Azure AD Connect クラウド プロビジョニングのマルチフォレスト同期を試す!
本日は前回同様Azure AD Connect クラウド プロビジョニングについて書きたいと思います。
Azure AD Connect クラウド プロビジョニングでは、マルチフォレスト同期が非常に簡単にできるようになっていたので、備忘録もかねてまとめておきます。
Azure AD Connect クラウド プロビジョニングのマルチフォレスト同期
Azure AD Connect クラウド プロビジョニングの強みとして、非常に容易にマルチフォレスト同期が可能となったということが挙げられます。Azure AD Connectでは、Azure AD Connectがインストールされているサーバーが各フォレストのドメインコントローラーと接続できることという条件がありましたが、Azure AD Connect クラウド プロビジョニングはネットワーク的に分断されていても各フォレストにエージェントをインストールすることで一つのAzure ADテナントに対して同期が可能になっています。
これは従来のAzure AD Connectに比べると非常に画期的なことで、会社のM&Aなどでネットワークが分断されている別フォレストのオブジェクトを同一のAzure ADテナントを使いたい場合などに威力を発揮します。
今まではネットワークを繋げるという作業が必要でしたが、そこには非常に時間がかかる場合も多く、この構成が容易にできることになったのは非常に大きなメリットだと感じております。
また、Azure AD ConnectとAzure AD Connect クラウド プロビジョニングの混在環境もサポートされているので、すでにAzure AD Connectをお使いの企業が別フォレストを同期する際にAzure AD Connect クラウド プロビジョニングを利用するといったことも可能となります。
Azure AD Connect クラウド プロビジョニングの構成
構成方法については前回の記事をご覧いただければと思います。
takeru0620.hatenablog.com
この記事と同様に特別なことは必要なく、別フォレストのADにエージェントをインストール→構成するだけです。
下記画像のようにAzureポータル場で複数フォレストから同期が構成されていることがわかります。
また、Azure AD Connectと同様ユニークな属性としてObjectID/ms-DS-ConsistencyGuidとUserPrincipalNameのようで、同一のUserPrincipalNameをもつユーザーをそれぞれに作成した場合、片方の同期がエラーとなりました。
ちなみにこのような同期エラーは下記のようにメールでレポートされます。
なお、SourceAnchorはms-DS-ConsistencyGuidが使われるとの記載があるのですが、詳細まで調査しきれていませんが、実態としてはObjectIDが使用されているようでした。
グループ会社が別フォレスを利用していて、かつグローバルでユニークなUserPrincipalNameやメールアドレスを持つ環境ではフォレスト間のユーザーの移動がある場合がありますので、ここはもう少し調査が必要ですね。