Office 365管理者のためのディレクトリ同期ツール入門 AADSync編

皆さん、こんにちは。国井です。

Office 365管理者のためのディレクトリ同期ツール入門シリーズの最後は
Azure Active Directory Sync(AADSync)ツールについてです。

2015年1月時点では、Office 365管理ポータルからダウンロード可能な
ディレクトリ同期ツールはDirSyncツールですが、将来的にAADSyncツールに
置き換わるものと思われます。

AADSyncツールを使うと嬉しいことは、なんと言っても
マルチフォレストでのディレクトリ同期に対応していること!

ということで、今回はAADSyncツールを確認してみましょう。

■ ■ ■

まず、AADSyncツールはマイクロソフトのダウンロードサイトよりダウンロードできます。
ダウンロードサイトを見ると、英語版のみがダウンロード可能であるかのように書いてありますが、
実際にはマルチランゲージ対応なので、日本語OSにインストールすれば、
セットアップウィザードは日本語になります。

AADSyncのインストールは至って簡単で、セットアッププログラムを起動して
インストールパスを指定するだけ。

AAD001

インストールが終わると、ディレクトリ同期に関する情報を設定します。
なお、ここから先の設定はデスクトップに作成されるショートカットから
改めて実行することも可能です。

image

AAD004

ここで、複数のフォレスト(ドメイン)を指定すれば、待望のマルチフォレスト対応が実現します!
ですが、今回はシングルフォレストで先を急ぎます。

AAD005

ディレクトリ同期を行う際、どの属性を使ってADユーザーとAzure ADユーザーを
マッピングするか?についての設定です。
Alternate Login IDの機能を利用する場合はここでカスタマイズします。

AAD006

パスワード同期を行うか?パスワードライトバック機能を使うか?などを
選択できます。ちなみにパスワードライトバックとは、Azure AD Premiumに含まれる
セルフサービスのパスワードリセット機能でパスワードをリセットしたときに、リセットしたパスワードを
オンプレミスのActive Directoryに同期させる機能です。
(「クラウドからActive Directoryのパスワードを変更する方法」で紹介したEnable-OnlinePasswordWriteBackに相当する操作です)
それから、Azure ADアプリと属性フィルターについては話が長くなるので場を改めて紹介します。

AAD008

残りはすべて次へ進めていくとウィザードが完了します。

AAD011

AAD012

AADSyncもDirSyncと同様にmiisclient.exeツールは用意されています。
ただしパスはc:\Program Files\Microsoft Azure AD Sync\UIShellに変更になりました。

AAD013

画面構成はDirSyncツールと基本的には同じですが、[Joiner]メニューはなくなりました。

image

Connectorsメニューを見ると、MAの名前がドメイン名になっています。
カンの良い人なら、もうお気づきですね。
マルチフォレストの場合はフォレストごとにMAが作られます。

image

先ほど、オブジェクトのマッピングを担当するJoinerメニューはなくなったといいましたが、
正確には別ツールで用意されるようになった、というのが正しい表現です。
miisclientツールと同じフォルダーにSyncRulesEditor.exeという名前で用意されています。

image

Synchronization Rules Editorツールでは、マッピングに関する設定ができます。
マッピングだけでなく、同期に関するフィルター設定などもすべてここで行うことになります。
このあたりはMVPふじえさんの[AAD/Office365]AAD Sync Betaを試すでも
紹介しているので、ぜひご一読ください。

image

Synchronization Rules EditorツールにあるInboundとOutboundというのは
Forefront Identity Managerで登場する着信同期規則(ISR)と発信同期規則(OSR)のことです。FIMだとFIM専用のポータルサイトから規則を作成しますが、Synchronization Rules Editorツールではすべてこの画面から作成します。

こうやって見ると、AADSyncツールを使いこなすにはFIMの知識が必要になってきていることがわかりますね。FIMを学習するリソースは世の中に多くないので、ちょっと苦労しそうです。

 

ディレクトリ同期を今すぐ実行する方法 – 2014年版

こんにちは、国井です。
2012年2月に「Office 365ディレクトリ同期を今すぐ実行」という投稿をさせていただき、
多くの方に見ていただきました。

最近、Office 365 (Azure Active Directory)とActive Directoryの間で実行する
ディレクトリ同期ツールによるディレクトリ同期を今すぐ実行する方法が変わったようなので、
備忘録代わりに乗せておきます。

 

ディレクトリ同期を今すぐ実行する場合、Start-OnlineCoexistenceSyncコマンドレットを実行しますが、このコマンドレットが

Import-Module DirSync

から呼び出されるようになりました。

ですので、次の2つのコマンドレットを実行すれば今すぐ同期が行えます。

image

結果はMIISClientツールから確認してみましょう。

image

大図↓

image

既定の3時間という間隔を待たず、すぐに実行されていることがわかります。

2014年10月のイベント・セミナー登壇予定

皆さん、こんにちは。国井です。

2014年10月25日にSystem Center Users Group Japanさんの勉強会に登壇させていただくことになりました。
タイトルは「クラウドで始めるActive Directory」です。

Microsoft Azureで提供するサービスを利用してActive Directoryを運用する場合、いくつかのパターンが存在します。
勉強会の中ではクラウドに展開されるActive Directoryについて整理をし、どのような使い分けをするべきかについて、参加される方々と一緒に考える機会にしたいと考えています。

勉強会では、私の話のほかにもActive Directoryの話がたくさんあるそうなので、
ご興味のある方はぜひ参加してみてください。

参加申し込みはこちらからどうぞ。
https://atnd.org/events/56167

クラウドからActive Directoryのパスワードを変更する方法

Office365+ADFSのシングルサインオンを実装するときに、
「外出先からActive Directoryのパスワードを変更できませんか?」
というリクエストをよくいただきます。
今までにも外出先からActive Directoryのパスワードを変更するためのやり方はあったのですが、
Microsoft Azureを使えば、ずいぶんと簡単に実装できるので、今回はずばり
「クラウドからActive Directoryのパスワードを変更する方法」ということで紹介します。

 

今回は、Microsoft Azure Active Directory Premiumに含まれるパスワードリセット機能を利用します。パスワードリセット機能は、Microsoft Azureが用意するポータルサイトから新しいパスワードが設定されると、パスワードがディレクトリ同期ツールを経由して最終的にActive Directoryユーザーのパスワードを変更するというものです。

image

前提条件は、Microsoft Azure Active DirectoryとオンプレミスのActive Directoryの間でディレクトリ同期を行っているか、もしくはADFSによるシングルサインオンを実装している場合です。

早速はじめましょう。
いつものように、まずは作業の流れを確認しましょう。

1.Microsoft Azure Active Directoryの契約
2.Microsoft Azure管理ポータルにMicrosoft Azure Active Directoryを追加
3.Microsoft Azure Active Directory Premiumの契約
4.ユーザーパスワードのリセットポリシー
5.パスワードリセット時に利用する携帯電話番号等の登録
6.パスワードリセットの実行

では、順番に見ていきます。

 

 

1. Microsoft Azure Active Directoryの契約

Office 365を契約している場合、既にMicrosoft Azure Active Directory(AAD)のテナントを保有しているはずですので、このステップは省略できます。持っていない人は、2.の手順で追加できます。

 

 

2.Microsoft Azure管理ポータルにMicrosoft Azure Active Directoryを追加

AADのテナントは、Azure管理ポータルに追加して利用する必要があります。

追加方法は、「Windows Azure Active Directoryのアプリケーション連携」の手順1.と2.でそれぞれ紹介していますので、参考にしてください。

 

 

3.Microsoft Azure Active Directory Premiumの契約

Azure管理ポータルからAADテナントを開き、[ライセンス]タブから評価版を契約することができます。取り急ぎ使いたい方は、まずは評価版を契約し、パスワードリセット機能を利用するユーザーにライセンスを割り当てておいてください。
(ライセンスを割り当てるときは、ユーザーの[利用場所]として国(日本など)を指定しておく必要があります。)

 

 

4.ユーザーパスワードのリセットポリシー

AAD Premiumが有効になると、Azure管理ポータルからAADテナントを開き、[構成]タブから[ユーザーパスワードのリセットポリシー]という設定を有効にすることができます。
([パスワードのリセットが有効になっているユーザー]を[すべて]に設定します)

image

 

 

5.パスワードリセット時に利用する携帯電話番号等の登録

AADはPremiumであるか・ないかに関わりなく、アクセスパネルと呼ばれるポータルサイトが用意されています。(アクセスパネルの活用についてはこちらでも紹介しています)

アクセスパネル(https://myapps.microsoft.com/)にアクセスして、
AADユーザーでサインインすると、

image

[プロファイル]タブから[パスワードの再設定用に登録する]をクリックして、携帯電話番号の登録を行えます。

image

電話番号等の登録が完了したら、準備完了です。

 

6.ディレクトリ同期のカスタマイズ (2014年8月6日追記)

クラウドから変更されたパスワードは最終的にオンプレミスのActive Directoryに保存されなければなりません。そのため、ディレクトリ同期ツールを使って、AADからActive Directoryに同期されるようなカスタマイズを行う必要があります。
この設定には次のコマンドレットを使います。

Import-Module DirSync
Enable-OnlinePasswordWriteBack

これにより、今までAD→AAD一方向だったディレクトリ同期ツールは、
AAD→ADの同期も行うようになります。

 

7.パスワードリセットの実行

パスワードを忘れたとき、パスワードリセットするときは
パスワードリセット用サイトにアクセスします(http://passwordreset.microsoftonline.com)
(Office365等のサインイン画面でも「アカウントにアクセスできない場合」というリンクを
クリックすれば、同じサイトにアクセスできます)

image

パスワードリセットサイトでは、いきなり下の画面が出てくるので、ユーザー名とCAPTHA(って言うんでしたっけ?)を入力して、

image

あらかじめ登録した携帯電話にSMSまたは電話をかけて、本人確認を行います。

image

SMSを選択した場合、SMSで6桁の番号を送ってきてくれるので、その場合を入力して、

image

いよいよ新しいパスワードを設定します。

image

これで完了です。

image

あとは、ディレクトリ同期が実行されれば、Active Directoryのパスワードも書き換わります。
なお、Active Directoryのパスワードは変更するのではなく、リセットするというのが正しい表現になります。

モバイルアプリからOffice 365の多要素認証を使う

Office 365では、サインインするとき、ユーザー名/パスワード以外の要素を利用して認証する手段(多要素認証)をサポートしています(正確に言うと、Windows Azure Active Directoryにサインインするときに多要素認証をサポートしている、ですね)。そして、一般には電話をかける、テキストメッセージを受信する、などの方法で物理的なデバイスを持っている人だけがOffice365の認証をパスするという仕組みを使うケースが多いかと思いますが、一方でモバイルアプリを使ってワンタイムパスワード(OTP)を生成させて認証を行いたいケースもあるかと思います。

そこで、今回はOffice365の多要素認証の設定と、多要素認証にモバイルアプリを使う方法を確認してみたいと思います。

 

1.多要素認証の初期設定

Office365管理センターサイトの[ユーザーとグループ]の中に入っている[複数の要因を含む認証要件を設定する]の欄にある[セットアップ]をクリックします。

image

続く画面がこちら(下)。画面の説明にもあるように、現在のところOffice365の管理者アカウントだけが追加コストなしで多要素認証を設定できます。(すべてのユーザーを対象に多要素認証の設定ができるようになりました。2014年2月15日追記)
多要素認証を設定するユーザーを選んで[有効にする]をクリックします。

image

管理者以外のユーザーに対して、多要素認証を有効にする場合は、Viewの欄を[サインインが許可されているユーザー]を選択します。(2014年2月15日追記)

image

続く画面はこちら。

image

image

完了したら、一度サインアウトします。

 

2.モバイルアプリの設定

OTP用のモバイルアプリをダウンロードします。アプリの名前は
Windows Azure Multi-Factor Authenticationですが、
ストアでは「Multi-Factor Authentication」という名前で通っています。

アプリの会社名はMicrosoftではなく、PhoneFactor, Inc.なので注意してください。
(特にAndroidでは、まがい物にご注意!)

アプリはWindows Phone用、iPhone用、Android用が出ています。
今回はiPhone用をiPadにインストールして使います。
20140124_155627000_iOS

インストールが完了して、起動すると、

20140124_155726000_iOS

iPad用に最適化されていないので、画面サイズがおかしくなってます。

 

3.多要素認証設定後の初回サインイン

ポータルサイトにユーザー名/パスワードを入力してサインインします。
すると、[今すぐセットアップ]のボタンが現れました。

image

[今すぐセットアップ]をクリックすると、こちらの画面が現れます。
ここでは電話を選択して、電話番号を設定するのですが、今回はモバイルアプリなので、
[モバイルアプリケーション]を選択して、[構成]をクリックします。

image

バーコードが現れました。このバーコードを前の手順でインストールしたアプリにスキャンさせます。
(ちなみにGoogle認証アプリにスキャンさせたら、エラーになりました)

image

成功すると、

image

こんな感じで登録されます。

ポータルサイトに戻って、

image

下の画面に切り替わるので、[今すぐ確認]をクリックすると、

image

モバイルアプリの画面は下のような画面になります。
ここで[認証]をタップすると、

image

ポータルサイトでは、確認できたことを表しています。

image

その他、アプリが使えなかったときの緊急用電話番号の登録を行い、image

ブラウザー以外でのサインインを行うときに使うパスワードの生成を行って終了です。
(この部分については別の機会に)

image

ここまでで完了です。

 

4.多要素認証のテスト

サインインしてみましょう。
ユーザー名/パスワードを入力して、

image

この時点で、モバイルアプリに通知が送られるので、

image

モバイルアプリの画面で[認証]をタップすると、

image

認証は完了です。

OTPのコードを入れて、認証を行いたい場合には、ユーザー名/パスワードを入力した後、
[その他の検証オプション]をクリックして、

image

[モバイルアプリケーションの確認コードを使用する]をクリックして、

image

確認コードを入力します。

image

確認コードはモバイルアプリに表示されているものを入力します。

image

 

以上です。

Office365は100%ブラウザーサービスではないので、
Outlookからアクセスするときどうするか?とか、
モバイルでExchange ActiveSync経由のアクセスはどうなるのか?とか、
色々課題があります。
これについては、機会を改めて検証してみたいと思います。

Windows Server 2012 R2へ移行

という名前にひっかけたタイトルの記事
Windows Server 2012 R2で行こう!」が@ITさんのサイトで公開されました。

http://www.atmarkit.co.jp/ait/articles/1401/09/news006.html

この記事は私が執筆したものなのですが、Windows Server 2003のサポート期限終了が近づいているので、「皆さん移行はお早目に!」という啓蒙の内容になっています。

■ ■ ■

かつて、地デジへの切替のときには、警報のごとく地デジカという黄色いキャラクターと某アイドルグループのメンバーがTVを占拠してアピールしていましたが、
Windows Server 2003も、あのくらいのアピールをしてもらいたいものです。
(お金のこととか、あるから無理ですよね。。)

ただ、サーバーの移行ですから、Windows XPの移行に比べてインパクトは大きいです。そう考えると、できるだけ早く移行のためのステップを開始するべきですし、何よりも新しいサーバーOSのメリットを享受してほしい。
そんな思いで執筆したので、ご覧なってみていただければ幸いです。

Office 365にADFSが必要な理由

この投稿は、Office 365 Advent Calendar 2013に参加しています。

■ ■ ■

突然ですが、こんな画面、見たことありますか?

signin

この画面は、Office 365のサインインアシスタントというツールを使っていると出てくる画面です。
2013年に、Office 365は色々な進化を遂げたけど、その中でもインパクトが大きかったのが、
ディレクトリ同期ツールでパスワードの同期ができるようになったこと。
だけど、ユーザー名とパスワードがActive Directoryと同期されるようになっても、
ユーザー名とパスワードを何回も入れなきゃいけないことに変わりはありません。
だから、この画面が出てくると、ため息が出てしまうのです。

そこで今日は、ディレクトリ同期ツールだけを利用するのではなく、
便利なシングルサインオン環境を整えましょう、という話をします。

 

ディレクトリ同期とシングルサインオン

まずは、Office 365におけるユーザー管理の一元化方法についてのおさらいです。

Office 365では、Office 365独自(Windows Azure Active Directory)にユーザー名とパスワードを管理すると、Office 365のためのユーザー名とパスワードを覚えなければならず、面倒です。
そこで、Office 365では2つの便利な機能を用意してくれました。

・ ディレクトリ同期ツールを利用して、Active DirectoryのユーザーアカウントをOffice 365のディレクトリ(Windows Azure Active Directory)へ同期することで、Active Directoryと同じユーザー名、パスワードでサインイン

image

・ ディレクトリ同期ツールとADFSを利用して、Active Directoryにサインインしたときの情報を使ってOffice 365へアクセス (シングルサインオン)

image

この2つのサービス、一見するとどちらも同じもののように見えます。
だから、ディレクトリ同期ツールを使えばユーザー名/パスワードは同じものが使えるし、ADFSなど導入する必要はないのでは?という意見を伺うことがよくあります。(ADFSは導入も面倒ですし..)

 

しかし、ADFSを導入して、シングルサインオン環境を構築するのには
それなりに意味があることなのです。
その理由として、私は次の2つを挙げてみたいと思います。

・ 同じユーザー名/パスワードでも、何回も入力するのは面倒
・ セキュリティ面での心配


では、さっそく順番に見ていきましょう。

同じユーザー名/パスワードでも、何回も入力するのは面倒

ディレクトリ同期とADFSを組み合わせて実装した場合、Active Directoryへのサインインだけで、Office365にもアクセスできるようになりますが、ディレクトリ同期ツールでパスワードを同期した場合には同じユーザー名とパスワードを複数回入力しなければなりません。

パスワードはキャッシュさせておけばよいとの考えもありますが、それも完璧にユーザー名/パスワードの入力を省略してくれるものではなく、事あるたびに入力しなければならないケースはあったりするものです。
しかも冒頭の画面のようなものがいきなり出て来たら、「これって、マルウェアによって表示されている、怪しげなダイアログじゃないの?」なんて、勘ぐる人も出てくるでしょう。そんな風に考え始めたら、果たして入力してよいのかさえ、わからないものですよね。

そうした心配をしながらパスワード管理をするのであれば、ADFSを使って完全なシングルサインオン環境を構築してしまうのは、ひとつの手ではないでしょうか?

 

セキュリティ面での心配

ディレクトリ同期ツールでユーザー名/パスワードを同期して、Active DirectoryとOffice365で同じユーザー名/パスワードでサインインできることは便利ではありますが、危険なことでもあります。最近、クラウドのサービスで、どこのサイトでも同じユーザー名/パスワードを使いまわすことが問題視されていますが、それはオンプレミスとクラウドでも同じことが言えます。
たとえば、あなたのコンピューターがマルウェアに感染し、
mimikatzなどのツールによってLsassから平文パスワードを引き抜かれると、そのパスワードを使ってそのままOffice365にもサインインされてしまう可能性があるのです。
(下の図はツールで平文パスワードを引き抜いた様子。え、そっちの話のほうが興味あるって??)

image

ADFSでもActive Directoryでサインインするのだから、Active Directoryユーザーのパスワードが盗まれたら一緒じゃないか!と思うかもしれませんが、ADFSサーバーを経由してOffice365にアクセスする分だけ、追加のセキュリティが実装しやすいというメリットがあります。
(このあたりは色々な方の意見を伺いたいところです)

たとえば、思いつくところであげると、

・ ADFSの発行承認規則を使ったIPアドレスベースでのアクセス制御
(参考:ADFSによるシングルサインオン環境構築ステップバイステップガイド のアクセス制御の章)
・ Windows Server 2012 R2のADFSとDRSを使った、デバイスベースでのアクセス制御
(参考:過去の投稿でiOSだけにアクセスさせる方法を紹介しています。)
・ ADFSの監査ログ
(参考:ADFSで監査ログを取得する by MVP渡辺さん)

などがあります。

Office365を導入すれば、ユーザー管理の一元化を行いたい!面倒なサインインは1回限りにしてほしい!など色々なニーズが後から出てくるもの。もし、これから導入をお考えの場合には、最初からディレクトリ同期などでお茶を濁さず、ADFSを活用したシングルサインオンを検討したいものです。