Office 365とかSaaSの自由帳

Office 365の話とかSaaSについてとかいろいろ書きたいと思います。なんだかんだ備忘録になると思います。

Azure AD Connect クラウド プロビジョニングのマルチフォレスト同期を試す!

本日は前回同様Azure AD Connect クラウド プロビジョニングについて書きたいと思います。

Azure AD Connect クラウド プロビジョニングでは、マルチフォレスト同期が非常に簡単にできるようになっていたので、備忘録もかねてまとめておきます。

Azure AD Connect クラウド プロビジョニングのマルチフォレスト同期

Azure AD Connect クラウド プロビジョニングの強みとして、非常に容易にマルチフォレスト同期が可能となったということが挙げられます。Azure AD Connectでは、Azure AD Connectがインストールされているサーバーが各フォレストのドメインコントローラーと接続できることという条件がありましたが、Azure AD Connect クラウド プロビジョニングはネットワーク的に分断されていても各フォレストにエージェントをインストールすることで一つのAzure ADテナントに対して同期が可能になっています。
f:id:takeru55555:20200114201250p:plain

これは従来のAzure AD Connectに比べると非常に画期的なことで、会社のM&Aなどでネットワークが分断されている別フォレストのオブジェクトを同一のAzure ADテナントを使いたい場合などに威力を発揮します。
今まではネットワークを繋げるという作業が必要でしたが、そこには非常に時間がかかる場合も多く、この構成が容易にできることになったのは非常に大きなメリットだと感じております。
また、Azure AD ConnectとAzure AD Connect クラウド プロビジョニングの混在環境もサポートされているので、すでにAzure AD Connectをお使いの企業が別フォレストを同期する際にAzure AD Connect クラウド プロビジョニングを利用するといったことも可能となります。

Azure AD Connect クラウド プロビジョニングの構成

構成方法については前回の記事をご覧いただければと思います。
takeru0620.hatenablog.com

この記事と同様に特別なことは必要なく、別フォレストのADにエージェントをインストール→構成するだけです。
下記画像のようにAzureポータル場で複数フォレストから同期が構成されていることがわかります。
f:id:takeru55555:20200114202109p:plain

また、Azure AD Connectと同様ユニークな属性としてObjectID/ms-DS-ConsistencyGuidとUserPrincipalNameのようで、同一のUserPrincipalNameをもつユーザーをそれぞれに作成した場合、片方の同期がエラーとなりました。
ちなみにこのような同期エラーは下記のようにメールでレポートされます。
f:id:takeru55555:20200114202655p:plain

なお、SourceAnchorはms-DS-ConsistencyGuidが使われるとの記載があるのですが、詳細まで調査しきれていませんが、実態としてはObjectIDが使用されているようでした。
グループ会社が別フォレスを利用していて、かつグローバルでユニークなUserPrincipalNameやメールアドレスを持つ環境ではフォレスト間のユーザーの移動がある場合がありますので、ここはもう少し調査が必要ですね。

まとめ

1フォレストの際と同様非常に簡単に同期の構成をすることができました。
オンプレミスのサーバーにインストールするエージェントではあるのですが、実態はクラウド側で動作するので、オンプレミスの仕組みもどんどんクラウドに統合されている流れだと感じました。
まだプレビューですので、今後のGAに期待ですね。

ではまた次回。