ダウンロードサイト(1.0.0470.1023)
http://www.microsoft.com/en-us/download/details.aspx?id=44225
GA版からの変化点は以下の2点です。
- 構成ウィザードがローカライズされた
- パスワード同期(オンプレミスAD⇒AzureAD)がサポートされた
1点目のローカライズですが、こんな感じで進化してきています。
ベータ版:英語環境にしかインストールできない
GA版:日本語環境にもインストールが出来る(表示は英語)
新バージョン:構成ウィザードがローカライズされた
ただ、Synchronization Rules EditorやSynchronization Service Managerは相変わらず英語表記です。
次にパスワード同期ですが、ディレクトリ同期ツールでは提供されていた機能がAAD Syncにも実装されてきました。
基本的な仕様や使い方はディレクトリ同期ツールとほぼ同じです。(PowerShellのコマンドレット名が違うくらい)
構成ウィザードの中のオプション機能を選択する画面でパスワード同期にチェックを入れればパスワード(のハッシュ)がオンプレミスのADからAzure ADへ同期されるようになります。
尚、パスワード同期機能を使うためにはAAD Syncに指定したオンプレミスADとの接続に使うユーザに対して以下の権限を付与する必要があります。(Administratorユーザを指定した場合は不要です)
<追加で必要な権限>
- ディレクトリの変更のレプリケート
- ディレクトリの変更をすべてにレプリケート
追加方法はActive Directoryユーザとコンピュータより「制御の委任」で行います。
ドメインのルートを右クリックし、[制御の委任]をクリックします。
[委任するカスタムタスクを作成する]を選択します。
[このフォルダー、このフォルダー内の既存のオブジェクト、およびこのフォルダー内の新しいオブジェクトの作成]を選択しウィザードを進めます。
アクセス許可の選択しより「ディレクトリの変更のレプリケート」と「ディレクトリの変更をすべてにレプリケート」にチェックを入れます。
最後に確認してウィザードの構成を終わり、AAD Syncのサービスを再起動します。
うまく同期されればイベントビューアに以下のようなログが記録されます。
(失敗した場合はペンディングリストに入りリトライされます)
※その他注意点
・IPv6が有効な環境でパスワード同期を行う場合は、Azure ADとの接続にIPv6が優先されるため、途中のルータなどでIPv6が通らない場合は同期に失敗する
(単純なアカウント同期だけだとIPv6⇒IPv4にフォールバックしてくれているのか、問題は発生しません)
※Office365 MVPの@genkiwさんの以前の記事の状況と同じだと思われます。
http://blog.o365mvp.com/2013/03/19/waad_connecting_issue/
・既に構成済みのAAD Syncに後からパスワード同期を有効化する場合、Synchronization Service ManagerからオンプレミスADとAzure ADの各Management AgentのFull Import -> Full Synchronizationを実行する必要があるようです。いずれにしても構成ウィザードを起動する際にWindowsタスクでAAD Syncの同期タスクを無効化する必要があるので、構成ウィザードが完了した後は、手動でFull Import -> Full Synchronizationを実行してから同期タスクを有効化した方が安全です。
ディレクトリ同期やForefront Identity Manager(FIM)+Azure AD Connectorと比較して機能面でも充実していますし、同期設定のカスタマイズも容易になっているので今後はAzure AD / Office365を使う場合はAAD Sync一択になりそうです。
投稿
0 件のコメント:
コメントを投稿