2019年08月09日

AD Connect

少し前に AD connect サーバを構築しました。オンプレの Active Directory サーバと AzureAD のオブジェクトを共有するための中継サーバです。ベンダーに構築依頼をしたら300万くらいの見積もりが来たのですが、ウィザードでポンポン作ってみたら1時間かからず構築完了してしまいました。300万はボリ過ぎでしょう。とはいえ、社内ADとAzureADを同期させるにはいろいろと注意点も必要で、まずどのOUを同期するか。全部やっちゃうとAzureADがオブジェクトだらけになるので、ちゃんとAD Connect で対象のOUを絞り込む必要があります。逆に言うとそのようなOU構成になっていなくちゃいけないという話。しかも、AD Connectツールの不具合なのか、表示されないOUとかもあったりして、いらないオブジェクトが同期されちゃってそれを取り除くのに苦労したりとか、若干の試行錯誤はありました。おまけに参考になる資料もほとんどないという有様です。

あとは、AzureAD側でOffice365のライセンスの割り当てをしていきますが、もちろん手作業ではやってられないのでセキュリティグループを使います。特定のグループのメンバーはライセンスをあげるよ、というわけです。当然そのセキュリティグループは社内のアカウント管理サーバで管理していて、もし退職になればアカウントもライセンスも自動消去するし、追加で使いたい人がいたらオンラインで申請してもらって上長承認が出ればすぐにライセンス割り当て完了、というわけです。まぁ、このスクラッチで作った社内のアカウント管理サーバが肝なんですけどね。多機能すぎて市販できるレベルです。

あとは、Office365のログインを社内からに限定したりとかセキュリティ対策を追加していきます。ユーザー名とパスワードだけでインターネットどこからでも社内情報にログインできるのは危険すぎますからね。いずれは、正規のドメイン参加PCは外部からのアクセスを許可したり、セブンペイのせいで知名度が上がった2段階認証を実装するなど、ブラッシュアップしていきたいところです。

kenjiz at 23:19│Comments(0) IT 

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔