるのかな?などと想像できますね。
果たしてこの予想が当たるか、外れるか、
今年1年間、私はITトレーナーとしてその動向を見守り続けたいと思います。

 

今年も1年、どうぞよろしくお願いいたします。

Office 365管理者のためのディレクトリ同期ツール入門(3)

みなさん、こんにちは。国井です。

今回はOffice 365管理者のためのディレクトリ同期ツール入門の第3回目として
ディレクトリ同期ツールを使ってディレクトリの同期が一部のユーザーだけで行われるように構成する方法について紹介します。

まずは前回も紹介したスライドから。

image10[1]

前回も、その前も、Active Directory Connector MA(ADMA)とWindows Azure Active Directory MA(AzureMA)がディレクトリ同期ツール内に作られ、メタバースを経由して同期が行われることを紹介しました。
そして今回、ADMAでフィルターを設定し、同期しないオブジェクトがメタバースに書き込まれないように構成することで、一部のユーザーだけがOffice 365(Microsoft Azure Active Directory)へ同期される方法を
いくつか見たいと思います。

 

■その1:同期されるドメインのフィルター

同期を行うActive Directoryドメインが複数ドメイン(シングルフォレスト–マルチドメイン)構成の場合、一部のドメインユーザーだけが同期されるように構成することができます。その場合、ADMAのプロパティを開いて、[Configure Directory Partitions]から該当するドメインにチェックをつけます。
これだけで同期対象となるドメインを絞り込むことができます。

MIIS023

 

■その2:同期されるOUのフィルター

同期を行うActive Directoryドメインの中から一部のOUだけを対象に同期させたい場合には該当するOUだけを選んで同期させることができます。その場合、ADMAのプロパティを開いて、[Configure Directory Partitions]から[Containers]をクリックして、該当するOUにチェックをつけます。

MIIS026

 

■その3:同期されるユーザーのフィルター

同期を行うActive Directoryドメインの中から特定の属性を持つユーザーだけを対象に同期させたい場合、同期対象となる属性とその値を設定することができます。
その場合、ADMAのプロパティを開いて、[Configure Connector Filter]から[Data Source Object Type]の[User]をクリックして、Filterを設定します。Filterには同期させたくない属性とその値を設定します。

MIIS027

ディレクトリ同期を使っていて、Administratorユーザーがなんで同期されないの?ディレクトリ同期ツールをインストールすると作られるMSOL_の名前で始まるユーザーがなんで同期されないの?という疑問を持った方も多いと思いますが、それはこのフィルターが設定されているからです。

たとえば、Administratorの場合、isCriticalSystemObject属性がTrueと設定されています。そのため、フィルターの設定により同期されません。また、MSOL_の名前で始まるユーザーもsAMAccountName属性がMSOLで始まる場合には同期されないようにフィルター設定が施されています。そのため、同期されないのです。このように、デフォルトでは15個のフィルターが設定されていますが、管理者がフィルター設定を増やせば、もっと様々な条件をもとに同期するユーザーを絞り込むことができます。

他にもフィルターする方法はいろいろ考えられますが、大きなところとしては以上の3つが使われる可能性の高いフィルターといえます。みなさんの会社のニーズに合わせてぜひ活用してみてください。

2014年の投稿もこれで終了です。
それでは、よいお年をお過ごしください。
Hoping you enjoy a happy new year!

 

■参考サイト
Office 365 Directory Synchronization In-Depth
http://www.messageops.com/documentation/office-365-documentation/office-365-directory-synchronization-in-depth

Active Directory Filtering for Office 365 Directory Synchronisation (Dirsync)
http://netwovenblogs.com/2014/12/02/moving-from-on-premise-to-office-365windows-azure-part-4/

FIM2010 Terminology and Glossary
http://technet.microsoft.com/en-us/library/ee534910(v=WS.10).aspx

Office 365管理者のためのディレクトリ同期ツール入門(2)

みなさん、こんにちは。国井です。

前回、Office 365管理者のためのディレクトリ同期ツール入門の第1回目としてディレクトリ同期ツールのUIツールであるmiisclient.exeの起動方法と簡単な見方を紹介しました。

今回はディレクトリ同期ツールによる同期がどのような流れで行われているか見てみましょう。

まずは前回も紹介したスライドから。

image

Active Directory Connector MA(ADMA)とWindows Azure Active Directory MA(AzureMA)がディレクトリ同期ツール内に作られ、メタバースを経由して同期が行われることを紹介しましたが、具体的にどのようなルートで同期が行われるかについてもMAでは定義されています。

MAで定義されている同期の(基本)ルートは次のとおりです。

1.Active DirectoryからADMAのCSへ同期
(図の1-1に当たるImportという処理で実現しています)

2.ADMAのCSからメタバースへ同期
(図の1-2に当たるSynchronizationという処理で実現しています)

3.Azure ADからAzureMAのCSへ同期
(図の2-1に当たるImportという処理で実現しています)

4.AzureMAからメタバースへ同期
(図の2-2に当たるSynchronizationという処理で実現しています)

5.メタバース内のデータをAzure ADと同期
(図の3に当たるExportという処理で実現しています)

以上がディレクトリ同期の流れになります。
Active DirectoryとAzure ADのそれぞれからImportとSynchronizationを実行し、メタバースにデータを格納しているのはそれぞれのディレクトリに格納されている情報を把握し、差分だけをエクスポートできるようにするためです。

これらの処理は3時間に一度、自動的に行われているため、私たちは意識することがありませんが、これを手動で行いたいとなったら、どのような操作を行えばよいでしょうか?

この点について、続いて見てみましょう。

まずは前回も紹介した、miisclient.exeを起動し、Management Agentsを開き、
Active Directory Connectorを右クリックして、Runをクリックします。

image

すると、Run Profile一覧が表示され、ImportやSynchronizationなどが選択できることが確認できます。

MIIS012

ImportとSynchronizationは同時に行うプロファイルが用意されているので、これを利用すれば便利ですが、すべてのオブジェクトを対象にインポートや同期を行うFull~と前回実行時からの差分だけをインポート/同期するDelta~があることに注意してください。

このことを踏まえて、前の図の1-1~3までを順番に実行すれば、手動でディレクトリ同期を実行することができます。

【コラム】ディレクトリ同期ツール/FIMのトレーニングの現状

一般的にマイクロソフトが提供する製品やサービスに対応するトレーニングは
Microsoft Universityコースとして認定トレーニングプロバイダ(CPLS企業)から提供されます。
しかし、ディレクトリ同期ツールをつかさどるForefront Identity Manager (FIM)の
トレーニングは本稿執筆時点では日本語版も、英語版で提供する企業もありません。

一方、FIMはインストールや初期設定から苦労させられる面倒な製品ですし、
お使いになる機会がありましたら、時間やコストを削減するためにも
一度トレーニングを受けていただきたいのです。

そのため、もしトレーニングを通じてしっかりベースを学習したいということでしたら、
クリエ・イルミネート社と一緒にトレーニングをアレンジメントさせていただくことができますので、気軽に私のメールアドレス(画面右上に書いてあります)またはクリエ・イルミネート社までお問い合わせください。

同期の実行結果はmiisclient.exeのOperationsメニューから確認できます。
それぞれの項目をクリックし、左下ペインを参照すれば、ImportやSynchronizationなどの処理によって、どれだけのオブジェクトの同期が行われたかを確認できますし、リンク(下の図で言うとAdds 6と書かれた部分)をクリックすれば具体的に同期されたオブジェクトを確認することができます。

MIIS002

ただし、オブジェクト一覧は以下のように表示され、私たちの見た目にわかる名前で表示してくれるわけではないので、あてずっぽうで適当なオブジェクトをダブルクリックし、

MIIS020

お目当てのオブジェクトが同期されているか、見つけるしかありません。。

image

最後はちょっと面倒でしたが、
ここまでのことができれば、トラブルが発生したときにトラブルシューティングの一環として、自分で、手動で、同期の処理を行うことができるようになり、「ディレクトリ同期ができない→途方に暮れる」だけではない、対策が自分でとれるようになるのです。

今日はここまでにしましょう。

次回は同期のフィルター設定を確認する予定です。