Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携

Microsoft Azure 自習書シリーズ No.6
企業内システムと Microsoft Azure の VPN 接続、
ADFS、Office365 との連携
Published: 2014 年 5 月 30 日
Updated: 2015 年 1 月 31 日
Cloudlive, Inc.

企業内システムと Microsoft Azure の VPN 接続、ADFS、Office365 との連携
2
本書に含まれる情報は本書の制作時のものであり、将来予告なしに変更されることがあります。提供されるソフトウェアおよび
サービスは市場の変化に対応する目的で随時更新されるため、本書の内容が最新のものではない場合があります。本書の記述が
実際のソフトウェアおよびサービスと異なる場合は、実際のソフトウェアおよびサービスが優先されます。Microsoft および
Cloudlive は、本書の内容を更新したり最新の情報を反映することについて一切の義務を負わず、これらを行わないことによる
責任を負いません。また、Microsoft および Cloudlive は、本書の使用に起因するいかなる状況についても責任を負いません。
この状況には、過失、あらゆる破損または損失 ( 業務上の損失、収益または利益などの結果的な損失、間接的な損失、特別の事
情から生じた損失を無制限に含む ) などが含まれます。
Microsoft、SQL Server、Visual Studio、Windows、Windows Server、MSDN は米国 Microsoft Corporation および、または
その関連会社の、米国およびその他の国における登録商標または商標です。
その他、記載されている会社名および製品名は、各社の商標または登録商標です。
© Copyright 2014 Microsoft Corporation. All rights reserved.

3
本ドキュメントの更新について
バージョン更新日内容
v1.00 2014/6/30 ・初版リリース
v1.10 2014/9/30 ・2014 年 9 月現在の情報に更新
v1.20 2015/1/31 ・2015 年 1 月現在の情報に更新

4
目次
STEP 1. Azure 仮想マシンを使用した Office 365 SSO の展開と本書の目的について .................. 7
1.1 Azure 仮想マシンを使用した Office 365 SSO の展開 .................................................... 8
1.2 シナリオ...............................................................................................................13
1.3 ゴール..................................................................................................................14
1.4 用語の説明............................................................................................................15
STEP 2. 実習の前提について .............................................................................................16
2.1 前提条件...............................................................................................................17
2.2 今回構築するシステム構成........................................................................................18
2.3 仮想マシンの冗長性・可用性とサイズ .........................................................................20
2.4 各サーバーの役割／構成／前提条件 ............................................................................22
STEP 3. 認証フロー.........................................................................................................29
3.1 Web ブラウザーからのアクセス (社内) .......................................................................30
3.2 Web ブラウザーからのアクセス (社外) .......................................................................31
3.3 その他のアクセス (Exchange Online) ........................................................................32
3.4 フェデレーション ID 利用時のアクセス ......................................................................33
STEP 4. 全体の構築手順 ...................................................................................................34
4.1 全体の構築手順 ......................................................................................................35
STEP 5. Office 365 へドメインの追加、およびドメインの確認 ...............................................38
5.1 ドメインの追加 ......................................................................................................39
5.2 ドメイン登録情報の変更...........................................................................................42
5.3 ドメインの所在確認 ................................................................................................43
5.4 ドメインの目的を設定 .............................................................................................46
STEP 6. VPN 接続の設定 ..................................................................................................50
6.1 仮想ネットワークの作成...........................................................................................51
6.2 仮想ゲートウェイの作成...........................................................................................57
6.3 社内ネットワークの構成...........................................................................................61
STEP 7. ストレージアカウントの作成 ................................................................................62
7.1 ストレージアカウントの設定 ...................................................................................63
STEP 8. 仮想マシンの作成 ................................................................................................66
8.1 仮想ネットワークへの DNS サーバーの設定 ................................................................67
8.2 仮想マシンの作成 ...................................................................................................72
8.3 仮想マシンへのリモートデスクトップ接続....................................................................77
8.4 日本語化...............................................................................................................80

5
8.5 タイムゾーン .........................................................................................................90
8.6 Windows Update の設定 ........................................................................................92
8.7 ディスクの追加 ......................................................................................................95
8.8 ドメインへの参加 .................................................................................................105
STEP 9. AD DS サーバーのセットアップ、および動作確認...................................................110
9.1 AD DS のインストール..........................................................................................111
9.2 ドメインコントローラーへの昇格............................................................................119
9.3 サイトとサブネットの作成......................................................................................128
9.4 初期レプリケートの完了.........................................................................................139
9.5 仮想ネットワークへの DNS サーバーの追加設定.........................................................141
9.6 NTP に関する注意点 (PDC エミュレーターとは同期しない)..........................................147
9.7 2 台目以降の AD DS を構築する際のポイント ...........................................................148
STEP 10. ディレクトリ同期サーバーのセットアップ、および同期の確認 ...................................151
10.1 UPN サフィックスの追加 ....................................................................................152
10.2 AD ユーザーの登録情報を確認 .............................................................................154
10.3 ディレクトリ同期の有効化...................................................................................156
10.4 ディレクトリ同期ツール関連のインストール............................................................159
10.5 ディレクトリ同期ツールのセットアップ (同期の実行) ...............................................171
10.6 ディレクトリ同期の確認......................................................................................176
10.7 同期したユーザーのアクティブ化 ..........................................................................180
STEP 11. AD FS サーバーのセットアップ、およびフェデレーションの確認 ...............................184
11.1 AD FS 2.1 関連をインストール............................................................................185
11.2 サーバー証明書をインポートと設定 .......................................................................196
11.3 社内 DNS の設定..............................................................................................206
11.4 AD フェデレーション用サービスアカウントの作成 ...............................................207
11.5 フェデレーションサーバーの設定.........................................................................210
11.6 2 台目以降のフェデレーションサーバーの設定 .......................................................216
11.7 IT プロフェッショナル用 Microsoft Online Services サインインアシスタントのインスト
ール 221
11.8 Windows PowerShell 用 Windows Azure Active Directory モジュールのインストール 224
11.9 フェデレーションドメインの有効化......................................................................229
11.10 ローカルイントラネットゾーンへのサイトの登録 ...................................................232
11.11 フェデレーション環境の動作確認 ..........................................................................235
STEP 12. AD FS Proxy サーバーのセットアップ、および動作確認 ..........................................240
12.1 AD FS 2.1 関連をインストール............................................................................241
12.2 サーバー証明書をインポートと設定 .......................................................................251
12.3 エンドポイント HTTPS を作成 ............................................................................259
12.4 社外 DNS の設定..............................................................................................267
12.5 フェデレーションサーバープロキシの設定............................................................269
12.6 AD FS Proxy サーバーの動作確認.........................................................................273

6
STEP 13. ファイアウォールの設定......................................................................................277
13.1 ファイアウォールの設定......................................................................................278
STEP 14. マルチドメインの設定 ........................................................................................279
14.1 マルチドメインの設定 ........................................................................................280
STEP 15. アクセス制御....................................................................................................285
15.1 要求記述の登録 .................................................................................................286
15.2 要求規則の登録 .................................................................................................289
15.3 規則のセット....................................................................................................294
STEP 16. 認証ログ..........................................................................................................299
16.1 認証失敗ログ (AD FS によって制御されたログ) ......................................................300
16.2 認証成功ログ (AD FS によって認証されたログ) ......................................................303
16.3 AD FS トレースログの設定................................................................................306
STEP 17. Appendix ........................................................................................................312
17.1 SSO と仮想マシンを使用した AD DS または AD FS と Office 365 の展開 ................313
17.2 社内 VPN に関する要件 .....................................................................................315
17.3 IP アドレス指定と名前解決 .................................................................................316
17.4 ディレクトリ同期するオブジェクトの要件...............................................................317
17.5 対応しているルート証明機関................................................................................318

7
STEP 1. Azure 仮想マシンを使用した
Office 365 SSO の展開と
本書の目的について
この STEP では、Azure 仮想マシンを使用した Office 365 SSO の展開と本書
の目的について説明します。
この STEP では、次のことを学習します。
 Azure 仮想マシンを使用した Office 365 SSO の展開
 シナリオ
 ゴール
 用語の説明

8
1.1 Azure 仮想マシンを使用した Office 365 SSO の展開
Office 365 の SSO のメリット
シングルサインオン (以下、SSO) をセットアップして有効にすると、組織のユーザーは会社の資
格情報を使って Office 365 サービスにアクセスできるようになります。これにより、複数のログ
オン ID およびパスワードを管理する負担が軽減されます。 SSO を使わない場合は、Office 365
ユーザーはユーザー名およびパスワードを個別に管理する必要があります。
エンドユーザーのエクスペリエンスを向上させるために、スマートリンクを作成して展開するこ
とができます。スマートリンクを使うと、認証に必要なリダイレクト数を減らして、ユーザーの
サインイン要求を高速に処理できます。詳細については、「Office 365 でのスマートリンクまた
は IdP 認証の使用 (http://community.office365.com/en-us/w/sso/using-smart-links-or-
idp-initiated-authentication-with-office-365.aspx?Sort=MostRecent&PageIndex=1)」を参照
してください。
ユーザーにとってのメリットだけでなく、管理者と組織にとっても非常に大きなメリットになりま
す。たとえば、SSO を構成することで、社内ディレクトリと Office 365 ディレクトリの両方に
組織のパスワードポリシーとアカウントの制限を適用できます。
Office 365 では Active Directory フェデレーションサービス (以下、AD FS) を使って SSO
を実現します。 Office 365 サービスに SSO でアクセスできるように AD FS を計画、展開、お
よび構成する方法の詳細については、「ディレクトリ同期を準備する
(http://technet.microsoft.com/ja-jp/library/jj151831.aspx)」を参照してください。
この環境を構築するに当たり、Azure 仮想マシンを使うことで、社内インフラストラクチャ要件を
最小限に抑えることができます。これらの仮想マシンを使って、Office 365 のディレクトリ同期
と SSO を実装できます。

9
仮想マシン内で Office 365 インフラストラクチャコンポーネントを
実行するメリット
多くの場合、Office 365 を採用する企業のお客様の要望は、社内のインフラストラクチャ要件を最
小化することです。
仮想マシンを導入すれば、AD フェデレーションが必要なお客様は、Microsoft がサポートする別の
選択肢を利用してこれらのサービスをホストすることができます。
Azure でインフラストラクチャコンポーネントを実行することには、次のようなメリットがあり
ます。
クラウド戦略クラウド戦略にいっそう良く適合しており、社内ハードウェアへの投資が
削減されます。
ハードウェアとソフトウェ
アのコストが削減される可
能性
Office 365 の展開をサポートするインフラストラクチャサービスに関し
て、資本支出から運用支出への転換が広がる可能性もあります。追加のサ
ーバーを購入して、それらをデータセンターで、または、リモートの場所
から稼働させる必要がありません。
迅速な展開インフラストラクチャコンポーネントは比較的短期間で展開できるため、
追加の社内ハードウェアリソースがほとんど、あるいはまったく必要あり
ません。
ビジネス継続性の向上フェデレーションユーザーは、社内環境が一時的に利用できなくなって
も、引き続き、Office 365 にサインインすることができます。
オンデマンド拡張性将来、ディレクトリ統合に対して拡張や変更が必要になっても、Azure な
ら柔軟な対応ができ、社内投資を増やすことなく、それらの変更を迅速に実
現できます。
サイト回復性と災害復旧考えられるシナリオには、Azure がインフラストラクチャに不可欠な冗長
サービスをホストしている場合の災害復旧が含まれます。これにより、社
内で障害が発生した場合のフェールオーバーが可能になります。
柔軟性コンポーネントの再配置、負荷分散、複数の地理的領域に渡る分散が可能で
す。これにより、企業ネットワークに対する依存度が低減されます。
Office 365 と既存の社内プラットフォームを統合する場合は、それらを社内に実装するのか、
Azure で実装するのかに関係なく、慎重な計画が必要です。クラウド内のこれらのインフラスト
ラクチャコンポーネントの実装と管理の計画は、社内のインフラストラクチャとほとんど同じで
す。

10
SSO と仮想マシンを使用した Office 365 の概要
これまでは、ディレクトリ同期と SSO を使用して Office 365 展開と既存のサービスを統合する
ために社内ハードウェアの投資が必要でした。このレベルの統合を含む展開には多くの時間とコ
ストがかかります。
SSO のために、Office 365 には以下のコアコンポーネントが必要です。
 Active Directory ドメインサービス (以下、AD DS)
 Active Directory フェデレーションサービス (AD FS)
 ディレクトリ同期サービス
これらのコアコンポーネントを総称して、「Office 365 ディレクトリ統合コンポーネント」と呼び
ます。これらのコンポーネントの詳細については、「シングルサインオンを準備する
仮想マシンのリリースから、これらのコンポーネントの一部または全部をクラウドに展開するオプ
ションが追加されました。この自習書は、Office 365 で SSO をサポートするために必要な
Office 365 インフラストラクチャコンポーネントの構築について説明しています。
なお、以下はこの自習書の範囲に含まれません。
Exchange ハイブリッドモ
ードをサポートする
Exchange Server の役割
Exchange ハイブリッドモードをサポートするために使用される
Exchange Server の役割は仮想コンピューター上でサポートされませ
ん。これらの役割は意図的に除外されました。
仮想マシン上での
Exchange サービスのホス
ティング
仮想マシン上での実稼働 Exchange サーバーの展開はサポートされませ
ん。
Shibboleth またはその他の
サードパーティ SSO の実
装
Azure AD と Office 365 は、AD FS、Shibboleth ID プロバイダー (*1)、
その他のサードパーティプロバイダー (*2) を含む、いくつかのセキュ
リティトークンサービスをサポートします。仮想マシン上での
Shibboleth またはその他のサードパーティプロバイダーの展開が実現
可能な場合もありますが、Microsoft ではこれらのプロバイダーをテストし
ていません。
要素認証または強力な認証 AD FS は多要素認証シナリオを可能にするように構成できます。実現可
能な場合もありますが、サードパーティベンダーを通してサポート可能
性を検証する必要があります。
マルチフォレストトポロジディレクトリ同期ツールはシングルフォレストトポロジしかサポートし
ません。
複数の Azure データセン
ターにまたがる展開
Azure 障害ドメインの単一セットを越えたサービス展開ができます。これ
により、複数の地理的地域にコンポーネントを展開できます。状況によっ
ては、認証のパフォーマンスが改善されたり、ソリューション全体の可用性
が向上したりします。Office 365 のほとんどのお客様には、単一の Azure
データセンターへのディレクトリ統合サービスの展開で十分です。

11
 (*1)：「Shibboleth ID プロバイダーによるシングルサインオンを実装して管理する
(http://technet.microsoft.com/ja-jp/library/jj205456.aspx)」
 (*2)：「サードパーティ ID プロバイダーを使用してシングルサインオンを実装する
(http://technet.microsoft.com/ja-jp/library/jj679342.aspx)」

12
SSO と Azure を使用した Office 365 の展開シナリオ
仮想マシン上にすべての Office 365 SSO 統合コンポーネントを展開すると、社内展開に勝るメリ
ットを享受できます。これらのメリットには、迅速な導入、予測可能なコスト、社内サーバーの追
加が不要であることなどが含まれます。あるいは、一部のコンポーネントを社内で展開しながら、
フェデレーションコンポーネントのサブセットを Azure でホストすることができます。
他にも使用可能なオプションはありますが、最適な導入シナリオを 3 つ紹介します。
シナリオ① すべての Office 365 SSO 統合
コンポーネントを社内に展開す
る
これは、従来型のアプローチです。社内サーバーを使
用して、ディレクトリ同期と AD FS を展開します。
シナリオ② すべての Office 365 SSO 統合
コンポーネントを Azure で展
開する
これはクラウドのみを使用する新しいアプローチで
す。ディレクトリ同期と AD FS を Azure で展開し
ます。この場合は、社内サーバーを展開する必要があ
りません。
シナリオ③ 一部の Office 365 SSO 統合コ
ンポーネントを災害復旧用とし
て Azure で展開する
これは、社内展開コンポーネントとクラウド展開コン
ポーネントの組み合わせです。ディレクトリ同期と
AD FS を主に社内に展開し、災害復旧用の冗長コンポ
ーネントを Azure で追加します。
なお、この自習書では、上記の「シナリオ②」の構築手順を説明していきます。

13
1.2 シナリオ
この自習書では、すべての Office 365 SSO 統合コンポーネントを Azure で展開する環境を構築
します。
仮想ネットワーク
サブネットを 1 つ作成
サイト間 VPN を構成
社内ネットワーク (オンプレミス)
ISP から払い出された固定グローバル IP アドレスを使用して接続
ISP の ONU と VPN デバイスを直接繋ぐ (FW などを間に挟まない)
オンプレミス内の既存セグメント１つを Azure 仮想ネットワークと VPN で接続
システム構成図

14
1.3 ゴール
「1.2 シナリオ」の環境を構築し、以下ができたことをもってゴールとします。
 社内の AD 環境 (この自習書では「azurestudy.local」ドメイン) にあるディレクトリオブ
ジェクト (ユーザー、グループ、および連絡先) が Office 365 に同期していること
 社内の AD 環境内にあるクライアント PC からブラウザー (Internet Explorer) で「Office
365 ポータル (https://portal.office.com/Home)」にアクセスし、SSO によって適切なユ
ーザーでサインインできること
 社内の AD 環境外にあるクライアント PC からブラウザー (Internet Explorer) で「Office
365 ポータル」にアクセスし、適切なユーザーでサインインできること

15
1.4 用語の説明
この自習書で使用する用語については以下のとおりとなります。
用語説明補足
AD Active Directory
AD DS Active Directory ドメインサービス
AD FS Active Directory フェデレーションサービス
CA 認証機関／認証局
CN Common Name (一般名) SSL 接続するサイトの URL (FQDN) の
こと
CSR Certificate Signing Request
EAC Exchange 管理センター Office 365 管理センターでは管理できな
い電子メールに関連するアイテムを管理
する Web ベースの管理コンソール
※ Exchange コントロールパネル
(ECP) に代わるもの
EOP Exchange Online Protection クラウドベースの電子メールフィルタリ
ングサービス
EWS Exchange Web Services Exchange サーバーと通信するクライア
ントアプリケーションを有効にする機
能。多くの Microsoft Office Outlook を
通じて利用可能にする同じデータへのア
クセスを提供する
FQDN Fully Qualified Domain Name 完全修飾ドメイン名
IPsec インターネットプロトコルセキュリティ
MFG Microsoft Federation Gateway Microsoft が提供するクラウドベースの
ID 認証サービス
ISP Internet Services Provider インターネット接続業者
NLB ネットワーク負荷分散
NTP Network Time Protocol
OWA Outlook Web App
SLA Azure のサービス稼働保証。可用性に対する保証
WID Windows Internal Database Windows 内部データベース (リレーシ
ョナルデータストア)
※ 今回は、AD FS の構成を格納するデー
タベースとして使用
 (*1) ：「 Microsoft Azure のサポートサービスレベルアグリーメント
(http://azure.microsoft.com/ja-jp/support/legal/sla/)」

16
STEP 2. 実習の前提について
この STEP では、この自習書で実習を行うために必要な前提について説明しま
す。
 前提条件
 今回構築するシステム構成
 仮想マシンの冗長性・可用性とサイズ
 各サーバーの役割／構成／前提条件

17
2.1 前提条件
 Azure 管理ポータルへサインインできるアカウントを持っていることを前提としています。
 VPN 接続用のインターネット回線があることを前提としています。加えて、固定グローバル
IP アドレスが必要となります。
 仮想ネットワークとオンプレミスを VPN 接続するには、オンプレミス側に VPN デバイスを
設置する必要があります。
 Azure 管理ポータルへのサインインの手順は省略しています。
 Office 365 Enterprise の契約が完了した状態を前提としています。また、Office 365 上に
管理者アカウント (全体管理者) が登録していることを前提とします。
 既にオンプレミス環境に Active Directory ドメインサービスが存在していることを前提と
します。
 マルチフォレスト環境構成については、この自習書の対象外とさせていただきます。
 この自習書では、AD FS 環境を利用するに当たって必要なネットワーク設計、および設定 (主
に、オンプレミス側) については省略しています。必要に応じて以下の設計を行ってくださ
い。
 Office 365 向けファイアウォール
 (必要に応じて) WAN アクセレーター
 (必要に応じて) インターネットの帯域幅

18
2.2 今回構築するシステム構成
この項では、仮想ネットワーク上に、AD DS サーバー、ディレクトリ同期サーバー、AD FS サー
バー、AD FS Proxy サーバーを導入するための各種情報を示します。
システム構成図
「1.2 シナリオ」にあるシステム構成図をご覧ください。
仮想ネットワーク (サイト間 VPN)
仮想ネットワーク名 tokyo-nw
アフィニティグループ tokyo-ag
DNS サーバー AZSTADDS01 10.1.1.4 OPSTADDS01 192.168.118.160
AZSTADDS02 10.1.1.5
IP アドレス範囲 10.1.0.0/16
サブネットゲートウェイ 10.1.0.0/29 tokyo-subnet1 10.1.1.0/24
仮想マシン
サイト on-premise on-azure
サーバーの役割 AD DS AD DS ディレクトリ同期
マシン名 OPSTADDS01 AZSTADDS01 AZSTADDS02 AZSTDIRSYNC01
インスタンス N/A 標準標準標準
サイズ N/A A1 (S) A1 (S) A2 (M)
クラウドサービス
DNS 名 (*1)
N/A AZSTADDS AZSTDIRSYNC
可用性セット名 N/A AZSTADDS-AS (なし)
内部 IP アドレス 192.168.118.160 10.1.1.4 10.1.1.5 10.1.1.6
所属グループ azurestudy.local
ローカル管理者ドメイン管理者と同
一
studyadmin / studyP@ss
ドメイン管理者 administrator / studyP@ss
サイト on-azure
サーバーの役割 AD FS AD FS Proxy
マシン名 AZSTADFS01 AZSTADFS02 AZSTPROXY01 AZSTPROXY02
インスタンス標準標準標準標準
サイズ A1 (S) A1 (S) A1 (S) A1 (S)
DNS 名 (*1)
AZSTADFS AZSTPROXY
可用性セット名 AZSTADFS-AS AZSTPROXY-AS
内部 IP アドレス 10.1.1.7 10.1.1.8 10.1.1.9 10.1.1.10
所属グループ azurestudy.local WORKGROUP
ローカル管理者 studyadmin / studyP@ss
ドメイン管理者 administrator / studyP@ss N/A

19
 (*1)：クラウドサービス DNS 名の完全名は、「<xxxxx>.cloudapp.net」です。上の表の
値は <xxxxx> の部分を示しています。
Office 365 管理者アカウントと追加するドメイン
Office 365 管理者アカウント (全体管理者) は、これから構築する AD FS 環境に障害が発生して
SSO できない場合でも Office 365 にアクセスできるようにするため、通常認証でサインインで
きるアカウント「<administrator user>@<tenant>.onmicrosoft.com」を用意してください。
また、この自習書では Office 365 に追加するドメインを「azurestudy.jp」として説明します。
URL
この自習書で登場する以下のサイトの URL を紹介します。
 「Office 365 管理センター (https://portal.office.com/admin/default.aspx)」
 「Azure 管理ポータル (https://manage.windowsazure.com)」

20
2.3 仮想マシンの冗長性・可用性とサイズ
仮想マシンの冗長化・可用性
仮想マシンの可用性を向上させるために、ほとんどのサーバーで 2 台以上の仮想マシンを用意し
ます。複数の仮想マシンを使用すれば、ローカルネットワークの障害、ローカルディスクハー
ドウェアの故障、Azure のデータセンターに必要な予定ダウンタイムが発生してもサービスを利
用し続けることができます。
複数の仮想マシンが 1 つのクラウドサービスで接続されている場合は、可用性セットを使用して、
仮想マシンを確実に別々の障害ドメインに配置する必要があります。これは、2 つの冗長サーバ
ーを社内のデータセンター内の物理的に異なるサーバーラックに配置するのに似ています。
下の図は 2 つの可用性セットを表しており、各セットにはそれぞれ 2 つの仮想マシンがあります。
仮想マシンのサイズ
また、Office 365 で必要な仮想マシンのサイズは、組織内のユーザー数で決まります。下の表に、
Office 365 ディレクトリ統合コンポーネントに関する仮想マシンのサイズとインスタンス数のガ
イドラインを示します。
サーバーの役割 AD DS (*1) ディレクトリ同期
(*1) (*2)
AD FS AD FS Proxy
インスタンス基本または標準基本または標準基本または標準標準 (*5)
5,000 ユーザー未満 A1 (S) × 2 台 A2 (M) × 1 台 A1 (S) × 2 台 A1 (S) × 2 台
5,001 ～ 15,000
ユーザー
A2 (M) × 2 台 A2 (M) × 1 台 A1 (S) × 2 台 A1 (S) × 2 台
15,001 ～ 50,000
ユーザー
A3 (L) × 2 台 A2 (M) × 1 台 A2 (M) × 2 台以上
(*4)
A2 (M) × 2 台以上
(*6)
50,001 ユーザー以上 A3 (L) × 2 台 A3 (L) × 1 台
(*3)
A3 (L) × 2 台以上
(*4)
A3 (L) × 2 台以上
(*4)
 (*1)：各仮想マシンに、さらに 1 つのデータディスクを追加します。
 (*2)：標準で冗長構成が組めない (サポートされていない) ため、シングル構成となります。

21
 (*3)：さらに 1 つの SQL Server データベース用のデータディスクと、1 つの SQL Server
ログ用のデータディスクを追加します。
 (*4)：組織内のユーザー数が 15,000 を超過する場合は AD FS サーバーを 2 台以上用意し
ます。
 (*5)：AD FS Proxy サーバーは、エンドポイント (HTTPS：443 ポート) の負荷分散を設定
する必要があるため、標準インスタンスで仮想マシンを作成します。
 (*6)：組織内のユーザー数が 15,000 を超過する場合は AD FS Proxy サーバーを最低 2 台
用意します。
展開計画の一部として、これらのガイドラインを最新の製品マニュアルや独自の要件と比較して、
仮想マシンのサイズ選択が適切なことを確認する必要があります。以下のリソースは、容量計画を
支援するために提供されています。
 各サイズの仮想マシンに附属のリソース：「仮想マシン
(http://msdn.microsoft.com/library/azure/jj156003.aspx)」
 仮想マシンの使用可能なサイズとオプション：「Azure の仮想マシンおよびクラウドサービス
のサイズ (http://msdn.microsoft.com/library/azure/dn197896.aspx)」
 ディレクトリ同期：「ディレクトリ同期を準備する (http://technet.microsoft.com/ja-
jp/library/jj151831.aspx)」
 AD FS：
 「フェデレーションサーバーの容量計画 (http://technet.microsoft.com/ja-
jp/library/gg749899.aspx)」
 「 AD FS 2.0 容量計画スプレッドシート (http://www.microsoft.com/en-
us/download/details.aspx?id=2278)」
 SQL Server：「SQL Server 2012 のインストールに必要なハードウェアおよびソフトウェア
(http://technet.microsoft.com/ja-jp/library/ms143506(v=sql.110).aspx」

22
2.4 各サーバーの役割／構成／前提条件
この項では、環境構築に必要な構成、および前提条件を記載します。
各サーバーの役割とシステム要件
この自習書では Windows Server 2012 を対象としています。
サーバー役割システム要件
OS ソフトウェア, その他要件
AD DS ・ユーザーの認証
・ AD FS サーバーへのユーザ
ー情報の提供
Windows Server 2012 ・ドメイン・フォレスト機能
レベル 2003 以上
・混合モード or ネイティブ
モードの機能レベル
・読み取り/ 書き込みドメイ
ンコントローラー (*1)
ディレクトリ同期・ AD 上のオブジェクト (ユー
ザー、グループ、連絡先) を
Office 365 上に片方向の同
期・定期自動更新
Windows Server 2012
※ドメイン参加が必要
・ Windows PowerShell 3.0
・ .NET Framework 3.5/4.5
機能
・ディレクト同期ツール
・ SQL Server 2012
Express SP1 (*2)
・ Forefront Identity
Manager 2010 R2 (*2)
AD FS ・ Office 365 と信頼関係を結
ぶためのトークンを生成し暗
号化を行う
・ Active Directory への認証を
行う
Windows Server 2012
※ドメイン参加が必要
・ Windows PowerShell 3.0
・ AD FS 2.1 (フェデレーシ
ョンサービス)
・ Web サーバー (IIS 8.0)
・ IT プロフェッショナル
用 Microsoft Online
Services サインインア
シスタント
・ Windows PowerShell 用
Windows Azure Active
Directory モジュール
・ SSL 証明書 (*3)
AD FS Proxy ・社外からの Office 365 へ接
続するために、AD FS サーバ
ーに対して Office 365 と信
頼関係を結ぶためのトークン
を代理で発行依頼を行う
・ AD FS サーバーから受け取
ったトークンをクライアント
へ受け渡す
・ AD FS サーバーと連携して
代理認証を行う
Windows Server 2012
※ドメイン参加は不要
・ AD FS 2.1 (フェデレーシ
ョンサービスプロキシ)
・ Web サーバー (IIS 8.0)
・ SSL 証明書 (*3)
 (*1)：各サーバーから AD DS への常時アクセスを確保するために、仮想ネットワーク上にも
ドメインコントローラーのレプリカを設置します。なお、読み取り専用ドメインコントロ
ーラーをディレクトリ同期で使用することはサポートされていません。

23
 (*2)：ディレクトリ同期ツールをインストールすると、自動でインストールされます。
 (*3)：SSL 証明書は自己署名入り証明書ではなく、外部証明機関 (Microsoft によって信頼さ
れている CA) から正規に発行された証明書を利用しなければなりません。(「17.5 対応して
いるルート証明機関」を参照。)
また、ドメイン名「<xxxxx>.cloudapp.net (クラウドサービス DNS 名)」で SSL 証明書
を取得することができません (「cloudapp.net」は Microsoft 管理の CN) ので、注意してく
ださい。
( 「付録 D: Windows Azure での DNS の使用 (http://msdn.microsoft.com/ja-
jp/library/ff803360.aspx)」を参照。)

24
AD DS の構成／前提条件
仮想マシン上に AD FS を展開して、ドメインコントローラーを社内に残すことができますが、こ
の方法はお勧めできません。ドメインコントローラーを AD FS から分離することによって、認
証チェーンに遅延が生じる可能性があります。これによって、この 2 つのサービスにネットワー
ク接続へのリアルタイム依存関係が生じます。 Azure 内部の仮想マシンにドメインコントローラ
ーを配置することによって、このようなリスクが軽減されます。
Azure 内のドメインコントローラーは、別の AD サイトに配置する必要があります。これによ
り、AD レプリケーションの遅延が若干増加します。 AD サイト間の既定のレプリケーション遅延
は 3 時間です。ディレクトリ同期ツールを使用した場合の AD と Office 365 間の既定の同期
スケジュールも 3 時間です。
したがって、レプリケーション遅延が調整されない場合は、Office 365 にレプリケートするために
社内で行われる変更に最大で 6 時間かかる可能姓があります。
仮想マシン上での AD サービスの実行に関する一般的ガイダンスについては、「Azure の仮想マシ
ンでの Windows Server Active Directory のデプロイガイドライン
(http://msdn.microsoft.com/library/azure/jj156090.aspx)」を参照してください。

25
ディレクトリ同期の構成／前提条件
ディレクトリ同期ツールを展開するには、以下の最小要件を満たせなければなりません。
 ディレクトリ同期ツールは Office 365 と統合するフォレスト内のドメインに参加している
コンピューター上にインストールする必要があります。
 このコンピューターをドメインコントローラーにすることはできません。
 ディレクトリ同期ツールを構成するには、エンタープライズ管理者の資格情報が必要です。
以下の表では、ディレクトリ同期の構成は Office 365 にレプリケートするオブジェクト数によっ
て異なることを示します。
社内 AD のオブジェクト
数 (*4)
ディレクトリ同期の構成
50,000 個以下の場合 Microsoft SQL Server 2012 Express SP1 でディレクトリ同期を展開できます。
※ディレクトリ同期ツールの既定のインストールには、 Microsoft SQL Server 2012
Express SP1 のバージョンが含まれます。
50,001 個以上の場合 SQL Server の完全なインスタンスを使用してディレクトリ同期を展開する必要があり
ます。 SQL Server の必須の完全なインスタンスは、Microsoft SQL Server 2012 SP1
です。 (*5)
 (*4)：ディレクトリ同期ツールでレプリケートするオブジェクトは、以下のオブジェクトとな
ります。ここでいうオブジェクト数とは、以下のオブジェクトの合計数となります。
 ユーザー
 配布リスト
 セキュリティグループ
 連絡先
 (*5)：スタンドアロンバージョンの SQL Server が必要な場合は、それをディレクトリ同期
ツールと同じ仮想マシン上に展開する必要があります (ディレクトリ同期ツールを導入する
前にインストールしてください)。これが仮想マシンのサイズを左右する場合があります。ス
タンドアロンバージョンの SQL Server に同期を展開する方法の詳細については、以下の記
事を参照してください。
「SQL Server へのディレクトリ同期ツールのインストール (http://technet.microsoft.com/ja-
jp/library/dn441161.aspx)」
また、以下の構成はサポートされていません。
 ディレクトリ同期ツールとは別のサーバー上に SQL Server を展開する
 ディレクトリ同期ツール用のデータベースとしての Azure SQL データベースを使用する
 Azure AD サービスは、最大 50,000 個のオブジェクトの同期をサポートしています。
50,000 個を超えるオブジェクトをレプリケートするには、クラウドサービスのサポートに
問い合わせてください。

26
 Office 365 では最初の独自ドメイン登録によって、オブジェクト数の上限が 300,000 に自
動拡張されます。オブジェクト数が 300,000 を超えるお客様は引き続きテクニカルサポー
トにお問い合わせください。
 インストールとセットアップが完了すると、完全な同期が直ちに開始されます。初回の同期
後は、3 時間ごとに同期が行われます。なお、この同期頻度は変更することはできません。
ディレクトリ同期ツールを仮想マシン上に展開する場合にサポートされる構成を下の表に示しま
す。
ディレクトリ同期
ホスト
ドメインコントローラーサポート
仮想マシン仮想マシン: 読み取り/書き込みドメインコントローラー ○
仮想マシン仮想マシン: 読み取り専用ドメインコントローラー ×
仮想マシン社内 (仮想ネットワーク経由で接続)
ディレクトリ同期の遅延許容範囲は広く設定されていますが、Azure と社内間の
接続が不安定になる問題が発生すると、Office 365 でディレクトリ同期の機能
停止や、期限切れのデータが発生する可能性があります。
○
非推奨
ディレクトリ同期をセットアップして構成するときには、サーバーをドメインあたり 1 つ以上の
ドメインコントローラーに接続できなければなりません。
ディレクトリ同期の要件と展開に関する詳細については、「ディレクトリ同期を準備する
仮想マシン上での SQL Server の展開に関するガイダンスについては、「Azure の仮想マシンにお
ける SQL Server の概要 (http://msdn.microsoft.com/library/azure/dn133151.aspx)」を参
照してください。
ディレクトリ同期は OS ディスク (C ドライブ) にインストールするのではなく、別途データデ
ィスク (*6) を追加して、そのディスクにインストールします。このディスクに必要な容量は
Office 365 にレプリケートするオブジェクト数によって異なります。以下の表は、最小の推奨要
件を示します。
社内 AD のオブジェクト数 (*4) データディスクの容量
10,000 個未満 70 GB
10,000 ～ 50,000 個 70 GB
50,001 ～ 100,000 個 (*7) 100 GB
100,001 ～ 300,000 個 (*7) 300 GB
300,001 ～ 600,000 個 (*7) 450 GB
600,001 個以上 (*7) 500 GB
 (*6)：ディスクを追加する際に指定する [ホストキャッシュ設定] は「なし」を指定します。
 (*7)：SQL Server の完全なインスタンスを使用してディレクトリ同期を展開する必要があり
ます。
なお、この自習書では、同梱されている SQL Server 2012 Express SP1 にて対応する手順を記
載しています。

27
AD FS, AD FS Proxy の構成／前提条件
AD FS サービスの最良の可用性を実現するために、AD FS サーバーと AD FS Proxy サーバーを
それぞれ 2 台以上で展開します。そのため、AD FS の構成は、サーバーファームで構築します。
上の図では、AD FS 構成データベースとして、WID または SQL Server を用いた場合の AD FS
の構成を示しています。 AD FS 構成データベースとして WID を用いた場合は AD FS サーバー
5 台までをサポートします。 AD FS サーバーが 6 台以上になる場合は、SQL Server (完全なイ
ンスタンス) に変更してください。 (DB の可用性を向上させるため、クラスターを構成すること
を推奨)
仮想マシン上での SQL Server の展開に関するガイダンスについては、「Azure の仮想マシンにお
ける SQL Server の概要 (http://msdn.microsoft.com/library/azure/dn133151.aspx)」を参
照してください。
ただし、AD FS サーバー構築後に構成データベースを WID から SQL Server に変更することが
できないため、その場合は AD FS サーバーを再構築する必要があります。
AD FS サーバーの冗長化は、Azure ではネットワーク負荷分散 (NLB) がサポートされていないた
め、社内 DNS サーバーのラウンドロビン機能によって実現します。
ただし、この機能で返される IP アドレスは、あくまでも DNS サーバーに登録されている情報で
あり、実際にその IP アドレスのサーバーがアクセスできるか否かは、DNS サーバーでは関知し
ていません。
なお、この自習書では AD FS の構成データベースは同梱されている WID にて対応する手順を説
明います。また、AD FS サーバーの冗長化は DNS のラウンドロビン機能を用いた手順を説明し
ています。

28
以下の表では、組織内のユーザー数による AD FS、AD FS Proxy サーバーの構成を示します。
ユーザー数推奨される構成
15,000 ユーザー
以下
・冗長化された専用 AD FS サーバー A1 (S) × 2 台を用意
 AD FS 構成データベースは WID を利用
・冗長化された専用 AD FS Proxy サーバー A1 (S) × 2 台を用意
15,001 ～ 50,000
ユーザー
・冗長化された専用 AD FS サーバー A2 (M) × 2 台以上を用意
・冗長化された専用 AD FS Proxy サーバー A2 (M) × 2 台を用意
50,001 ユーザー
以上
・冗長化された専用 AD FS サーバー A3 (L) × 2 台以上を用意
・冗長化された専用 AD FS Proxy サーバー A3 (L) × 2 台以上を用意
 信頼できる証明機関から、ローカル AD ドメイン名前空間に対して発行された共通名を含む
証明書を取得します。この証明書によって、AD FS Proxy をセットアップできるようになり
ます。
 AD は Windows Server 2003 以降で、混在モードまたはネイティブモードの機能レベルで
展開し実行します。
 クライアント PC (Windows 8.1 / 8 / 7 / Vista) にはオペレーティングシステムの最新の更
新プログラムを実行してください。
 AD FS Proxy サーバーは、ユーザーが会社のネットワークの外部から接続している場合、ま
たは OWA 以外のメールクライアント (Outlook 、 POP/IMAP メーラーなど ) から
Exchange Online に接続する必要がある展開する必要があります。

29
STEP 3. 認証フロー
Web ブラウザーからのアクセスにて認証を行う際、アクセス元の環境 (社内・社
外) に応じて認証フローが異なります。
この STEP では、社内外で Web ブラウザーおよびメールクライアントからアク
セスした時の認証フローについて説明します。
 Web ブラウザーからのアクセス (社内)
 Web ブラウザーからのアクセス (社外)
 その他のアクセス (Exchange Online)
 フェデレーション ID 利用時のアクセス

30
3.1 Web ブラウザーからのアクセス (社内)
Office 365 ポータル, Outlook Web App, SharePoint Online, Lync の場合
① ユーザーが Office 365 にアクセス
② 認証には MFG から発行されたサービスチケットが必要なため、ユーザーのアクセスを MFG
にリダイレクト
③ サービスチケット発行には AD FS で署名されたログオントークンが必要なため、AD FS の
URL を送信
④ ユーザーは社内の DNS サーバーを参照し、AD FS に接続
⑤ AD DS に接続し、ログオントークン作成に必要なデータを収集
⑥ AD FS がログオントークンを作成し、ユーザーに送信
⑦ ユーザーがログイントークンを MFG に送信
⑧ 信頼している AD FS で署名されたログオントークンであることを確認し、ユーザーにサー
ビスチケットを返信
⑨ サービスチケットを Office 365 に送信し、認証が完了

31
3.2 Web ブラウザーからのアクセス (社外)
Office 365 ポータル, Outlook Web App, SharePoint Online, Lync の場合
① ユーザーが Office 365 にアクセス
② 認証には MFG から発行されたサービスチケットが必要なため、ユーザーのアクセスを MFG
にリダイレクト
③ サービスチケット発行には AD FS で署名されたログオントークンが必要なため、AD FS の
URL を送信
④ ユーザーは社外の DNS サーバーを参照し、AD FS Proxy 経由で AD FS に接続
⑥ AD FS がログオントークンを作成し、AD FS Proxy 経由でユーザーに送信
⑦ ユーザーがログイントークンを MFG に送信
⑧ 信頼している AD FS で署名されたログオントークンであることを確認し、ユーザーにサー
ビスチケットを返信
⑨ サービスチケットを Office 365 に送信し、認証が完了

32
3.3 その他のアクセス (Exchange Online)
POP, IMAP, ActiveSync, Outlook, EWS の場合
Note：この場合の認証フローについて
社内からのアクセス、社外からのアクセスとも同じフローとなります。
① ユーザーが Office 365 にアクセス (AD の認証情報が保存されていなければ認証画面が表示
される)
② MFG にリダイレクト先の AD FS の URL を確認
③ 社外の DNS サーバーを参照して AD FS Proxy に接続し、AD の認証情報を送信
④ AD FS に接続してログイントークンを要求
⑥ AD FS がログオントークンを作成し、AD FS Proxy に返信
⑦ AD FS Proxy が Office 365 にログイントークンを送信
⑧ MFG にログイントークンを送信し、サービスチケットを取得
⑨ 認証が完了し、ユーザーにサービスの提供を開始

33
3.4 フェデレーション ID 利用時のアクセス
各サービス、およびアプリケーション利用してアクセスする際の認証方法は、以下のとおりです。
社内ネットワーク社外ネットワーク
ドメイン参加 PC ドメイン不参加 PC ドメイン参加 PC ドメイン不参加 PC
Outlook Web App シングルサインオ
ン
・AD FS 接続時、認
証情報を入力
・AD FS Proxy 接続時、認証情報を入力
Outlook Outlook 起動時に認証情報を入力
(資格情報を保存することで次回以降の入力が不要)
Office 365 ポータル・サインイン画面で
ID を入力
・サインイン画面で
ID を入力
・AD FS 接続時、認
証情報を入力
・サインイン画面で ID を入力
・AD FS Proxy 接続時、認証情報を入力
SharePoint Online
Lync Online シングルサインオ
ン
認証情報を入力シングルサインオン認証情報を入力

34
STEP 4. 全体の構築手順
この STEP では、これから導入する環境の構築の流れについて説明します。
 全体の構築手順

35
4.1 全体の構築手順
構築手順は以下のとおりです。上から順に作業を実施していきます。
STEP
大項目項中項目作業場所
Office
365
Azure 社内社外
5 Office 365 へ
ドメインの追
加、およびドメ
インの確認
1 ドメインの追加 ○
2 ドメイン登録情報の変更 ○:DNS
3 ドメインの所有確認 ○
4 ドメインの目的を設定 ○ ○:DNS
6 VPN 接続、お
よび接続状態
の確認
1 仮想ネットワークの作成 ○:VNET
2 仮想ゲートウェイの作成 ○:VNET
3 社内ネットワークの構成 ○:DEV
7 ストレージア
カウントの作
成
1 ストレージアカウントの設定 ○:ST
(8)
9
AD DS サーバ
ーのセットア
ップ、および動
作確認
1 AD DS のインストール ○:VM
2 ドメインコントローラーへの昇
格
○:VM
3 サイトとサブネットの作成 ○:VM
4 初期レプリケートの完了 ○:VM
5 仮想ネットワークへの DNS サ
ーバーの追加設定
○:VNET
6 NTP に関する注意点
7 2 台目以降の AD DS を構築す
る際のポイント
(8)
10
ディレクトリ
同期サーバー
のセットアッ
プ、および同期
の確認
1 UPN サフィックスの追加 ○:AD
2 AD ユーザーの登録情報を確認 ○:AD
3 ディレクトリ同期の有効化 ○
4 ディレクトリ同期ツール関連の
インストール
○:VM
5 ディレクトリ同期ツールのセッ
トアップ(同期の実行)
○:VM
6 ディレクトリ同期の動作確認 ○ ○:VM
7 同期したユーザーのアクティブ
化
○
(8)
11
AD FS サーバ
ーのセットア
ップ、およびフ
ェデレーショ
ンの確認
1 AD FS 2.1 関連をインストール ○:VM
2 サーバー証明書をインポートと
設定
○:VM
3 社内 DNS の設定 ○:DNS
4 AD フェデレーション用サー
ビスアカウントの作成
○:AD
5 フェデレーションサーバーの設
定
○:VM
6 2 台目以降のフェデレーション
サーバーの設定
○:VM

36
STEP
Office
365
Azure 社内社外
(8)
11
AD FS サーバ
ーのセットア
ップ、およびフ
ェデレーショ
ンの確認
※前ページの
続き
7 IT プロフェッショナル用
Microsoft Online Services サイ
ンインアシスタントをインスト
ール
○:VM
9 Windows PowerShell 用
Directory モジュールのインス
トール
○ ○:VM
10 フェデレーションドメインの有
効化
○:VM
11 ローカルイントラネットゾー
ンへのサイトの登録
○:PC
12 フェデレーション環境の動作確
認
○:VM ○:PC
(8)
12
AD FS Proxy
サーバーのセ
ットアップ、お
よび動作確認
1 AD FS 2.1 関連をインストール ○:VM
2 サーバー証明書をインポートと
設定
○:VM
3 エンドポイント HTTPS を作成 ○:VM
4 社外 DNS の設定 ○:DNS
5 フェデレーションサーバープ
ロキシの設定
○:VM
6 AD FS Proxy サーバーの動作確
認
○:VM ○:PC
【STEP.9 ～ 12 の事前作業】
STEP
Office
365
Azure 社内社外
8 仮想マシンの
作成
1 仮想ネットワークへの DNS サ
ーバーの設定
○:VNET
2 仮想マシンの作成 ○:VM
3 仮想マシンへのリモートデスク
トップ接続
○:VM
4 日本語化 ○:VM
5 タイムゾーン ○:VM
6 Windows Update の設定 ○:VM
7 ディスクの追加 ○:VM
8 ドメインへの参加 ○:VM

37
Note：凡例
・ DNS … DNS サーバー
・ VNET …仮想ネットワーク
・ DEV …VPN デバイス
・ ST …ストレージアカウント
・ VM …仮想マシン
・ AD … AD DS サーバー
・ PC …クライアント PC

38
STEP 5. Office 365 へドメインの追加、
およびドメインの確認
この STEP では、Office 365 で利用するドメインを Office 365 の管理センタ
ーから追加する手順について説明します。
この手順を実施することで、ドメインの所有者の確認が行われ、以下のサービス
が現在使用しているドメイン名で利用する準備が整います。
 Active Directory フェデレーションサービス
 ディレクトリ同期
 Microsoft Exchange Online
 Microsoft SharePoint Online
 Microsoft Lync Online
 ドメインの追加
 ドメイン登録情報の変更
 ドメインの所有確認
 ドメインの目的を設定

39
5.1 ドメインの追加
1. Office 365 管理者アカウントで「Office 365 管理センター」にサインインします。
2. [管理者の概要] ページの左側にある [ドメイン] をクリックします。
3. [ドメイン] ページが開きます。ドメイン一覧にある [ドメインの追加] をクリックします。

40
4. [ドメインのセットアップ] ページが開きます。 [ドメイン名を指定し、所有権を確認する] ま
たは [手順 1 を開始する] をクリックします。
5. [1. ドメイン名の指定] ページが開きます。ドメイン名 (例：azurestudy.jp) を入力し、[次
へ] をクリックします。

41
6. [2. 所有権の確認] ページが開きます。赤枠のドロップダウンリストからドメイン登録情報
を管理している DNS ホスティングプロバイダーを選択する (無い場合は「一般的な手順」
を選択) と、TXT レコードの情報 (エイリアス、またはホスト名) が表示されます。
Note：注意事項
この時点で [完了しました。今すぐ確認してください。] をクリックしても、TXT レコードの登録が
済んでいないので、エラーが表示されます。ドメイン登録情報を管理している DNS にこのページで
指定されている TXT レコードを追加して下さい。

42
5.2 ドメイン登録情報の変更
1. ドメイン登録情報を管理している DNS に「5.1 ドメインの追加」の手順 6 で指定されてい
る TXT レコードを追加してください。
Note： TXT レコードについて
今回のドメイン「azurestudy.jp」では、外部 DNS 上に以下の TXT レコードを追加しています。
azurestudy.jp MS=ms12345678
※ 数字部分 (12345678) はドメインによって異なります。
2. 手順 1 の登録情報の変更が反映されるまで待ちます。

43
5.3 ドメインの所在確認
ドメインの所在確認
1. 「5.2 ドメイン登録情報の変更」で追加した TXT レコードが反映されたら、「5.1 ドメイン
の追加」の手順 6 の [2. 所有権の確認] ページで [完了しました。今すぐ確認してくださ
い。] をクリックします。
Note：サインアウトしてしまった場合
「Office 365 管理センター」からサインアウトしてしまった場合は、再び Office 365 管理者アカウ
ントにて「Office 365 管理センター」にサインインして、当ページを開いてください。
2. [ドメインの確認中] 画面が表示されます。

44
Note：確認 DNS レコードが見つかりません
画面が以下のようになった場合は、「5.2 ドメイン登録情報の変更」で登録した情報がまだ反映されて
いませんので、しばらく経ってから再度実行してください。
3. 「azurestudy.jp を所有していることを確認しました。」とメッセージが表示されます。 [完
了] をクリックします。

45
ユーザーの追加とライセンスの割り当て
4. 手順 3 後、[ドメインのセットアップ] ページに戻ります。 [ユーザーの追加とライセンスの
割り当て] または [手順 2 を開始する] をクリックします。
5. Office 365 のユーザーの追加は、後述する「STEP 10. ディレクトリ同期サーバーのセットア
ップ、および同期の確認」にて実施するので、[今はユーザーを追加しません。] を選択して
[次の手順] をクリックします。

46
5.4 ドメインの目的を設定
1. [ドメインのセットアップ] ページに戻り、[ドメインの目的を設定し、DNS を構成する] また
は [手順 3 を開始する] をクリックします。
2. [ドメインの目的を設定する] ページが開きます。 [Exchange Online: 組織内のユーザーに
@azurestudy.jp の電子メールアドレスを取得させます。] チェックボックスにチェックが
付いていることを確認します。チェックが付いていない場合は、チェックを付けて [次へ] を
クリックします。

47
Note：ドメインの目的を設定
AD FS でサインインできるかのみを確認する場合は、ドメインの目的をチェックしないで進ませるこ
ともできます。
3. 必要な DNS レコードが表示されます。ドメイン登録情報を管理している DNS に必要なレ
コードを追加して下さい。
Note：ドメインの目的を設定
MX レコードなどの追加ができない場合でもドメインは利用できるので、AD FS の設定を進めること
ができます。
4. 手順 3 の登録情報の変更が反映されるまで待ちます。
5. 再び、手順 3 のレコードが表示されている画面に戻り、[完了しました。確認してください]
をクリックします。

48
6. 「完了しました。azurestudy.jp と選択した Office 365 サービスを連動させる準備が整いま
した。」とメッセージが表示されます。 [完了] をクリックします。
7. [ドメイン] ページに戻り、追加したドメインの状態が「アクティブ」になっていることを確認
します。

49
※ ドメインの状態について
状態説明
セットアップが進行中ですドメインがテナントに有効になりましたが、追加された手順を実行して
いません。作業を完了する場合、[ドメインの追加] ページの [手順 3
ドメインの目的を設定し、DNS を構成する] を行います。
この状態は、DNS の構成エラー、または DNS レコードの更新が終了
していない場合にも表示されることがあります。
アクティブドメインが正常に追加され、ドメインを所有していることが Office
365 により確認されました。ドメインが [アクティブ] 状態となって
いる場合、電子メールアドレスの作成を開始して、そのドメインを必要
とする他の機能を使用できます。
削除待ち Office 365 により、ドメインの削除が開始されましたが、削除処理が完
了していないか、ドメインの削除中に問題がありました。この状態が解
決されない場合は、ドメインをもう一度削除してみてください。
Note：他のサービスとも連動する場合
この後、他のサービスとも連動するように Office 365 を構成する場合は、必要に応じてレコードを DNS
に登録してください。

50
STEP 6. VPN 接続の設定
この STEP では、VPN 接続のために仮想ネットワーク、仮想ゲートウェイの作成
について説明します。
 仮想ネットワークの作成
 仮想ゲートウェイの作成
 社内ネットワークの構成

51
6.1 仮想ネットワークの作成
仮想ネットワークは、仮想マシンを社内ネットワークへ接続し、社内のコンピューターのように操
作することができます。仮想ネットワークの接続形態には、「サイト間 VPN」と「ポイント対サイ
ト VPN」があります。ここでは、サイトとサイトを接続する「サイト間 VPN」を作成します。
1. Azure 管理ポータルにサインインします。
2. 画面左側のメニューから [ネットワーク] をクリックして画面左下の [＋新規] をクリックし
ます。

52
3. [ネットワークサービス] > [仮想ネットワーク] > [カスタム作成] をクリックします。
4. [仮想ネットワークの作成] ウィザードが表示されます。以下、ウィザードに従って操作して
いきます。
[仮想ネットワークの詳細] ページにて下の表のとおり指定して右下の [→] をクリックしま
す。
項目設定値
名前「tokyo-nw」を入力
場所「日本 (東)」を選択

53
[DNS サーバーおよび VPN 接続] ページにて [サイト間 VPN の構成] チェックボックスにチ
ェックを付けて右下の [→] をクリックします。
Note： DNS サーバーについて
DNS サーバーを設定することによって、Azure 上に構築した仮想マシンに DNS サーバーの設定が DHCP で払
い出しされます。 DNS サーバーの IP アドレスが決まっていない場合は、後から設定することも可能です。
[サイト間接続] ページにて下の表のとおり指定して右下の [→] をクリックします。

54
項目設定値
名前「local-nw」を入力
VPN デバイスの IP アドレス <プロバイダーから割り当てられた WAN 側の IP アドレス>を入力
アドレス空間開始 IP 「192.168.118.0」を入力
CIDR (アドレス数) 「/24 (256)」を選択
[仮想ネットワークアドレス空間] ページにて下の表とおり指定します。
項目設定値
名前「tokyo-Subnet1」を入力
サブネットの開始 IP 「10.1.1.0」を入力
CIDR (アドレス数) 「/24 (256)」を選択
引き続き、 [ゲートウェイサブネットの追加] をクリックします。サブネットの行に [ゲート
ウェイ] が追加されますので、[ゲートウェイの開始 IP] を入力し、[ゲートウェイの CIDR (ア
ドレス数)] を選択します。 (今回はデフォルト値を使用します。) 入力および選択が終わった
ら、右下の [チェック] をクリックします。

55
5. [仮想ネットワーク] ページに戻ります。作成中の仮想ネットワークがリストに表示されます。
右下に作成中であることを示すアイコンが表示されます。

56
6. 「仮想ネットワーク “tokyo-nw“ が正常に作成されました。」とメッセージが表示されたら、
[OK] チェックをクリックしてメッセージを閉じます。

57
6.2 仮想ゲートウェイの作成
1. 作成した仮想ネットワーク [tokyo-nw] をクリックします。
2. [ダッシュボード] タブをクリックします。

58
3. [ダッシュボード] ページにて画面下部の [+ゲートウェイの作成] をクリックします。
4. [静的ルーティング/動的ルーティング] のリストが表示されます。今回は [静的ルーティン
グ] をクリックします。

59
5. 画面下部に「仮想ネットワーク ”tokyo-nw” にゲートウェイを作成しますか？」のメッセー
ジが表示されるので、[はい] をクリックします。
6. [ダッシュボード] ページに戻ります。右下に作成中であることを示すアイコンが表示されま
す。

60
7. 「仮想ネットワーク “tokyo-nw“ のゲートウェイが正常に作成されました。」とメッセージが
表示されたら、[OK] をクリックしてメッセージを閉じます。

61
6.3 社内ネットワークの構成
社内ネットワークの構成
Azure と接続するための VPN 機器の設定を行います。
Note： VPN 機器関連の参照先
 VPN 接続検証済みルーター一覧
http://msdn.microsoft.com/ja-jp/windowsazure/dn132612.aspx
 一般的な VPN 機器の必須要件と Cisco 社と Juniper 社のルーターについては、こちらをご確認く
ださい
http://msdn.microsoft.com/en-us/library/windowsazure/jj156075.aspx
社内ネットワークの構成手順
社内ネットワークの作成手順については、別途自習書「企業内システムと Microsoft Azure の VPN
接続」の「STEP８. ASA の設定」をご参照ください。

62
STEP 7. ストレージアカウントの作成
この STEP では、仮想マシンを作成するために必要なストレージアカウントの作
成について説明します。
 ストレージアカウントの設定

63
7.1 ストレージアカウントの設定
ストレージアカウントは Azure のストレージを使用するために必要なアカウントです。事前にス
トレージアカウントを作成せずに仮想マシンを作成することも可能ですが、その場合、ランダムな
名称が用いられます。
今後の管理の面なども考慮してこの自習書では、仮想マシンを作成する前に明示的にストレージア
カウントを作成します。
2. 画面左側のメニューから [ストレージ] をクリックし、画面左下の [+新規] をクリックしま
す。

64
3. [データサービス] > [ストレージ] > [簡易作成] の順にクリックします。
さらに、上記画面の右側の入力項目に下の表のとおり指定して右下の [ストレージアカウント
の作成] をクリックします。
項目設定値
URL 「azurestudy」を入力
場所/アフィニティグループ「日本（東）」を入力
レプリケーション「ジオ (主要地域) 冗長」を選択

65
4. ストレージアカウントが作成されると [状態] が [オンライン] になります。

66
STEP 8. 仮想マシンの作成
この STEP では、仮想マシンを作成するための手順について説明します。
 仮想ネットワークへの DNS サーバーの設定
 仮想マシンの作成
 仮想マシンへのリモートデスクトップ接続
 日本語化
 タイムゾーン
 Windows Update の設定
 ディスクの追加
 ドメインへの参加

67
8.1 仮想ネットワークへの DNS サーバーの設定
Azure 上に構築した仮想マシンへの IP の払い出しと DNS サーバーの払い出しも DHCP によ
って行われます。 DNS サーバーの IP 設定は手動でも設定することは可能ですが、特別な理由が
ない限り DHCP で DNS サーバー (AD DS) の IP を払い出せるようにしておくことをお勧めし
ます。
DNS サーバーの登録
2. 画面左側のメニューから [ネットワーク] をクリックします。 [ネットワーク] ページが表示
したら、[DNS サーバー] タブをクリックします。
3. [DNS サーバーの登録] をクリックします。

68
4. ページが下図のように表示されます。下の表とおり指定して右下の [DNS サーバーの登録]
項目設定値
名前「OPSTADDS01」を入力
DNS サーバーの IP アドレス「192.168.118.160」を入力
5. 登録処理後、手順 3 のページに戻り、DNS サーバーが登録されたことが確認できます。

69
DNS サーバーの追加
6. [ネットワーク] ページの [仮想ネットワーク] タブをクリックします。
7. 「tokyo-nw」をクリックします。
8. [構成] タブをクリックします。

70
9. 手順 5 で登録された DNS サーバーをプルダウンから選択します。
変更等が入った箇所の DNS サーバー (AD DS) 名の左に紫のバーが表示されます。今回は
1 つ新規に追加したため、下図のように表示されています。
10. 画面下部の [保存] をクリックします。
※ 手順 9 を実施すると表示されます。
11. DNS サーバーの設定を変更する際、一時的にネットワークが切断されることがあるため、そ
の警告が表示されます。 [はい] をクリックします。
[はい] をクリック後、以下のように更新中のメッセージが表示されます。更新が完了するま
で待ちます。

71
12. 更新が完了すると、以下のようなメッセージが表示されます。
13. 設定が確定すると、DNS サーバー (AD DS) 名の左に表示されていた紫のバーが消えます。

72
8.2 仮想マシンの作成
各サーバーのベースとなる仮想マシンを作成します。
なお、この項の説明で出てくる項目の設定値は、「2.2 今回構築するシステム構成」の「仮想マシ
ン」も併せてご参照ください。
2. 画面左側のメニューから [仮想マシン] をクリックし、画面左下の [+新規] をクリックしま
す。
3. [コンピューティング] > [仮想マシン] > [ギャラリーから] の順にクリックします。

73
4. [仮想マシンの作成] ウィザードが表示されます。以下、ウィザードに従って操作していきま
す。
[イメージの選択] ページにてインストールする OS を選択します。今回は [Windows
Server 2012 Datacenter] を選択します。そして、右下の [→] をクリックします。
[仮想マシンの構成 (2 ページ目)] ページにて下の表のとおり指定して右下の [→] をクリッ
クします。

74
項目 AD DS ディレクトリ同期
バージョンのリリース日特に要件が無ければ、最新のリリース日を選択
仮想マシン名 AZSTADDS01 AZSTADDS02 AZSTDIRSYNC01
階層「標準」を選択
サイズ A1 (1 コア、1.75 GB メモリ) A2 (2 コア、3.5 GB メモリ)
新しいユーザー名 studyadmin
新しいパスワード / 確認 studyP@ss
項目 AD FS AD FS Proxy
バージョンのリリース日特に要件が無ければ、最新のリリース日を選択
仮想マシン名 AZSTADFS01 AZSTADFS02 AZSTPROXY01 AZSTPROXY02
階層「標準」を選択
サイズ A1 (1 コア、1.75 GB メモリ)
新しいユーザー名 studyadmin
新しいパスワード / 確認 studyP@ss
[仮想マシンの構成 (3 ページ目)] ページにて下の表のとおり指定して右下の [→] をクリッ
クします。

75
項目 AD DS ディレクトリ同期
(仮想マシン名) (AZSTADDS01) (AZSTADDS02) (AZSTDIRSYNC01)
クラウドサービス「新しいクラウドサービ
スの作成」を選択
「AZSTADDS」を選択「新しいクラウドサービ
スの作成」を選択
DNS
「AZSTADDS」を入力 N/A 「AZSTDIRSYNC」を入力
地域/アフィニティグ
ループ/仮想ネットワ
ーク
「tokyo-nw」を選択
※「STEP 6. VPN 接続の設定」で作成した仮想ネットワーク
仮想ネットワークサ
ブネット
「tokyo-Subnet1」を入力
※「STEP 6. VPN 接続の設定」で作成したサブネット
ストレージアカウン
ト
「azurestudy」を選択
※「STEP 7. ストレージアカウントの作成」で作成したストレージアカウント
可用性セット「可用性セットの作成」を
選択
「AZSTADDS-AS」を選択「(なし)」を選択
可用性セット名「AZSTADDS-AS」を入力 N/A N/A
項目 AD FS AD FS Proxy
(仮想マシン名) (AZSTADFS01) (AZSTADFS02) (AZSTPROXY01) (AZSTPROXY02)
クラウドサービス「新しいクラウド
サービスの作成」を
選択
「AZSTADFS」を選
択
「新しいクラウド
サービスの作成」を
選択
「AZSTPROXY」を
選択
DNS 名
「AZSTADFS」を入
力
N/A 「AZSTPROXY」を
入力
N/A
地域/アフィニティグ
ループ/仮想ネットワ
ーク
「tokyo-nw」を選択
※「STEP 6. VPN 接続の設定」で作成した仮想ネットワーク
仮想ネットワークサ
ブネット
「tokyo-Subnet1」を入力
※「STEP 6. VPN 接続の設定」で作成したサブネット
ストレージアカウン
ト
「azurestudy」を選択
※「STEP 7. ストレージアカウントの作成」で作成したストレージアカウント
可用性セット「可用性セットの
作成」を選択
「AZSTADFS-AS」
を選択
「可用性セットの
作成」を選択
「AZSTPROXY-
AS」を選択
可用性セット名「AZSTADFS-AS」
を入力
N/A 「AZSTPROXY-
AS」を入力
N/A
Note：エンドポイント
エンドポイントは、インターネットに対して公開するサービス (ポート) と仮想マシンのサービス
(ポート) の紐付けを設定することができます。仮想マシンを作成した後でも追加、編集、削除するこ
とができます。
なお、リモートデスクトップと PowerShell のエンドポイントについてはセキュリティ対策の一環と
して、不要な場合はこれらを削除しておくことをお勧めします。

76
[仮想マシンの構成 (4 ページ目)] ページにて [VM エージェントのインストール] チェッ
クボックスにチェックを付けて右下の [チェック] をクリックします。
5. 仮想マシンが作成されると [状態] が [実行中] になります。

77
8.3 仮想マシンへのリモートデスクトップ接続
オンプレミス上の端末から作成した仮想マシンにリモートデスクトップを使って接続します。
Azure で作成した仮想マシンはデフォルトでリモートデスクトップ接続が有効になっています。
1. [PowerShell] もしくは [コマンドプロンプト] を起動し、以下のコマンドを入力し、[Enter]
キーを押下します。
mstsc
2. [リモートデスクトップ接続] 画面が開きます。 [コンピューター] に対象の仮想マシンの内
部 IP アドレスを入力して [接続] ボタンをクリックします。

78
Note：仮想マシンの IP アドレスは DHCP で払い出される
Azure 上の仮想マシンには基本的に DHCP で払い出されます。
また、IP アドレスが分からなくなった場合には、Azure 管理ポータルから [仮想マシン] > 「対象の
仮想マシン名」をクリック > [ダッシュボード] の右側にある [概要] でも確認できます。
3. [別のアカウントを使用] をクリックし、[ユーザー名] に「studyadmin」を入力、[パスワー
ド] に「studyP@ss」を入力し、[OK] ボタンをクリックします。

79
4. セキュリティ証明書の確認エラーが表示される場合は [はい] ボタンをクリックします。
5. 仮想マシンに接続されます。

80
8.4 日本語化
Azure で作成される仮想マシンの言語は既定で英語になっているため日本語化を行います。以下
の手順は各仮想マシンで実施します。
1. デスクトップ画面左下にマウスカーソルを移動し、[Start] を表示させてそれをクリックしま
す ([Windows] キー押下でも可)。
2. スタート画面にて [Control Panel] タイルをクリックします。

81
3. [Control Panel] 画面が開きます。 [Clock, Language, and Region] にある [Add a
language] をクリックします。
4. [Language] 画面が開きます。 [Add a language] をクリックします。

82
5. [Add language] 画面の右のスクロールバーを下にスクロールし、[日本語] を選択して
[Add] をクリックします。
6. [Language] 画面に戻り、[日本語] を選択して [Move up] をクリックします。

83
7. [日本語] の [Options] をクリックします。
8. [Language options] 画面が開きます。 [Download and install language pack] をクリッ
クします。

84
9. [Download and Install Updates] 画面が開いてインストールが介します。インストールが
完了するまで待ちます。環境にもよりますが、30 分程度かかります。
10. [Installation complete] 画面が表示されたら、[Close] ボタンをクリックします。

85
11. 次に、場所 (Location) を変更し、サインイン画面の日本語化や PowerShell やコマンドプロ
ンプトで日本語が使えるように設定を変更します。
[Language] 画面に戻り左下の [Location] をクリックします。
12. [Region] 画面が開きます。[Location] タブを開き、[Home location] で「Japan」を選択し
ます。

86
13. [Region] 画面にて [Administrative] タブを開き、[Copy settings] ボタンをクリックしま
す。
14. 場所と言語の変更を適用するか確認のウィンドウが開きます。 [Apply] ボタンをクリックし
ます。

87
15. [Welcome screen and new user accounts settings] 画面が開きます。
画面下部の [Welcome screen and system accounts (「ようこそ画面」の日本語化)]、[New
user accounts (ユーザー追加時のデフォルト言語 (および場所) の日本語化)] チェックボッ
クスにチェックを付けて [OK] ボタンをクリックします。
16. OS 再起動を薦めるウィンドウが開きますが、続けて作業を行うため [Cancel] ボタンをクリ
ックします。

88
17. [Region] 画面に戻って [Administrative] タブを開き、[Change system locate] ボタンを
18. [Region Settings] 画面が開きます。 [Current system locate] で「Japanese (Japan)」を
選択して [OK] ボタンをクリックします。

89
19. OS 再起動を薦めるウィンドウが開きます。 [Restart now] ボタンをクリックして OS を再
起動します。
20. 再起動後、対象の仮想マシンにサインインしなおすと、日本語が適用されます。

90
8.5 タイムゾーン
既定では世界標準時 (UTC) となっているためこれを日本標準時に変更します。
1. デスクトップ画面右下の時計をクリックします。
2. [日付と時刻の設定の変更] をクリックします。
3. [日付と時刻] 画面にて [タイムゾーンの変更] ボタンをクリックします。

91
4. [タイムゾーンの設定] 画面にて [タイムゾーン] から「(UTC+09:00) 大阪、札幌、東京」
を選択して [OK] ボタンをクリックします。
5. [日付と時刻] 画面に戻り、タイムゾーンが変更されたことを確認して [OK] ボタンをクリッ
クして閉じます。

92
8.6 Windows Update の設定
Windows Update を行い、サーバーを最新の状態にします。また、Windows Update が自動で
実行されないように設定します。これは、Windows Update 後の自動再起動を抑止するとともに、
アップデート適用の管理を管理者にて意識的に行うようにするためとなります。
1. [サーバーマネージャー] を開きます。
2. 画面左側の [ローカルサーバー] をクリックします。
3. 画面をスクロールし、[Windows Update を使用して更新プログラムを自動的にインストー
ルする] をクリックします。

93
4. 更新プログラムがある場合にはインストールおよび OS 再起動後に、更新プログラムが特に
ない場合には [設定の変更] をクリックします。
5. [重要な更新プログラム] から「更新プログラムを確認しない (推奨されません)」を選択し、
[OK] ボタンをクリックします。

94
6. [更新プログラムを確認しない] になっていることを確認します。
Note： Windows Update について
なお、章の始めにも記載したとおり、この設定は Windows Update を行わないことを推奨するものでは
なく、意図しない再起動を抑止するための設定となります。サービスとして本運用を行う際には適宜アップ
デートを行うよう運用設計を行ってください。

95
8.7 ディスクの追加
Note：ディスクを追加する仮想マシン
この作業を行う仮想マシンは以下のとおりです。
 AD DS サーバー ([AZSTADDS01]、[AZSTADDS02])
 ディレクトリ同期サーバー ([AZSTDIRSYNC01])
Azure 管理ポータルでの作業
2. 画面左側のメニューから [仮想マシン] をクリックして対象の仮想マシンを選択します。
3. 画面下部の [ディスクの接続] をクリックして [空のディスクの接続] をクリックします。

96
4. [サイズ (GB)] に「1023」を入力し、[ホストキャッシュ機能] が「なし」になっていること
を確認して右下の [チェック] をクリックします。
Note：ディスクのサイズについて
AD DS サーバーに追加するディスクのサイズは、1023 GB とします。
ディレクトリ同期サーバーに追加するディスクのサイズは、「2.4 各サーバーの役割／構成／前提条
件」の「ディレクトリ同期の構成／前提条件」を参考に指定します。

97
5. ディスクの作成と追加が始まると対象の仮想マシンの状態が [実行中 (更新中)] になります。
追加が完了すると [実行中] になります。

98
仮想マシンで追加したディスクのフォーマット
Azure 管理ポータルで追加しただけでは使用できません。追加したディスクを仮想マシン上でフ
ォーマットし、仮想マシンで利用できるようにします。
6. ローカル管理者アカウントで対象の仮想マシンにサインインします。
7. [サーバーマネージャー] を開きます。
8. [ツール] メニュー > [コンピューターの管理] をクリックします。

99
9. 左ペインから [コンピューターの管理 (ローカル)] > [記憶域] > [ディスクの管理] をクリッ
クします。
10. [ディスクの初期化] 画面が開きます。 [ディスク 2] にチェックが付いていることを確認し
ます。
[MBR] (任意のスタイル) を選択して [OK] ボタンをクリックします。

100
11. 追加したディスクが認識されていることを確認します。
12. [未割り当て] を右クリックして [新しいシンプルボリューム] をクリックします。
13. [新しいシンプルボリュームウィザード] が表示されます。以下、ウィザードに従って操作
していきます。

101
[開始] 画面にて [次へ] ボタンをクリックします。
[ボリュームサイズの指定] 画面にて [シンプルボリュームサイズ (MB)] に最大値を入力
して [次へ] ボタンをクリックします。

102
Note：ディスクのサイジング
今回は自習書ということですべての容量を割り当てています。
実際には AD DS のオブジェクト数などから環境に合わせた適切なサイズを割り当てることをお勧め
します。
[ドライブ文字またはパスの割り当て] 画面にて [次のドライブ文字を割り当てる] チェック
ボックスにチェックを付け、プルダウンで [F] (任意のドライブ文字) を選択して [次へ] ボ
タンをクリックします。
[パーティションのフォーマット] 画面にて [このボリュームを次の設定でフォーマットする]
チェックボックスにチェックを付け、[ファイルシステム] に「NTFS」を選択、[アロケーシ
ョンユニットサイズ] に「既定値」を選択、[ボリュームラベル] に「ボリューム (任意の
文字列)」入力、[クイックフォーマットする] チェックボックスにチェックを付けて [次へ]
ボタンをクリックします。

103
Note：クイックフォーマットする
Azure のストレージは使用容量に応じて課金されます。
ディスクを通常フォーマットしてしまうと、ディスクのすべての領域を使用しているとみなされ、全
容量 (本自習書では約 1TB) 分が課金対象となってしまいます。しかしながら、クイックフォーマッ
トでフォーマットした場合は、実際のデータ量に比例した容量分のみが課金対象となります。
[完了] 画面にて [完了] ボタンをクリックします。

104
14. ディスクのフォーマットが始まると対象のディスクの状態が [フォーマット中] になります。
フォーマットが完了すると [正常] になります。
15. [コンピューター] 画面で確認すると、ディスクが追加されているのが分かります。

105
8.8 ドメインへの参加
各仮想マシンに該当する機能をインストールする前に、ドメインに参加させる必要があります。
Note：ドメインに参加する仮想マシン
この作業を行う仮想マシンは以下のとおりです。
 AD DS サーバー ([AZSTADDS01]、[AZSTADDS02])
 ディレクトリ同期サーバー ([AZSTDIRSYNC01])
 AD FS サーバー ([AZSTADFS01]、[AZSTADFS02])
1. ローカル管理者アカウントで対象の仮想マシンにサインインし、[サーバーマネージャー] を
開きます。
2. [ローカルサーバー] のプロパティを開きます。

106
3. [ワークグループ (WORKGROUP)] をクリックします。
4. [システムのプロパティ] 画面が開きます。 [コンピューター名] タブの [変更] ボタンをクリ
ックします。

107
5. [コンピューター名/ドメイン名の変更] 画面が開きます。 [所属するグループ] で [ドメイン]
を選択して「azurestudy.local」を入力し、[OK] ボタンをクリックします。
6. [Windows セキュリティ] 画面が開きます。ドメイン管理者のユーザー名、パスワードを入
力して [OK] ボタンをクリックします。
7. 手順 6 の認証が正常に終了すると、以下のメッセージボックスが順に表示されるので、[OK]
ボタンをクリックして閉じます。

108
8. 手順 4 の [システムのプロパティ] 画面に戻ります。 [閉じる] ボタンをクリックして閉じ
ます。
9. 以下の画面が表示されます。[今すぐ再起動する] ボタンをクリックし、OS を再起動します。

109
10. OS 再起動後、ドメイン管理者アカウントで対象の仮想マシンにサインインし、[システムのプ
ロパティ] を開きます。
社内ドメインに参加できていることを確認します。

110
STEP 9. AD DS サーバーのセットアップ、
および動作確認
この STEP では、仮想マシン上に AD DS を構築するための手順と構築が正常に
完了していることを確認する方法について説明します。
Note： 2 台目以降の AD DS サーバーを構築する際の注意事項
2 台目以降の AD DS サーバーを構築する (特に以下の項の作業) は、1 台目の AD
DS サーバーの構築が完了してから実施してください。
 9.2 ドメインコントローラーへの昇格
 9.3 サイトとサブネットの作成
 9.4 初期レプリケートの完了
なお、「9.7 2 台目以降の AD DS を構築する際のポイント」に構築する際のポイント
をまとめましたのでご覧ください。
2 台の AD DS サーバーを構築後、「9.5 仮想ネットワークへの DNS サーバーの追
加設定」を実施します。
 AD DS のインストール
 ドメインコントローラーへの昇格
 サイトとサブネットの作成
 初期レプリケートの完了
 仮想ネットワークへの DNS サーバーの追加設定
 NTP に関する注意点 (PDC エミュレーターとは同期しない)
 2 台目以降の AD DS を構築する際のポイント

111
9.1 AD DS のインストール
1. ドメイン管理者アカウントで AD DS サーバー [AZSTADDS01] にサインインし、[サーバー
マネージャー] を開きます。
2. [管理] メニュー > [役割と機能の追加] をクリックします。
3. [役割と機能の追加ウィザード] 画面が開きます。 [開始する前に] ページにて [次へ] ボタン

112
4. [インストールの種類の選択] ページにて [役割ベースまたは機能ベースのインストール] を
選択して [次へ] ボタンをクリックします。
5. [対象サーバーの選択] ページにて [サーバープールからサーバーを選択] を選択し、[サーバ
ープール] から AD DS サーバー [AZSTADDS01] を選択して [次へ] ボタンをクリック
します。

113
6. [サーバーの役割の選択] ページにて [役割] 一覧から [Active Directory ドメインサービ
ス] のチェックボックスにチェックを付けます。
以下の画面が開きます。 [Active Directory ドメインサービス] が依存するサービス、およ
び機能も追加する必要があるので内容を確認し、[管理ツールを含める (存在する場合)] チェ
ックボックスにチェックを付けて [機能の追加] ボタンをクリックして閉じます。

114
【表：[Active Directory ドメインサービス] が依存するサービスと機能】
[サーバーの役割の選択] ページに戻ると、[Active Directory ドメインサービス] のチェッ
クボックスにチェックが付きます。 [次へ] ボタンをクリックします。
[ツール] グループポリシーの管理
リモートサーバー管
理ツール
役割管理ツール AD DS および AD LDS
ツール
Windows PowerShell の Active
Directory モジュール
AD DS ツール [ツール] Active Directory 管理セン
ター
[ツール] AD DS スナップインおよび
コマンドラインツール

115
7. [機能の選択] ページにて [機能] 一覧で [グループポリシーの管理] と [リモートサーバ
ー管理ツール] チェックボックスにチェックが付いていることを確認して [次へ] ボタンを
8. [Active Directory ドメインサービス] ページにて [次へ] ボタンをクリックします。

116
9. [インストールオプションの確認] ページにて [必要に応じて対象サーバーを自動的に再起
動する] チェックボックスにチェックを付けます。
以下のメッセージボックスが開くので、[はい] ボタンをクリックして閉じます。

117
[インストールオプションの確認] ページに戻り、[必要に応じて対象サーバーを自動的に再
起動する] チェックボックスにチェックが付いていることを確認して [インストール] ボタ
ンをクリックします。
10. インストールが完了するまで待ちます。

118
11. 「構成が必要です。AZSTADDS01.azurestudy.local でインストールが正常に完了しました。」
とメッセージが表示されたら [閉じる] ボタンをクリックして閉じます。
Note： 2 台目以降の AD DS サーバーでの作業
2 台目以降の AD DS サーバー [AZSTADDS02] についてもこの項の作業を実施します。

119
9.2 ドメインコントローラーへの昇格
1. ドメイン管理者アカウントで AD DS サーバー [AZSTADDS01] にサインインし、[サーバー
2. [サーバーマネージャー] 画面上部にタスクの通知 (下図の赤枠部分) が表示されるので、こ
れをクリックして展開します。
展開すると、下図のように表示されます。 [このサーバーをドメインコントローラーに昇格
する] をクリックします。

120
3. [Active Directory ドメインサービス構成ウィザード] 画面が開きます。 [配置構成] ページ
にて [既存のドメインコントローラーを追加する] を選択し、「資格情報の指定」の [変更]
Note：資格情報の入力
「技術情報の文書番号 2737935」の問題により、ローカル管理者とドメイン管理者のパスワードが
同じ場合、昇格に失敗することがあります。そのため、自動で入力された資格情報のまま進めず手動
で入力し直す必要があります。
「 Active Directory installation stalls at the "Creating the NTDS settings object" stage
(http://support.microsoft.com/kb/2737935/ja)」

121
[Windows セキュリティ ] 画面が開きます。 [ ユーザー名 ] に
「azurestudy.localadministrator」と入力し [パスワード] に「studyP@ss」と入力して
[OK] ボタンをクリックします。
[配置構成] ページに戻り、[次へ] ボタンをクリックします。

122
4. [ドメインコントローラーオプション] ページにて [ドメインネームシステム (DNS) サ
ーバー] と [グローバルカタログ (GC)] チェックボックスにチェックを付けて [サイト名]
に「Default-First-Site-Name」が選択されていることを確認し、「ディレクトリサービス復
元モード (DSRM)」の [パスワード] 及び [パスワードの確認入力] に「studyP@ss」と入力
5. [DNS オプション] ページにて [次へ] ボタンをクリックします。

123
6. [追加オプション] ページにて [次へ] ボタンをクリックします。
7. [パス] ページにて各情報の格納場所を、追加したディスク (今回は F ドライブ) に変更して
[次へ] ボタンをクリックします。

124
8. [オプションの確認] ページにて内容を確認して [次へ] ボタンをクリックします。
9. [前提条件のチェック] ページにて警告が 3 件表示されますが、そのまま [インストール] ボ

125
Note：前提条件チェックの警告について
これら３つの警告は基本的に無視して構いません。
以下は、Windows NT 4.0 で使用されている暗号化アルゴリズムとの互換性がないために表示され
るメッセージとなります。
今回の環境では Windows Server 2012 のみの環境であるため、無視します。
以下は、動的 IP (DHCP) が設定されているために表示されるメッセージとなります。
AD DS で動的 IP を用いることは不可ですが、Azure の制限として静的 IP が指定できないため、
無視します。
以下は、DNS サーバーが存在していないために表示されるメッセージとなります。
AD DS インストール時に合わせてインストールされるため、無視します。

126
11. インストールが完了すると自動的に OS 再起動が開始されます。 [閉じる] をクリックしま
す。

127
12. OS 再起動後、[サーバーマネージャー] を起動すると、「AD DS」と「DNS」が追加されてい
ます。

128
9.3 サイトとサブネットの作成
サイトとサブネットを適正に設定することにより Azure 側に AD DS の認証を必要とするサーバ
ーを構築した際に適切な AD DS サーバー (Azure 上に構築した AD DS サーバー) にて認証が
行われるようになり、通信コストが低減できます。
サイトの作成
サイトの作成はオンプレミス側にて実施します。(なお、Azure 上で行っても構いませんがこの自
習書ではオンプレミス側で作成し、Azure 側でレプリケートの確認を行います。)
1. ドメイン管理者アカウントで AD DS サーバー [OPSTADDS01] にサインインし、[サーバー
2. [ツール] メニュー > [Active Directory サイトとサービス] をクリックします。

129
3. [Active Directory サイトとサービス] 画面が開きます。左ペインから [Active Directory サ
イトとサービス] > [Sites] を右クリックして [新しいサイト] をクリックします。
4. [新しいオブジェクト – サイト] 画面が開きます。 [名前] に「on-azure」と入力し [このサ
イトのサイトリンクオブジェクトの選択] から「DEFAULTIPITEMLINK」を選択して [OK]

130
5. [Active Directory サイトとサービス] 画面に戻り、[Sites] 配下に「on-azure」が作成され
ていることを確認します。

131
サブネットの作成 (オンプレミス環境用)
6. [Active Directory サイトとサービス] 画面にて左ペインから [Active Directory サイトとサ
ービス] > [Subnets] を右クリックして [新しいサブネット] をクリックします。
7. [新しいオブジェクト – サブネット] 画面が開きます。 [プレフィックス] にオンプレミス側
のサブネットである「192.168.118.0/24」を入力し [このプレフィックスのサイトオブジェ
クトを選んでください] から「サイトの作成」で作成した「on-premise」を選択して [OK] ボ

132
8. [Active Directory サイトとサービス] 画面に戻り、[Subnets] 配下にオンプレミス用のサブ
ネットが作成されていることを確認します。

133
サブネットの作成 (Azure 環境用)
ービス] > [Subnets] を右クリックして [新しいサブネット] をクリックします。
10. [新しいオブジェクト – サブネット] 画面が開きます。 [プレフィックス] に Azure 側のサ
ブネットである「10.1.1.0/24」を入力し [このプレフィックスのサイトオブジェクトを選ん
でください] から「サイトの作成」で作成した「on-azure」を選択して [OK] ボタンをクリッ
クします。

134
11. [Active Directory サイトとサービス] 画面に戻り、[Subnets] 配下に Azure 用のサブネッ
トが作成されていることを確認します。

135
オブジェクトの移動
Azure 上の AD DS サーバーを作成したサイトに移動します。
ービス] > [Sites] > [on-premise] > [Servers] > [AZSTADDS01] を右クリックして [移
動] をクリックします。
13. [サーバーの移動] 画面が開きます。 [このサーバーを含むサイトを選んでください] から
「on-azure」を選択して [OK] ボタンをクリックします。

136
14. [Active Directory サイトとサービス] 画面に戻り、[AZSTADDS01] が [Sites] > [on-
premise] > [Servers] 配下から [Sites] > [on-azure] > [Servers] 配下に移動されている
ことを確認します。

137
Azure 上での確認
15. [Active Directory サイトとサービス] 画面にてサイトとサブネットが作成されていることを
確認します。

138
Note：サイト間 AD DS のレプリケートについて
同じサイトに配置されている場合にはリアルタイムでレプリケートされますが、サイトを分けている
場合、既定では 180 分となっています。
すぐにレプリケートをさせたい場合には [ADSTADDS01] の [NTDS Settings] を選択し [<自動
生成>] を右クリックして [今すぐレプリケート] をクリックします。

139
9.4 初期レプリケートの完了
AD DS サーバーの初期レプリケートが正常に完了したことを確認します。
1. ドメイン管理者アカウントで AD DS サーバー [AZSTADDS01] にサインインし、[イベント
ビューアー] を開きます。
2. 左ペインから [イベントビューアー] > [アプリケーションとサービスログ] > [DFS
Replication] を右クリックして [現在のログをフィルター] をクリックします。

140
3. [現在のログをフィルター] 画面が開きます。 [フィルター] タブを開き [<すべてのイベント
ID>] に「4604」と入力して [OK] ボタンをクリックします。
4. [イベントビューアー] 画面に戻り、フィルターの結果「4604」のイベントが表示されていれ
ば初期レプリケートが完了したことを示します。

141
9.5 仮想ネットワークへの DNS サーバーの追加設定
Azure 上に構築した AD DS サーバーも DNS として登録します。また、優先順位を変更し、
Azure 上のサービスは優先的に Azure 上の AD DS サーバーに名前解決の問合せを行うよう、設
定を行います。
DNS サーバーの登録
2. 画面左側のメニューから [ネットワーク] をクリックします。 [ネットワーク] ページが表示
したら、[DNS サーバー] タブをクリックします。

142
3. 画面左下の [＋新規] をクリックします。
4. ページが下図のように表示されます。画面右側の入力項目に下の表とおり指定して右下の
[DNS サーバーの登録] をクリックします。
※ 1 台ずつ作業を実施します。
項目設定値
1 台目 2 台目
名前「AZSTADDS01」を入力「AZSTADDS02」を入力
DNS サーバーの IP アドレス「10.1.1.4」を入力「10.1.1.5」を入力

143
5. 登録処理後、手順 3 のページに戻り DNS サーバーが登録されます。
DNS サーバーの追加設定
6. 手順 5 を確認後、[仮想ネットワーク] タブをクリックします。
7. 「tokyo-nw」をクリックします。

144
8. [構成] タブをクリックします。
9. 「8.1 仮想ネットワークへの DNS サーバーの追加」にて追加した DNS サーバー
[OPSTADDS01] の右端にある [×] をクリックしていったん削除します。
Note：仮想ネットワーク DNS サーバーの優先順位
仮想ネットワークの DNS サーバーは上位ほど優先順位が高くなります。そのため、このままの状態
で手順 3 ～ 5 で追加した Azure 上の DNS (AD DS) サーバーを追加して登録してしまうと、オン
プレミス側の DNS (AD DS) サーバーが最優先となってしまいます。よって、これを削除した後に
追加し直します。

145
10. 再度以下の順に追加していきます。
 AZSTADDS01
 AZSTADDS02
 OPSTADDS01
11. 画面下部の [保存] をクリックします。
※ 手順 10 を実施すると表示されます。
12. DNS サーバーの設定を変更する際、一時的にネットワークが切断されることがあるため、そ
の警告が表示されます。 [はい] をクリックします。

146
[はい] をクリック後、以下のように更新中のメッセージが表示されます。更新が完了するま
で待ちます。
13. 更新が完了すると、以下のようなメッセージが表示されます。
14. 設定が確定すると、各 DNS サーバー (AD DS) 名の左に表示されていた紫のバーが消えます。
Note：仮想マシンの DNS の更新
仮想マシンの DNS を更新するためには、各仮想マシンの OS を再起動する必要があります。

147
9.6 NTP に関する注意点 (PDC エミュレーターとは同期しない)
通常ドメインコントローラーに昇格すると、PDC エミュレーターの役割を持ったドメインコン
トローラーと時刻同期を行います。
しかしながら、Azure 上に構築した AD DS サーバーは Hyper-V の仕様により PDC エミュレ
ーターと同期を行いません。(イベントログ上には PDC エミュレーターとも同期を試みているロ
グが出力されます。)
以下は「w32tm /query /status」を実行した結果となります。
ソースには「VM IC Time Synchronization Provider」と表示されています。
なお、これは Hyper-V の機能でホストマシンと時刻同期されていることを示します。

148
9.7 2 台目以降の AD DS を構築する際のポイント
この項では、2 台目以降の AD DS サーバー (今回は [AZSTADDS02]) を構築するためのポイン
トについて説明します。
AD DS のレプリケート元の選択
ドメインコントローラーに昇格させる際のレプリケート元 (「9.2 ドメインコントローラーへの
昇格」の手順 6 にて) を Azure 上に構築した AD DS サーバー (今回は [AZSTADDS01]) とし
ます。
レプリケーションの効率化から先に構築した AD DS サーバー [AZSTADDS01] を明示的に選択
します。

149
複数台の AD DS とのレプリケート確認
Azure 上に 2 台目の AD DS サーバーを構築した際には、インストール時に選択したレプリケー
ト元とのレプリケートを確認するだけでなく、他の AD DS サーバー (オンプレミス) とのレプリ
ケートが可能かも確認します。
[PowerShell] もしくは [コマンドプロンプト] を起動し、以下のコマンドを入力して [Enter]
キーを押下します。コマンド実行結果に失敗が無いことを確認します。なお、オプションの「/S」
はテストであるため、実際のレプリケーションは行われませんが、各 AD DS サーバーとレプリケ
ーションが可能であるかの確認は可能です。
repadmin /syncall /S /P /e /d

150
サイトの移動
2 台目以降の AD DS サーバーのサイトの移動については、既にサブネット (「9.3 サイトとサブ
ネットの作成」にて) を作成しているため、自動的に適切なサイトに移動されます。

151
STEP 10. ディレクトリ同期サーバーの
セットアップ、および同期の確認
この STEP では、ディレクトリ同期ツールを使用して、社内の AD オブジェクト
を Office 365 のディレクトリサービスへ同期する手順について説明します。
Note：ディレクトリ同期は社内 AD から Office 365 への片方向のみ
ディレクトリ同期は、社内 AD から Office 365 に対して一方向で行われます。
そのため、ディレクトリ同期後のオブジェクトの更新 (作成や編集など) は、社内の
AD 上で実施する必要があります。 Office 365 上でオブジェクトを更新した場合は、
社内の AD に反映されません。
 UPN サフィックスの追加
 AD ユーザーの登録情報を確認
 ディレクトリ同期の有効化
 ディレクトリ同期ツール関連のインストール
 ディレクトリ同期ツールのセットアップ (同期の実行)
 ディレクトリ同期の確認
 同期したユーザーのアクティブ化

152
10.1 UPN サフィックスの追加
Note： UPN サフィックスの追加が必要なケース
AD と SMTP のドメイン名が異なる場合、UPN の設定が必要となります。
この自習書の例
 [AD ドメイン]・・・ azurestudy.local
 [SMTP ドメイン]・・・azurestudy.jp
上記の例の場合、以下の操作が必要となります。
 UPN サフィックス “azurestudy.jp” を追加
 ユーザーログオン名を “user01@azurestudy.jp” に変更
UPN サフィックスの追加
1. ドメイン管理者アカウントで AD DS サーバー [AZSTADDS01] にサインインし、[Active
Directory ドメインと信頼関係] を開きます。
2. 左ペインにて [Active Directory ドメインと信頼関係] を右クリックして [プロパティ] を

153
3. [UPN サフィックス] タブで、UPN サフィックス [azurestudy.jp] を入力して [追加] ボタ
ンをクリックします。そして [OK] ボタンをクリックして画面を閉じます。

154
10.2 AD ユーザーの登録情報を確認
Directory ユーザーとコンピューター] を開きます。
2. 同期対象ユーザーのプロパティを開きます。
ユーザーログオン名の確認
3. [ユーザーログオン名] を確認します。
[アカウント] タブを開き、下図の赤枠の値を「@azurestudy.local」から「@azurestudy.jp」
に変更します。
Note： Office 365 での [ユーザーログオン名] の取り扱い
この [ユーザーログオン名] が「Office 365 ユーザー名」となります。
この作業は、すべての同期対象ユーザーに対して実施する必要があります。
・ [ユーザーログオン名] のドメインが「STEP 5. Office 365 へドメインの追加、およびドメイン
の確認」で Office 365 に追加したドメインと異なるユーザーが同期されると、Office 365 に同
期されたユーザー名は「<user01>@<tenant>.onmicrosoft.com」となってしまいます。

155
電子メール属性値の確認
4. [電子メール] を確認します。
[全般] タブを開き、[電子メール] 属性にそのユーザーが使用する電子メールアドレスが登
録されていることを確認します。
Note： Office 365 での [電子メール] 属性値の取り扱い
この [電子メール] 属性が Exchange Online 上での「既定の (SMTP) メールアドレス」となりま
す。
この作業は、すべての同期対象ユーザー (メールを利用するユーザー) に対して実施する必要があり
ます。

156
10.3 ディレクトリ同期の有効化
2. [管理者の概要] ページの左側にある [ユーザーとグループ] をクリックします。
3. [アクティブなユーザー] ページにて [Active Directory® 同期] にある [セットアップ] を

157
4. [Active Directory 同期のセットアップと管理] ページにて [3 Active Directory 同期をアク
ティブ化する] にある [アクティブ化] をクリックします。
5. [Active Directory 同期をアクティブ化しますか？] という確認画面が表示されます。 [アク
ティブ化] をクリックします。

158
6. [Active Directory 同期のセットアップと管理] ページに戻り、[3 Active Directory 同期を
アクティブ化する] の下に「Active Directory 同期がアクティブ化されています。」とメッセ
ージが表示されていることを確認します。
7. [アクティブなユーザー] ページに戻り、[Active Directory® 同期] にあるステータスが「セ
ットアップ」から「管理」に変わっていることを確認します。

159
10.4 ディレクトリ同期ツール関連のインストール
.NET Framework 3.5 Features のインストール
1. ドメイン管理者アカウントでディレクトリ同期サーバー [AZSTDIRSYNC01] にサインイン
し、[サーバーマネージャー] を開きます。

160
ープール] からディレクトリ同期サーバー [AZSTDIRSYNC01] を選択して [次へ] ボタン

161
6. [サーバーの役割の選択] ページにて [次へ] ボタンをクリックします。
7. [機能の選択] ページにて [機能] 一覧から [.NET Framework 3.5 Features] チェックボッ
クスにチェックを付けて [次へ] ボタンをクリックします。

162

163
起動する] チェックボックスにチェックが付いていることを確認して [インストール] ボタン

164
10. 「AZSTDIRSYNC01.azurestudy.local でインストールが正常に完了しました。」とメッセー
ジが表示されたら [閉じる] ボタンをクリックして閉じます。

165
ディレクトリ同期ツールをダウンロード
13. [アクティブなユーザー] ページにて [Active Directory® 同期] にある [管理] をクリック
します。

166
14. [Active Directory 同期のセットアップと管理] ページにて [4 ディレクトリ同期ツールを
インストールして構成する] にある [ダウンロード] をクリックして「ディレクトリ同期ツー
ル (64 ビット版)」をダウンロードします。

167
ディレクトリ同期ツールをインストール
し、手順 11 ～ 14 でダウンロードした「ディレクトリ同期ツール (64 ビット版)」を任意
の場所にコピーします。
16. [dirsync-ja.exe] をダブルクリックして [Windows Azure Directory 同期のセットアップ]
を起動します。
17. [ようこそ] 画面にて [次へ] ボタンをクリックします。

168
18. [マイクロソフトソフトウェアライセンス条項] 画面にて [ソフトウェアライセンス条項]
をご確認いただき、同意される場合は [同意します] を選択して [次へ] ボタンをクリックし
ます。
19. [インストールフォルダーの選択] 画面にてディレクトリ同期ツールのインストール先を、
追加したディスク (今回は E ドライブ) に変更して [次へ] ボタンをクリックします。

169
Note：インストールフォルダーについて
ディレクトリ同期は OS ディスク (C ドライブ) にインストールするのではなく、別途データディ
スクを追加して、そのディスクにインストールします。
21. 「インストールの完了」とメッセージが表示されたら、 [次へ] ボタンをクリックします。

170
22. 続けてディレクトリ同期ツールのセットアップを行う場合は [構成ウィザードを今すぐ開始
する] チェックボックスにチェックを付けます。 [完了] ボタンをクリックして閉じます。
Note：ディレクトリ同期ツールのセットアップ
ディレクトリ同期ツールのセットアップについては、「10.6 ディレクトリ同期ツールのセットアップ
(同期の実行)」にて説明しています。

171
10.5 ディレクトリ同期ツールのセットアップ (同期の実行)
し、デスクトップにある [ディレクトリ同期の構成] ショートカットをダブルクリックして
[Windows Azure Active Directory 同期ツールの構成ウィザード] 起動します。

172
3. [Windows Azure Active Directory の資格情報] 画面にて Office 365 管理者アカウントの
ユーザー名、パスワードを入力して [次へ] ボタンをクリックします。
4. [Active Directory の資格情報] 画面にてドメイン管理者アカウントのユーザー名、パスワー
ドを入力して [次へ] ボタンをクリックします。

173
5. [混合環境] 画面にて設定項目がグレーアウトしていることを確認して [次へ] ボタンをクリ
ックします。
6. [パスワード同期] 画面にて [パスワード同期を有効にする] チェックボックスにチェックを
外して [次へ] ボタンをクリックします。

174
7. ディレクトリ同期ツールの構成のセットアップが完了するまで待ちます。
8. 「構成が完了しました。」とメッセージが表示されたら、 [次へ] ボタンをクリックします。

175
9. [終了] 画面にて [ディレクトリを今すぐに同期する] チェックボックスにチェックを付けて
[完了] ボタンをクリックします。すると、社内 AD から Office 365 への同期が始まります。
以下のメッセージボックスが開きます。 [OK] ボタンをクリックして閉じます。
Note：強制的に同期を行う場合
手動による強制的に同期を行いたい場合は、この項の手順を再度実施することで実行することができます。
Note：ディレクトリ同期ツールセットアップ後にいずれかの資格情報を変更した場合
ディレクトリ同期ツールセットアップ後に、Office 365 管理者アカウントまたはドメイン管理者のパスワ
ードを変更してしまった場合、社内 AD から Office 365 への同期が失敗します。
いずれかの資格情報を変更した場合は、再度この項の作業を実施してください。

176
10.6 ディレクトリ同期の確認
ディレクトリ同期サーバーのセットアップが完了したら、以下の内容を基にディレクトリ同期サー
ビスが正常に稼動しているか確認を行います。
AD DS サーバーでの確認
1. ドメイン管理者アカウントでドメインコントローラー [OPSTADDS01] サインインし、
[Active Directory ユーザーとコンピューター] を開きます。
2. OU [User] にディレクトリ同期サービスのサービスアカウントである「MSOL_*****」と
いうユーザー (ここでは「MSOL_df1be82644f0」) が存在することを確認します。
このサービスアカウントはディレクトリ同期後、AD 上で行われたオブジェクトの変更内容
を読み取るために使用されます。

177
ディレクトリ同期サーバーでの確認
します。
4. [サービス] を開き、以下の表で挙げたサービスのプロパティを確認します。
スタートアッ
プの種類
サービスの状
態
アカウント
Forefront Identity
Manager Synchronization
Service
自動実行中(開始) 「.AAD_*****」
※同期ツールにより設定されるア
カウント
Directory Sync Service
自動実行中(開始) 「.AAD_*****」
※同期ツールにより設定されるア
カウント
Microsoft Online Services
Sign-in Assistant
自動実行中(開始) ローカルシステムアカウント
5. [イベントビューアー] を開き、以下のイベントログが出力されていることを確認します。
・ 3 時間毎の自動同期および手動による強制同期の際、イベントログに以下のエントリー
があることを確認して下さい。
項目内容
ログ保存場所 [Windows ログ] > [Application]
ソース Directory Synchronization
イベント ID 114
ログの内容
(例)
Export cycle completed. Tracking id: 3a5514a2-dbb2-4e6c-86e7-6194d60a574b
6. 別途 SQL Server の完全なインスタンスをインストールした場合は、 [SQL Server
Management Studio] を起動して、[Microsoft Identity Integration Server] データベース
があることを確認します。
・この自習書では、SQL Server をインストールしていないため、確認は不要となります。

178
Office 365 での確認
9. [Active Directory® 同期] のステータスに [最後の同期] と表示されていることを確認し
ます。

179
10. [アクティブなユーザー] ページに AD 上のユーザーが表示されていることを確認します。
11. セキュリティグループまたは配布グループがある場合は、必要に応じて表示されていることを
確認します。

180
10.7 同期したユーザーのアクティブ化
3. [アクティブなユーザー] ページにて Office 365 のライセンスを与えるユーザーごとにチェ
ックボックスにチェックを付け、右側にある [同期済みユーザーのアクティブ化] をクリック
します。

181
4. [ライセンスの割り当て] ページにて [ユーザーの所在地の設定] で「日本」を選択します。
[ライセンスの割り当て] でユーザーにライセンスを割り当てるサービスを選択します。そし
て [次へ] をクリックします。
5. [結果を電子メールで送信] ページにて [アクティブ化] をクリックします。

182
6. 処理が完了するまで待ちます。
7. 同期済みユーザーのアクティブ化が完了したら [完了] をクリックします。

183
8. [アクティブなユーザー] ページに戻り、左側にある [ライセンス] をクリックします。
9. ユーザーに付与したライセンス数分、[割り当て済み] のライセンス数が増えていることを確
認します。

184
STEP 11. AD FS サーバーのセットアップ、
およびフェデレーションの確認
この STEP では、Azure 上に構築した仮想ネットワーク上に AD FS を実装する
手順について説明します。
この手順を実施することで、社内 AD と Office 365 の間でフェデレーション信
頼関係が結ばれ、ユーザーは会社の資格情報でサインインして、Office 365 の各
種サービスにアクセスできる準備が整います。
 AD FS 2.1 関連をインストール
 サーバー証明書をインポートと設定
 社内 DNS の設定
 AD フェデレーション用サービスアカウントの作成
 フェデレーションサーバーの設定
 2 台目以降のフェデレーションサーバーの設定
 IT プロフェッショナル用 Microsoft Online Services サインインアシスタン
トのインストール
 Windows PowerShell 用 Windows Azure Active Directory モジュールのイン
ストール
 フェデレーションドメインの有効化
 ローカルイントラネットゾーンへのサイトの登録
 フェデレーション環境の動作確認

185
11.1 AD FS 2.1 関連をインストール
1. ドメイン管理者アカウントで AD FS サーバープライマリ [AZSTADFS01] にサインインし、
[サーバーマネージャー] を開きます。
3. [役割と機能の追加ウィザード] 画面が開きます。[開始する前に] ページにて [次へ] ボタン

186
ープール] から AD FS サーバープライマリ [AZSTPROXY01] を選択して [次へ] ボタン

187
6. [サーバーの役割の選択] ページにて [役割] 一覧から [Active Directory フェデレーション
サービス] のチェックボックスにチェックを付けます。
以下の画面が開きます。 [Active Directory フェデレーションサービス] が依存するサービ
ス、および機能も追加する必要があるので内容を確認し、[管理ツールを含める (存在する場
合)] チェックボックスにチェックを付けて [機能の追加] ボタンをクリックして閉じます。

188
【表：[Active Directory フェデレーションサービス] が依存するサービスと機能】
.NET Framework 4.5
Features
WCF サービス HTTP アクティブ化
ASP.NET 4.5
Web サーバー (IIS) 管理ツール [ツール] IIS 管理コンソール
Web サーバーアプリケーション開発 ASP.NET 4.5
ISAPI 拡張
ISAPI フィルター
.NET 拡張機能 4.5
HTTP 共通機能既存のドキュメント
ディレクトリの参照
HTTP エラー
HTTP リダイレクト
静的なコンテンツ
状態と診断 HTTP ログ
パフォーマンス静的なコンテンツの圧縮
セキュリティクライアント証明書マッピング認証
要求フィルター
Windows 認証
Windows プロセス
アクティブ化サービス
構成 API
プロセスモデル
[サーバーの役割の選択] ページに戻ると、[Active Directory フェデレーションサービス]
と [Web サーバー (IIS)] のチェックボックスにチェックが付きます。[次へ] ボタンをクリ
ックします。

189
7. [機能の選択] ページにて [機能] (*1) 一覧から [.NET Framework 3.5 Features] (*2) チ
ェックボックスにチェックを付けて [次へ] ボタンをクリックします。
Note：機能の確認と .NET Framework 3.5 Features の有効化について
(*1)：手順 6 の [Active Directory フェデレーションサービス] が依存するサービスと機能にある
[.NET Framework 4.5 Features] (インストール済み) と [Windows プロセスアクティブ化サー
ビス] チェックボックスにチェックが付いていることを確認します。
(*2)：後述する「11.8 Windows PowerShell 用 Windows Azure Active Directory モジュールの
インストール」にて必要なため、ここで併せてインストールします。

190
8. [Active Directory フェデレーションサービス (AD FS)] ページにて [次へ] ボタンをクリ
ックします。
[AD FS の役割サービスの選択] ページにて、[役割サービス] から [フェデレーションサー
ビス] チェックボックスのみにチェックを付けて [次へ] ボタンをクリックします。

191
9. [Web サーバーの役割 (IIS)] ページにて [次へ] ボタンをクリックします。
[Web サーバーの役割サービスの選択] ページにて、[役割サービス] から以下の表の項目に
チェックが付いていることを確認して [次へ] ボタンをクリックします。

192
【表：Web サーバーデフォルトコンポーネント】
Web サーバー HTTP 共通機能 HTTP エラー
既存のドキュメント
セキュリティ要求フィルター
Windows 認証
クライアント証明書マッピング認証
アプリケーション開発 .NET 拡張機能 4.5
ASP.NET 4.5
ISAPI 拡張
管理ツール IIS 管理コンソール

193

194
12. 「構成が必要です。 AZSTADFS01.azurestudy.local でインストールが正常に完了しました。」
とメッセージが表示されたら、[閉じる] ボタンをクリックして閉じます。

195
Note： AD FS サーバーセカンダリ (2 台目以降) での作業
AD FS サーバーセカンダリ [AZSTADFS02] (2 台目以降) についてもこの項の作業を実施します。
なお、手順 7 の [機能の選択] ページにて選択した [.NET Framework 3.5 Features] は、AD FS サー
バーセカンダリ (2 台目以降) では不要なのでインストールする必要はありません。

196
11.2 サーバー証明書をインポートと設定
CSR の作成
[インターネットインフォメーションサービス (IIS) マネージャー] を開きます。
2. 左ペインにて IIS をインストールしたサーバーが表示されるので、そのサーバー名
([AZSTADFS01 (AZURESTUDYadministrator)]) を選択します。
3. 中央ペインにて [サーバー証明書] をダブルクリックします。
4. 右ペインにて [操作] の [証明書の要求の作成] をクリックします。

197
5. [識別名のプロパティ] 画面では証明書情報を入力します。入力できたら [次へ] ボタンをク
リックします。
Note： [一般名] の取り扱いについて
[一般名] に登録したものが ADFS、ADFS Proxy で使用されるフェデレーションサービス名
(FQDN) となります。
項目設定値 (例)
一般名 sts.azurestudy.jp
組織 Cloudlive, Inc.
組織単位 Sales
市区町 Cyuo-ku
都道府県 Tokyo
国/地域 JP

198
6. [暗号化サービスプロバイダーのプロパティ] 画面にて、以下の表のとおり入力して [次へ]
項目設定値
暗号化サービスプロバイダー「Microsoft RSA SChannel Cryptographic Provider」を選択
ビット長「2048」を選択
7. [ファイル名] 画面にて、任意のパスおよびファイル名を付け、[終了]をクリックします。
8. 作成した CSR を公的証明書機関 (ベリサイン等) に提出し、SSL 証明書を発行してもらいま
す。

199
9. 取得した SSL 証明書を任意の場所に保存します。
Note： SSL 証明書の取り扱いについて注意事項
SSL 証明書は、信頼された認証局が発行する電子証明書であり、主に以下の 2 つの機能があります。
・サイトの実在証明
サイトの運営組織が実在しドメイン名の使用権があることを第三者機関が証明する
・ SSL 暗号化通信
通信内容 (例えば、クレジットカード番号等の個人情報) の盗聴・改ざん、サイトの運営者へのな
りすましを防ぐ
上記機能により、SSL 証明書が流出した場合、第三者により暗号化された通信内容を解読されたり正
当な証明書所有者に成りすまして悪用される危険性があります。
よって、取り扱いには十分注意してください。

200
SSL 証明書のインポート
10. [インターネットインフォメーションサービス (IIS) マネージャー] の [サーバー証明書]
を開き、右ペインにて [操作] の [証明書の要求の完了] をクリックします。
11. [証明書の要求を完了する] 画面が表示されます。以下の表のとおり入力して [OK] ボタンを
項目設定値
証明機関の応答が含まれるフ
ァイルの名前
手順 9 で保存した SSL 証明書のファイルパスを指定
フレンドリ名「ADFSCertificate (分かりやすい任意の名前)」を入力
新しい証明書の証明書ストア「個人」を選択

201
12. [サーバー証明書] にインポートした証明書が表示されていることを確認します。

202
SSL 証明書の設定
13. [インターネットインフォメーションサービス (IIS) マネージャー] を開き、左ペインにて
IIS をインストールしたサーバーが表示されるので、そのサーバー名 ([AZSTADFS01
(AZURESTUDYadministrator)]) を展開し、[サイト] > [Default Web Site] を選択します。
そして、右ペインにて [操作] の [バインド] をクリックします。
14. [サイトバインド] 画面にて、[追加] ボタンをクリックします。
15. [サイトバインドの追加] 画面にて、以下の表のとおり入力して [OK] ボタンをクリックし
ます。

203
項目設定値
種類「https」を選択
※ [IP アドレス] 、[ポート] は自動的に選択されます。
SSL 証明書手順 10 ～ 12 でインポートした SSL 証明書を選択
16. [サイトバインド] 画面に戻り、一覧に「https」が追加されていることを確認します。確認
後、[閉じる] ボタンをクリックして閉じます。
IIS をインストールしたサーバーが表示されるので、そのサーバー名 ([AZSTADFS01
(AZURESTUDYadministrator)]) を展開し、[サイト] > [Default Web Site] を選択します。
そして、右ペインにて [Web サイトの管理] にある [*:443 (https) 参照] をクリックしま
す。

204
18. ブラウザーが開きます。 Web サイトに ”証明書エラー” が表示されたら、[このサイトの閲
覧を続行する] をクリックします。
以下のページが表示されることを確認します。

205
Note： AD FS サーバーセカンダリ (2 台目以降) での作業
AD FS サーバーセカンダリ [AZSTADFS02] (2 台目以降) については、
AD FS サーバープライマリ [AZSTADFS01] にインポートした SSL 証明書をエクスポートします。
エクスポートした SSL 証明書をインポートします。
その後、上記の手順 13 以降の作業を実施します。

206
11.3 社内 DNS の設定
AD FS サーバーの冗長化は、DNS のラウンドロビン機能によって実現します。
※ Azure ではネットワーク負荷分散 (NLB) がサポートされていないため。
1. ドメイン管理者アカウントで AD DS サーバー [AZSTADDS01] にサインインし、[DNS マ
ネージャー] を開きます。
2. Office 365 にて使用するフェデレーションドメイン [azurestudy.jp] を登録します。
3. A レコードで AD FS サーバーに名前解決されるように [sts.azurestudy.jp] を追加します。

207
11.4 AD フェデレーション用サービスアカウントの作成
Directory ユーザーとコンピューター] を開きます。
2. サービスアカウントを作成する OU を選択します。
※ ここでは例として、OU を [Users] を選択します。
3. OU [Users] を右クリックし、[新規作成] > [ユーザー] を選択します。
4. 以下の内容でユーザーを作成します。
項目設定値
姓 ADFS Service
名 (必要に応じて入力)
フルネーム ADFS Service
ユーザーログオン名 adfssvc@azurestudy.local
ユーザーログオン名
(Windows 2000 より前)
adfssvc
パスワードパスワード／パスワードの確認 (任意のパスワード)
ユーザーは次回ログオン時にパ
スワード変更が必要
チェック OFF (無効)
ユーザーはパスワードを変更で
きない
チェック ON (有効)
パスワードを無制限にするチェック ON (有効)
アカウントは無効チェック OFF (無効)

208
5. 手順 4 で作成したサービスアカウントを [Enterprise Admins] セキュリティグループに
追加します。手順 4 で作成したユーザーのプロパティを開きます。 [所属するグループ] タ
ブを開き [追加] ボタンをクリックします。
6. [グループの選択] 画面が開きます。 [選択するオブジェクト名を入力してください] に
[Enterprise Admins] セキュリティグループを指定します。 [OK] ボタンをクリックして閉
じます。

209
7. [ADFS Service のプロパティ] 画面に戻り、[所属するグループ] タブの [所属するグループ]
に [Enterprise Admins] セキュリティグループが追加されたことを確認して [OK] ボタン
をクリックして閉じます。

210
11.5 フェデレーションサーバーの設定
[AD FS の管理] を開きます。
2. 中央ペインにて [AD FS フェデレーションサーバーの構成ウィザード] をクリックします。
3. [AD FS フェデレーションサーバーの構成ウィザード] 画面が開きます。 [ようこそ] ページ
にて [新しいフェデレーションサービスを作成する] を選択して [次へ] ボタンをクリックし
ます。

211
4. [スタンドアロン展開またはファーム展開の選択] ページにて [新しいフェデレーションサ
ーバーファーム] を選択して [次へ] ボタンをクリックします。
5. [フェデレーションサービス名の指定] ページにて [SSL 証明書] と [フェデレーションサ
ービス名] に「sts.azurestudy.jp」が指定されていることを確認して [次へ] ボタンをクリッ
クします。

212
6. [サービスアカウントの指定] ページにて「11.4 AD フェデレーション用サービスアカウ
ントの作成」で作成したアカウントを指定します。
[サービスアカウント] の [参照] ボタンをクリックします。
[ユーザーの選択] 画面が開きます。「AD フェデレーション用サービスアカウント」を
指定して [OK] ボタンをクリックして閉じます。

213
[サービスアカウントの指定] ページに戻り、[サービスアカウント] の [パスワード] を入
力して [次へ] ボタンをクリックします。
7. [設定を適用する準備ができました] ページにて [次へ] ボタンをクリックします。

214
8. AD FS フェデレーションサーバーの構成のセットアップが完了するまで待ちます。
9. AD FS フェデレーションサーバーの構成のセットアップが完了したら、[閉じる] ボタンを
クリックして閉じます。

215
10. [AD FS の管理] 画面に戻り、下図の赤枠のように表示されていることを確認します。

216
11.6 2 台目以降のフェデレーションサーバーの設定
1. ドメイン管理者アカウントで AD FS サーバーセカンダリ [AZSTADFS02] にサインインし、
2. 中央ペインにて [AD FS フェデレーションサーバーの構成ウィザード] をクリックします。
3. [AD FS フェデレーションサーバーの構成ウィザード] 画面が開きます。 [ようこそ] ページ
にて [既存のフェデレーションサービスにフェデレーションサーバーを追加する] を選択

217
4. [プライマリフェデレーションサーバーとサービスアカウントの指定] ページにて以下の
表のとおり入力して [次へ] ボタンをクリックします。
項目設定値
プライマリフェデレーション
サーバー名
AZSTADFS01.azurestudy.local
※ AD FS サーバープライマリ [AZSTADFS01]
サービスアカウント AZURESTUDYadfssvc
※ AD フェデレーション用サービスアカウント
パスワード [サービスアカウント] のパスワード

218
5. [フェデレーションサービス名の指定] ページにて [SSL 証明書] と [フェデレーションサ
ービス名] に「sts.azurestudy.jp」が指定されていることを確認して [次へ] ボタンをクリッ
クします。

219
7. AD FS フェデレーションサーバーの構成のセットアップが完了するまで待ちます。
8. AD FS フェデレーションサーバーの構成のセットアップが完了したら、[閉じる] ボタンを
クリックして閉じます。

220
9. [AD FS の管理] 画面に戻り、下図の赤枠のように表示されていることを確認します。
Note： AD FS の構成設定の同期
AD FS の構成設定の変更は、AD FS サーバープライマリ [AZSTADFS01] でのみ行うことができます。
AD FS の構成設定を表示または編集するには、AD FS サーバープライマリにて作業します。
AD FS サーバーセカンダリ [AZSTADFS02] は、この「AD FS フェデレーションサーバーの構成のセ
ットアップ」完了直後に、AD FS サーバープライマリから構成設定が同期されます。その後、5 分間隔
で構成設定が同期されます。

221
11.7 IT プロフェッショナル用 Microsoft Online Services
サインインアシスタントのインストール
Note： AD FS サーバープライマリのみで実施
この項の作業は、AD FS サーバープライマリ [AZSTADFS01] のみで実施します。
この項の作業は、後述の「11.9 フェデレーションドメインの有効化 (＝ AD FS の構成設定の編集)」を
行うために必要なものです。
また、AD FS の構成設定の編集は、AD FS サーバープライマリで実施するので、AD FS サーバーセカ
ンダリ [AZSTADFS02] には不要となります。
IT プロフェッショナル用 Microsoft Online Services サインインアシスタント
RTW をダウンロード
1. Microsoft ダウンロードセンターより、「IT プロフェッショナル用 Microsoft Online
Services サインインアシスタント RTW (64 ビット版)」をダウンロードします。
「IT プロフェッショナル用 Microsoft Online Services サインインアシスタント RTW
(http://www.microsoft.com/ja-jp/download/details.aspx?id=41950)」

222
IT プロフェッショナル用 Microsoft Online Services サインインアシスタント
RTW をインストール
手順 1 でダウンロードした「IT プロフェッショナル用 Microsoft Online Services サイン
インアシスタント RTW (64 ビット版)」を任意の場所にコピーします。
3. [msoidcli_64.msi] をダブルクリックして [Microsoft Online Services サインインアシス
タントセットアップ] を起動します。
4. [Microsoft Online Services サインインアシスタントの使用許諾契約書をお読みください]
画面にて [使用許諾契約書] をご確認いただき、同意される場合は [「使用許諾契約書」およ
び「プライバシーに関する声明」に同意します] チェックボックスにチェックを付けて [イン
ストール] ボタンをクリックします。

223
6. 「Microsoft Online Services サインインアシスタントのセットアップウィザードは正常に
完了しました」とメッセージが表示されたら、 [完了] ボタンをクリックして閉じます。

224
11.8 Windows PowerShell 用 Windows Azure Active Directory
モジュールのインストール
Note：事前に .NET Framework 3.5 Features を有効にしてください
Windows PowerShell 用 Windows Azure Active Directory モジュールの要件として .NET Framework
3.5 Features を有効にする必要があります。これについては「11.1 AD FS 2.1 関連をインストール」に
てインストールしていますので、そちらをご確認ください。
Note： AD FS サーバープライマリのみで実施
この項の作業は、AD FS サーバープライマリ [AZSTADFS01] のみで実施します。
この項の作業は、後述の「11.9 フェデレーションドメインの有効化 (＝ AD FS の構成設定の編集)」を
行うために必要なものです。
また、AD FS の構成設定の編集は、AD FS サーバープライマリで実施するので、AD FS サーバーセカ
ンダリ [AZSTADFS02] には不要となります。
Windows PowerShell 用 Windows Azure Active Directory モジュール
をダウンロード

225
3. [アクティブなユーザー] ページにて [シングルサインオン] にある [セットアップ] をクリ
ックします。
4. [シングルサインオンのセットアップと管理] ページにて [3 Windows PowerShell 用
Windows Azure Active Directory モジュールをインストールする] で [Windows 64 ビッ
ト版] を選択し、[ダウンロード] をクリックして「Windows PowerShell 用 Windows Azure
Active Directory モジュール (64 ビット版)」をダウンロードします。

226
Windows PowerShell 用 Windows Azure Active Directory モジュール
をインストール
手順 1 ～ 4 でダウンロードした「Windows PowerShell 用 Windows Azure Active
Directory モジュール (64 ビット版)」を任意の場所にコピーします。
6. [AdministrationConfig-JA.msi] をダブルクリックして [Windows PowerShell 用
Windows Azure Active Directory モジュールセットアップ] を起動します。
8. [ライセンス条項] 画面にて [マイクロソフトソフトウェアライセンス条項] をご確認いた
だき、同意される場合は [ライセンス条項に同意します] を選択して [次へ] ボタンをクリッ
クします。

227
9. [ インストールの場所 ] 画面にて Windows PowerShell 用 Windows Azure Active
Directory モジュールのインストール先を指定して [次へ] ボタンをクリックします。
10. [インストールの準備完了] 画面にて [インストール] ボタンをクリックします。

228
12. 「Windows PowerShell 用 Windows Azure Active Directory モジュールセットアップを
終了します」とメッセージが表示されたら、 [完了] ボタンをクリックして閉じます。

229
11.9 フェデレーションドメインの有効化
“Microsoft Online Services User ID” から “フェデレーション ID” へ
2. 中央ペインにて [概要] に「必要な構成が未完了です」と表示されていることを確認します。

230
3. [Windows PowerShell 用 Windows Azure Active Directory モジュール] を「管理者として
実行」で開き、以下のコマンドを実行します。
$cred=Get-Credential (*1)
Connect-MsolService –Credential $cred
Convert-MsolDomainToFederated –DomainName azurestudy.jp
 (*1)：資格情報の入力画面が表示されるので、Office 365 管理者アカウントのユーザー
名、パスワードを入力します。
上記のコマンドを実行後、“Successfully updated 'azurestudy.jp' domain.”と表示される
と、ドメインが標準のドメインからフェデレーションドメインと変更されます。
4. [AD FS の管理] に戻り、[操作] メニュー > [最新の情報に更新] をクリックします。手順 2
のメッセージが消えていることを確認します。

231
5. 左ペインにて [AD FS] > [信頼関係] > [証明書利用者信頼] と展開して、中央ペインに
[Microsoft Office 365 Identity Platform] が登録されていることを確認します。
Note：トークン署名証明書を更新された際の注意事項
フェデレーションサーバーが発行し、Office 365 に登録されたトークン署名証明書は、期限が 1 年です。
証明書自体は、フェデレーションサーバーによって自動で更新されます。ただし、その更新を Office 365
に反映する必要があります。更新方法については、以下の記事を参照してください。
「AD FS 2.0 トークン署名証明書のロールオーバーにより、すべての Office 365 のサービスへのアクセ
スができなくなる - ディレクトリ統合サービス - Office 365 - 日本語 - Microsoft Office 365
Community (http://community.office365.com/ja-jp/w/sso/3329.aspx)」

232
11.10 ローカルイントラネットゾーンへのサイトの登録
社内の AD 環境内にて Office 365 SSO を実現させるため、AD FS フェデレーションサービス
名 (FQDN) を [Internet Explorer] の「ローカルイントラネット」ゾーンとして追加します。
1. クライアント PC にサインインします。
2. [コントロールパネル] > [インターネットオプション] を開きます。
3. [セキュリティ] タブを開き、[ローカルイントラネット] を選択して [サイト] ボタンをクリ
ックします。
4. [ローカルイントラネット] 画面にて [詳細設定] ボタンをクリックします。

233
5. [ローカルイントラネット ] 画面にて [この Web サイトをゾーンに追加する ] に
「https://sts.azurestudy.jp」と入力して [追加] ボタンをクリックします。追加したら、[閉
じる] ボタンをクリックして閉じます。
6. [セキュリティ] タブを開き、[ローカルイントラネット] を選択して [レベルのカスタマイ
ズ] ボタンをクリックします。

234
7. [ユーザー認証] > [ログオン] で [イントラネットゾーンのみ自動的にログオンする] が選
択されていることを確認します。

235
11.11 フェデレーション環境の動作確認
AD FS サーバーのセットアップが完了したら、以下の内容を基にフェデレーション環境が正常に
稼動しているか確認を行います。
AD FS サーバーでの確認
1. ドメイン管理者アカウントで AD FS サーバー ([AZSTADFS01] および [AZSTADFS02])
にサインインします。
スタートアッ
プの種類
サービスの状
態
アカウント
AD FS Windows Service 自動 (遅延実
行)
実行中(開始) 「AZURESTUDYadfssvc」
Microsoft Online Services
Sign-in Assistant
自動実行中(開始) ローカルシステムアカウント
項目内容
ログ保存場所 [アプリケーションとサービスログ] > [AD FS] > [Admin]
ソース AD FS
イベント ID 349
ログの内容フェデレーションサービスの管理サービスが正常に開始されました。AD FS の Windows
Powershell コマンドを使用すると、フェデレーションサービスの構成を変更できます。次のサ
ービスホストが追加されました:
ポリシー管理 ServiceHost
net.tcp://localhost:1500/policy
http://sts.azurestudy.jp:80/adfs/services/policystoretransfer
net.tcp://localhost:1501/adfs/services/policystoretransfer

236
項目内容
ソース AD FS
イベント ID 100
ログの内容フェデレーションサービスは正常に開始されました。次のサービスホストが追加されました:
フェデレーションサーバープロキシ ServiceHost
https://sts.azurestudy.jp:443/adfs/services/proxytrustpolicystoretransfer
AD FS 1.x 信頼情報サービス
https://sts.azurestudy.jp/adfs/fs/federationserverservice.asmx
SAML トークン発行 ServiceHost
net.tcp://localhost:1501/samlprotocol
https://sts.azurestudy.jp/adfs/services/trust/samlprotocol/proxytrust
発行 ServiceHost
http://localhost:80/adfs/services/trust/mexsoap
https://sts.azurestudy.jp:443/adfs/services/trust/proxymexhttpget/
発行 ServiceHost
https://sts.azurestudy.jp/adfs/services/trust/proxymex
https://sts.azurestudy.jp:443/adfs/services/trust/proxymexhttpget/
発行 ServiceHost
https://sts.azurestudy.jp/adfs/services/trust/2005/windowstransport
https://sts.azurestudy.jp/adfs/services/trust/2005/certificatemixed
https://sts.azurestudy.jp/adfs/services/trust/2005/certificatetransport
https://sts.azurestudy.jp/adfs/services/trust/2005/usernamemixed
https://sts.azurestudy.jp/adfs/services/trust/2005/kerberosmixed
https://sts.azurestudy.jp/adfs/services/trust/2005/issuedtokenmixedasymmetricbasic2
56
https://sts.azurestudy.jp/adfs/services/trust/2005/issuedtokenmixedsymmetricbasic25
6
https://sts.azurestudy.jp/adfs/services/trust/13/kerberosmixed
https://sts.azurestudy.jp/adfs/services/trust/13/certificatemixed
https://sts.azurestudy.jp/adfs/services/trust/13/usernamemixed
https://sts.azurestudy.jp/adfs/services/trust/13/issuedtokenmixedasymmetricbasic256
https://sts.azurestudy.jp/adfs/services/trust/13/issuedtokenmixedsymmetricbasic256
net.tcp://localhost:1501/adfs/services/trusttcp/windows
https://sts.azurestudy.jp/adfs/services/trust/proxytrust
https://sts.azurestudy.jp/adfs/services/trust/proxytrust13
https://sts.azurestudy.jp/adfs/services/trust/proxytrustprovisionusername
https://sts.azurestudy.jp/adfs/services/trust/proxytrustprovisionissuedtoken
SAML メタデータ
https://sts.azurestudy.jp/FederationMetadata/2007-06/

237
4. 別途 SQL Server の完全なインスタンスをインストールした (AD FS 構成データベースとし
て SQL Server を採用した) 場合は、[SQL Server Management Studio] を起動して、
[AdfsArtifactStore] データベース、[AdfsConfiguration] データベースがあることを確認し
ます。
※ この自習書では、SQL Server をインストールしていないため、確認は不要となります。

238
クライアント PC での確認
5. 「azurestudy.local」ドメイン内にあるクライアント PC にサインインします。
6. [Internet Explorer] を開きます。
7. アドレス欄に「https://portal.office.com/Home (Office 365 ポータル)」と入力してアクセ
スします。
8. 資格情報を求められるので、UPN [<user>@azurestudy.jp] を入力して、フォーカスを移動
([TAB] キー押下) します。

239
9. 下図のように AD FS 用の認証処理が行われます。
10. [Office 365 ポータル] ページが表示されたら、下図 (右上) のように適切なユーザーでサイ
ンインしていることを確認します。

240
STEP 12. AD FS Proxy サーバーの
セットアップ、および動作確認
この STEP では、構築した AD FS 環境に AD FS Proxy サーバーを実装する手
順について説明します。
この手順を実施することで、会社の外からでも Office 365 の各種サービスにア
クセスできる環境が整います。
 AD FS 2.1 関連をインストール
 サーバー証明書をインポートと設定
 エンドポイント HTTPS を作成
 社外 DNS の設定
 フェデレーションサーバープロキシの設定
 AD FS Proxy サーバーの動作確認

241
12.1 AD FS 2.1 関連をインストール
1. ローカル管理者アカウントで AD FS Proxy サーバー [AZSTPROXY01] にサインインし、
[サーバーマネージャー] を開きます。

242
ープール] から AD FS サーバープライマリ [AZSTADFS01] を選択して [次へ] ボタン

243
6. [サーバーの役割の選択] ページにて [役割] 一覧から [Active Directory フェデレーショ
ンサービス] のチェックボックスにチェックを付けます。
以下の画面が開きます。 [Active Directory フェデレーションサービス] が依存するサービ
ス、および機能も追加する必要があるので内容を確認し、[管理ツールを含める (存在する場
合)] チェックボックスにチェックを付けて [機能の追加] ボタンをクリックして閉じます。

244
【表：[Active Directory フェデレーションサービス] が依存するサービスと機能】
.NET Framework 4.5
Features
WCF サービス HTTP アクティブ化
ASP.NET 4.5
Web サーバー (IIS) 管理ツール [ツール] IIS 管理コンソール
Web サーバーアプリケーション開発 ASP.NET 4.5
ISAPI 拡張
.NET 拡張機能 4.5
HTTP 共通機能既存のドキュメント
HTTP エラー
セキュリティクライアント証明書マッピング認証
要求フィルター
Windows 認証
Windows プロセス
アクティブ化サービス
構成 API
プロセスモデル
[サーバーの役割の選択] ページに戻ると、[Active Directory フェデレーションサービス]
と [Web サーバー (IIS)] のチェックボックスにチェックが付きます。[次へ] ボタンをクリ
ックします。

245
7. [機能の選択] ページにて [次へ] ボタンをクリックします。 (*1)
Note：機能の確認
(*1)：手順 6 の [Active Directory フェデレーションサービス] が依存するサービスと機能にある
[.NET Framework 4.5 Features] (インストール済み) と [Windows プロセスアクティブ化サー
ビス] チェックボックスにチェックが付いていることを確認します。
8. [Active Directory フェデレーションサービス (AD FS)] ページにて [次へ] ボタンをクリ
ックします。

246
[AD FS の役割サービスの選択] ページにて、[役割サービス] から [フェデレーションサー
ビスプロキシ] チェックボックスのみにチェックを付けて [次へ] ボタンをクリックします。
9. [Web サーバーの役割 (IIS)] ページにて [次へ] ボタンをクリックします。

247
[Web サーバーの役割サービスの選択] ページにて、[役割サービス] から以下の表の項目に
チェックが付いていることを確認して [次へ] ボタンをクリックします。
【表：Web サーバーデフォルトコンポーネント】
Web サーバー HTTP 共通機能 HTTP エラー
既存のドキュメント
セキュリティ要求フィルター
Windows 認証
クライアント証明書マッピング認証
アプリケーション開発 .NET 拡張機能 4.5
ASP.NET 4.5
ISAPI 拡張
管理ツール IIS 管理コンソール

248

249

250
12. [構成が必要です。 AZSTPROXY01 でインストールが正常に完了しました。] とメッセージ
が表示されたら、[閉じる] ボタンをクリックして閉じます。
Note： 2 台目以降の AD FS Proxy サーバーでの作業
2 台目以降の AD FS PROXY サーバー ([AZSTPROXY02]) についてもこの項の作業を実施します。

251
12.2 サーバー証明書をインポートと設定
AD FS サーバーから SSL 証明書をエクスポート
[インターネットインフォメーションサービス (IIS) マネージャー] を開きます。
([AZSTADFS01 (AZURESTUDYadministrator)]) を選択します。

252
4. 中央ペインにて「11.3 サーバー証明書をインポートと設定」でインポートした SSL 証明書
を右クリックし、[エクスポート] をクリックします。
5. [証明書のエクスポート] 画面にて、以下の表のように入力して [OK] ボタンをクリックしま
す。
項目設定値
エクスポート先 pfx ファイルの保存先 (任意のファイルパス) を指定
パスワード任意のパスワードを入力
パスワードの確認 [パスワード] と同じ値を入力
6. 手順 5 でエクスポートされた証明書を ADFS Proxy サーバー ([AZSTPROXY01]、および
[AZSTPROXY02]) にコピーします。

253
SSL 証明書のインポート
7. ローカル管理者で AD FS Proxy サーバー [AZSTPROXY01] にサインインし、[インターネ
ットインフォメーションサービス (IIS) マネージャー] を開きます。
([AZSTPROXY01 (AZSTPROXY01studyadmin)]) を選択します。
10. 右ペインにて [インポート] をクリックします。

254
11. [証明書のインポート] 画面が表示されます。以下の表のように入力して [OK] ボタンをクリ
ックします。
項目設定値
証明書ファイル手順 6 で AD FS サーバーよりコピーした SSL 証明書 (*.pfx) ファイルパス
を指定
パスワード手順 5 で入力した「パスワード」を入力
証明書ストアの選択「個人」を選択
この証明書のエクスポートを
許可する
デフォルト (チェック ON) のままで可
12. [サーバー証明書] にインポートした証明書が表示されていることを確認します。

255
SSL 証明書の設定
IIS をインストールしたサーバーが表示されるので、そのサーバー名 ([AZSTPROXY01
(AZSTPROXY01studyadmin)]) を展開し、[サイト] > [Default Web Site] を選択します。
そして、右ペインにて [操作] の [バインド] をクリックします。
14. [サイトバインド] 画面にて、[追加] ボタンをクリックします。

256
15. [サイトバインドの追加] 画面にて、以下の表のとおり入力して [OK] ボタンをクリックしま
す。
項目設定値
種類「https」を選択
※ [IP アドレス] 、[ポート] は自動的に選択されます。
SSL 証明書手順 7 ～ 12 でインポートした SSL 証明書を選択
16. [サイトバインド] 画面に戻り、一覧に「https」が追加されていることを確認します。確認
後、[閉じる] ボタンをクリックして画面を閉じます。

257
IIS をインストールしたサーバーが表示されるので、そのサーバー名 ([AZSTPROXY01
(AZSTPROXY01studyadmin)]) を展開し、[サイト] > [Default Web Site] を選択します。
そして、右ペインにて [Web サイトの管理] にある [*:443 (https) 参照] をクリックしま
す。
18. ブラウザーが開きます。 Web サイトに ”証明書エラー” が表示されたら、[このサイトの閲
覧を続行する] をクリックします。

258
以下のページが表示されることを確認します。
2 台目以降の AD FS Proxy サーバー ([AZSTPROXY02]) についてもこの項の作業を実施します。

259
12.3 エンドポイント HTTPS を作成
AD FS Proxy サーバーの冗長化は、エンドポイントの負荷分散セットを作成することによって実
現することができます。
1 台目の操作
2. 画面左側のメニューから [仮想マシン] をクリックします。

260
3. AD FS Proxy サーバー [AZSTPROXY01] をクリックします。
4. [エンドポイント] タブを開き、画面下部の [追加] をクリックします。

261
5. [エンドポイントの追加] ウィザードが表示されます。以下、ウィザードに従って操作してい
きます。
[仮想マシンにエンドポイントを追加します] ページにて [スタンドアロンエンドポイントの
追加] を選択して右下の [→] をクリックします。
[エンドポイントの詳細を指定します] ページにて以下の表のとおりに入力して右下の [→]

262
【表：[エンドポイントの詳細を指定します] ページの設定値】
項目設定値
名前「HTTPS」を選択
プロトコル「TCP」を選択 (*1)
パブリックポート「443」を入力 (*1)
プライベートポート「443」を入力 (*1)
負荷分散セットの作成チェック ON
DIRECT SERVER RETURN の有効化チェック OFF
・ (*1)：[名前] 項目の設定値を選択することで自動的に設定されます。
[負荷分散セットの構成] ページにて以下の表のとおりに入力して右下の [チェック] をクリ
ックします。
【表：[負荷分散セットの構成] ページの設定値】
項目設定値
負荷分散セット名「AZSTPROXY-LB (任意の名前)」を入力
プローブプロトコル「TCP」を選択 (*2)
プローブポート「443」を入力 (*2)
プローブの間隔「15 (秒)」を入力 (*3)
プローブの数「2 (回)」を入力 (*3)
・ (*2)：自動的に設定値が設定されます。
・ (*3)：自動的に設定値が設定されます。必要に応じて任意の値を設定することも可。

263
しばらくすると、[HTTPS] エンドポイントが追加されます。

264
2 台目以降の操作
6. 手順 5 までで作成したエンドポイントの負荷分散セットに 2 台目以降の AD FS Proxy サ
ーバーを紐付けます。 AD FS Proxy サーバー [AZSTPROXY02] の [エンドポイント] タブ
を開き、画面下部の [追加] をクリックします。
7. [エンドポイントの追加] ウィザードが表示されます。以下、ウィザードに従って操作してい
きます。

265
[仮想マシンにエンドポイントを追加します] ページにて [既存の負荷分散セットにエンドポ
イントを追加する] を選択し、その下にあるプルダウンから「AZSTPROXY-LB (手順 5 の [負
荷分散セットの構成] ページにて [負荷分散セット名] に入力した名前)」を選択して右下の
[→] をクリックします。
[エンドポイントの詳細を指定します] ページにて以下の表のとおりに入力して右下の [チェ
ック] をクリックします。

266
【表：[エンドポイントの詳細を指定します] ページの設定値】
項目設定値
名前「HTTPS」を入力
プロトコル使用不可 (「TCP」) (*1)
パブリックポート使用不可 (「443」) (*1)
プライベートポート使用不可 (「443」) (*1)
負荷分散セットの再作成チェック OFF
DIRECT SERVER RETURN の有効化使用不可 (チェック OFF)
・ (*1)：自動的に設定されます。
しばらくすると、[HTTPS] エンドポイントが追加されます。

267
12.4 社外 DNS の設定
Note：ドメインとアドレスのマッピング
一般的にドメインとアドレスをマップするには、2 通りの方法があります。
① A レコードを特定の IP アドレスにマップする
② CNAME レコードを使用して、サブドメインを別の DNS エントリーにマップする
Azure は、アプリケーションに割り当てられた IP アドレスを変更する権利を留保しているため、①の方
法は Azure アプリケーションには適しません。
Azure では、②の方法が適しています。ドメイン登録業者が提供するツールを使用して、アプリケーショ
ン用に使用するサブドメインを、Azure から提供された名前に対応付ける必要があります。この自習書で
取り扱っているドメイン名を題材として説明すると、Azure でのドメイン名 (AD FS Proxy サーバーのク
ラウドサービス DNS 名) が azstproxy.cloudapp.net で、ドメイン名 azurestudy.jp を登録している
場合は、sts サブドメインを azstproxy.cloudapp.net にマップする CNAME エントリーを作成すること
で、sts.azurestudy.jp (＝フェデレーションサービス名) という名前でアクセスできるようになります。
1. ドメイン登録情報を管理している DNS にフェデレーションサービス名「sts.azurestudy.jp」
を「azstproxy.cloudapp.net」にマップする CNAME レコードを追加してください。
2. 登録情報の変更が反映されるまで待ちます。
3. クライアント PC で、コマンドプロンプトを開き、 [nslookup] コマンドで
「sts.azurestudy.jp」と入力して、設定した CNAME レコードが正常に登録できていること
を確認します。

268
Note：インターネット経由で AD FS サーバーにアクセスする際の名前解決
インターネット経由で AD FS サーバーにアクセスする際、AD FS Proxy サーバーにて名前解決を行う必
要があります。
オンプレミス環境の場合は Hosts ファイルなどで「フェデレーションサービス名」と「IP アドレス」を
紐付けます。
仮想ネットワーク上の仮想マシンの場合は、仮想ネットワークで設定した DNS サーバーを参照するよう
になっているので、これらの DNS サーバーにて「フェデレーションサービス名」と「IP アドレス」を紐
付けます。 (この自習書では、「11.3 社内 DNS の設定」にて実施済みです。)
[ipconfig /all] コマンドで確認

269
12.5 フェデレーションサーバープロキシの設定
1. ローカル管理者で AD FS Proxy サーバー [AZSTPROXY01] にサインインし、[AD FS フェ
デレーションサーバープロキシの構成ウィザード]を開きます。
2. [ようこそ] ページにて [次へ] ボタンをクリックします。

270
3. [フェデレーションサービス名の指定] ページにて、[フェデレーションサービス名] に
「sts.azurestudy.jp」を入力します。
※ 必要に応じて、[このフェデレーションサービスへの要求送信時に HTTP プロキシサー
バーを使用する] チェックボックスにチェックを付けて [HTTP プロキシサーバーのア
ドレス] を指定してください。(この自習書では不要です。)
[フェデレーションサービス名] を入力したら、[テスト接続] をクリックします。フェデレ
ーションサービス名が正しい場合は、下図のメッセージボックスが開きます。
[次へ] ボタンをクリックします。

271
4. [Windows セキュリティ] 画面が開きます。「11.4 AD フェデレーション用サービスアカ
ウントの作成」で作成したアカウントのユーザー名とパスワードを入力します。

272
6. AD FS フェデレーションサーバープロキシの構成のセットアップが完了するまで待ちます。
7. AD FS フェデレーションサーバープロキシの構成のセットアップが完了したら、[閉じる]
ボタンをクリックして閉じます。
2 台目以降の AD FS PROXY サーバー ([AZSTPROXY02]) についてもこの項の作業を実施します。

273
12.6 AD FS Proxy サーバーの動作確認
AD FS Proxy サーバーのセットアップが完了したら、以下の内容を基にフェデレーション環境が
正常に稼動しているか確認を行います。
AD FS Proxy サーバーでの確認
1. ローカル管理者で AD FS Proxy サーバー ([AZSTPROXY01] および [AZSTPROXY02])
にサインインします。
スタートアッ
プの種類
サービスの状
態
アカウント
AD FS Windows Service 自動 (遅延実
行)
実行中(開始) 「Network Service」
項目内容
ソース AD FS
イベント ID 198
ログの内容フェデレーションサーバープロキシは正常に開始しました。次のプロキシリスナーが追加さ
れました:
http://+:80/adfs/services/trust/
https://+:443/adfs/services/trust/
https://+:443/FederationMetadata/2007-06/

274
クライアント PC での確認
4. 「azurestudy.local」ドメイン外にあるクライアント PC にサインインします。
5. [Internet Explorer] を開きます。
6. アドレス欄に「https://portal.office.com/Home (Office 365 ポータル)」と入力してアクセ
スします。
7. 資格情報を求められるので、UPN [<user>@azurestudy.jp] を入力して、フォーカスを移動
([TAB] キー押下) します。
６

275
8. 下図のように AD FS 用の認証処理が行われます。
9. [サインイン] ページ (AD FS Proxy サーバー) では、AD の資格情報が求められますので、
手順 7 のアカウントのユーザー名とパスワードを入力し、[サインイン] ボタンをクリックし
ます。

276
10. [Office 365 ポータル] ページが表示されたら、下図 (右上) のように適切なユーザーでサイ
ンインしていることを確認します。

277
STEP 13. ファイアウォールの設定
この自習書では、AD FS 環境を利用するに当たって必要なネットワーク設計、お
よび設定 (主に、オンプレミス側) については省略しています。必要に応じて以
下の設計を行うための参考資料を紹介します。
 Office 365 向けファイアウォール
 (必要に応じて) WAN アクセレーター
 (必要に応じて) インターネットの帯域幅

278
13.1 ファイアウォールの設定
以下の URL には、Office 365 利用時に使用する URL 、ポート、IP アドレスについて記載して
おります。
必要に応じてファイアウォールの設計を行ってください。
「 Office 365 URLs and IP address ranges (http://technet.microsoft.com/en-
us/library/hh373144.aspx)」
※ 構築の際には、最新の情報をご確認ください。
以下の URL には Office 365 の必要なポートとプロトコルを記載しております。
「 Office 365 で使用されるポートとプロトコル (http://technet.microsoft.com/ja-
jp/library/hh852522.aspx)」
※ 構築の際には、最新の情報をご確認ください。

279
STEP 14. マルチドメインの設定
この STEP では、Office 365 に複数のトップレベルドメインを追加し、それら
のドメインに属するユーザーが AD FS サーバーで認証できるようにするための
設定について説明します。
 マルチドメインの設定

280
14.1 マルチドメインの設定
Note：複数のトップレベルドメインのサポート
複数のトップレベルドメインのサポート - ディレクトリ統合サービス - Office 365 - 日本語 -
Microsoft Office 365 Community
http://community.office365.com/ja-jp/w/sso/1007.aspx
以下、抜粋
単一のトップレベルドメインと複数のサブドメインを使用している場合、"SupportMultipleDomain" ス
イッチは必要ないことにご注意ください。たとえば、UPN サフィックスに使用されているドメインが
@sales.contoso.com、@marketing.contoso.com、および @contoso.com で、トップレベルドメイ
ン ( この場合、 contoso.com) が追加されてからフェデレーションが行われた場合、
"SupportMultipleDomain" スイッチを使用する必要はありません。これは、これらのサブドメインが親
の範囲内で効率的に管理されており、単一の AD FS サーバーを利用して既にこれを処理できているためで
す。
ただし、複数のトップレベルドメイン (@contoso.com および @fabrikam.com) を使用していて、こ
れらのドメインにサブドメイン (@sales.contoso.com および @sales.fabrikam.com) も存在する場
合、"SupportMultipleDomain" スイッチはサブドメインに対して機能しないため、これらのユーザーはロ
グインできなくなります。マイクロソフトでは、この問題の解決に取り組んでおり、準備が整い次第、解
決策を掲載する予定ですが、それまではこのソリューションをサポートすることができません。
「オンプレミスユーザーアカウントの UPN を SSO が有効な異なるドメインサフィックスに更新した
後、Azure AD に変更が同期されない (http://support.microsoft.com/kb/2669550)」
「Office 365 で 2 つ目のフェデレーションドメインを構成しようとすると表示されるエラー："AD FS
2.0 サーバーに指定するフェデレーションサービスの識別子は既に使用されています ”
(http://support.microsoft.com/kb/2618887/ja)」
この項では以下の例を用いて AD FS サーバーの設定方法について説明します。
現在のフェデレーションドメイン azurestudy.jp
新たに追加するフェデレーションドメイン contoso.jp

281
Office 365 にドメインを追加
1. 「STEP 5. Office 365 へドメインの追加、およびドメインの確認」の手順に従って、新たな
トップレベルドメインを追加してください。
AD FS サーバーの設定
2. ドメイン管理者アカウントで AD FS サーバープライマリ [AZSTADFS01] にサインインし
ます。
3. [Windows PowerShell 用モジュール] を「管理者として実行」で開きます。
4. 以下のコマンドを実行します。
$cred=Get-Credential (*1)
Connect-MsolService –Credential $cred
Update-MSOLFederatedDomain -DomainName azurestudy.jp
 (*1)：資格情報を求められるので、Office 365 管理者アカウントのユーザー名、パスワ
ードを入力します。

282
5. 結果、以下の画面のようになります。
6. [PowerShell] 画面は開いたまま [AD FS の管理] を開きます。
7. 左ペインにて [AD FS] > [信頼関係] > [証明書利用者信頼] を展開し、[証明書利用者信頼]
に登録されている「Microsoft Office 365 Identity Platform」を削除します。
Note：注意事項
確認メッセージボックスが開くので、[はい] ボタンをクリックします。
この手順を実行すると、手順 10 が完了するまで、ユーザーは Office 365 にログオンできなくなり
ます。

283
8. 再び [PowerShell] 画面に戻り、以下のコマンドを実行して 2 つ目のフェデレーションド
メインを追加、または変換します。
Update-MsolFederatedDomain -DomainName azurestudy.jp –SupportMultipleDomain
Convert-MsolDomainToFederated -DomainName contoso.jp -SupportMultipleDomain
9. 結果、以下の画面のようになります。
10. 再び [AD FS の管理] に戻って [操作] メニュー > [最新の情報に更新] をクリックし、 [証
明書利用者信頼] に新たに「Microsoft Office 365 Identity Platform」が登録されていること
を確認します。

284
以上で UPN ドメインを複数登録するマルチドメイン対応手順は完了です。
ユーザーが OWA を利用する際の URL は以下どちらでも可能です。
https://www.outlook.com/azurestudy.jp
https://www.outlook.com/contoso.jp

285
STEP 15. アクセス制御
この STEP では、Office 365 を利用するユーザーのアクセスを制限するための
設定方法ついて説明します。
この機能により、Office 365 を利用するユーザーのアクセスを制限することが可能で
す。
Note：注意事項
Web ブラウザーによるアクセスの場合、要求元 IP アドレスを制限することはできま
せん。こちらは、AD FS Proxy サーバーの IIS の設定 (ファイアウォールの受信の
規則) により制御することができます。
※この自習書では割愛します。
 要求記述の登録
 要求規則の登録
 規則のセット

286
15.1 要求記述の登録
[AD FS の管理] コンソールを開きます。
2. 左ペインにて [AD FS] > [サービス] > [要求記述] を展開し、右ペインにて [操作] の [要
求記述の追加] をクリックします。
3. [要求記述の追加] 画面に必要な情報を登録します。

287
4. 手順 3 の画面で以下の内容を登録します。
表示名
(*1)
要求識別子 (*2) 説明 (*3)
要求元 IP
アドレス
http://schemas.microsoft.com/2012/01/requestc
ontext/claims/x-ms-forwarded-client-ip
要求元の IP アドレスを制御 (Office
365 を経由したデバイスに限る) (*4)
→ Web ブラウザーによるアクセスは
Office 365 を経由せずに AD FS へ接
続する為、OWA 利用の際にクライアン
ト IP アドレスを制限することはできま
せん
要求元アプ
リケーショ
ンの種類
ontext/claims/x-ms-client-application
要求元のアプリケーションの種類を制御
使用デバイ
スの種類
ontext/claims/x-ms-client-user-agent
使用しているデバイスの種類を制御
AD FS
Proxy 経由
ontext/claims/x-ms-proxy
AD FS Proxy 経由か否かで制御
ブラウザー
ベースアプ
リケーショ
ン
ontext/claims/x-ms-endpoint-absolute-path
ブラウザーベースのアプリケーションか
否かで制御
 (*1)：表示名は任意の名前を付けてください。必須項目。
 (*2)：要求識別子は必須項目。
 (*3)：説明は省略可。
 (*4)：社外からの Web ブラウザーによるアクセスは Office 365 を経由せずに AD FS
Proxy サーバーへ直接アクセスするため、OWA を利用する要求元 IP アドレスを制御す
ることはできません。社外から OWA を利用する IP アドレスを制御する場合は、AD
FS Proxy サーバーの IIS 設定 (ファイアウォールの受信の規則) により制御する必要
があります。
 [このフェデレーションサービスが受け付けることができる要求の種類としてこの要求
記述をフェデレーションメタデータで公開する] チェックボックスにチェックを付けま
す。
 [このフェデレーションサービスが送信できる要求の種類としてこの要求記述をフェデ
レーションメタデータで公開する] チェックボックスにチェックを付けます。

288

289
15.2 要求規則の登録
この項では、「15.1 要求記述の登録」にて作成した要求記述を要求プロバイダー信頼にセットする
手順を説明します。
2. 左ペインにて [AD FS] > [信頼関係] > [要求プロバイダー信頼] を展開し、中央ペインにて
[Active Directory] を右クリックし、[要求規則の編集] をクリックします。

290
3. [Active Directory の要求規則の編集] 画面の [受け付け変換規則] タブの [規則の追加] ボ
4. [変換規則の追加ウィザード] 画面の [規則テンプレートの選択] ページが表示されるので、
[要求規則のテンプレート] 欄にて [入力方向の要求をパススルーまたはフィルター処理] を
選択し [次へ] ボタンをクリックします。

291
5. [規則の構成] ページが表示されるので、[要求規則名] 欄に「要求元 IP アドレス要求のパス
スルー (任意の名前)」を入力し、[入力方向の要求の種類] 欄に「要求元 IP アドレス」を選
択して [完了] ボタンをクリックします。
6. [Active Directory の要求規則の編集] 画面に戻り、[受け付け変換規則] タブで作成した規則
を選択し [規則の編集] ボタンをクリックします。

292
7. [規則の編集 – 要求元 IP アドレス要求のパススルー] 画面が表示されるので [規則言語の
表示] ボタンをクリックします。
8. 表示画面にて下図のような表記になっていることを確認し [OK] ボタンをクリックします。

293
9. [規則の編集 – 要求元 IP アドレス要求のパススルー] 画面に戻るので、[OK] ボタンをク
リックして閉じます。
10. 手順 3 ～ 9 を繰り返し、以下の残りの 4 つの要求規則を追加します。
 要求元アプリケーションの種類要求のパススルー
 使用デバイスの種類要求のパススルー
 AD FS Proxy 経由要求のパススルー
 ブラウザーベースアプリケーション要求のパススルー

294
15.3 規則のセット
この項では、「15.2 要求規則の登録」にて作成した要求規則を証明書利用者信頼にセットする手順
を説明します。
本手順により、AD FS にてアクセス制御が行われます。
例 1) Office 365 へのアクセスは、社内からのアクセスに限定する
・社内からインターネットにアクセスする場合には Proxy を経由し、Proxy で使用するグロー
バル IP アドレスは、「111.111.111.111」または「222.222.222.222」とする。
本ルールは「社内や別拠点 (海外拠点など) の利用は許可するが、それ以外の利用は拒否する」際
に使用します。
この場合、IP アドレスは拠点で利用しているプロキシサーバーの IP アドレスを指定します。
2. 左ペインにて [AD FS] > [信頼関係] > [証明書利用者信頼] を展開し、中央ペインにて
[Microsoft Office 365 Identity Platform] を右クリックし、[要求規則の編集] をクリックし
ます。

295
3. [要求規則の編集] 画面が表示されるので、[発行承認規則] タブの [規則の追加] ボタンをク
リックします。
4. [規則テンプレートの選択] ページが表示されるので、[要求規則テンプレート] 欄にて [カス
タム規則を使用した要求の送信] を選択し、[次へ] ボタンをクリックします。

296
5. [規則の構成] ページで、[要求規則名] 欄にてこの規則の名前を入力します。 (任意の名前を
入力します。)
[カスタム規則] 欄にて、以下の要求規則の言語の構文を入力し、[完了] ボタンをクリックし
ます。
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-
proxy"])
&& NOT exists([Type ==
"http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-
client-ip", Value =~ "b111.111.111.111b|b222.222.222.222b"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value =
"true");

297
6. 発行承認規則が作成されたことを確認し [OK] ボタンをクリックします。

298
例 2) Office 365 へのアクセスは、社内からのアクセスに限定する。ただし、特定の
セキュリティグループに所属するユーザーの社外からの利用は許可する。
・社内からインターネットにアクセスする場合には Proxy を経由し、Proxy で使用するグロー
バル IP アドレスは、「111.111.111.111」または「222.222.222.222」とする。
・セキュリティグループの SID は、「S-1-5-21-397933417-626991126-188441444-512」
とする。
例 1 の手順を参考にし、[カスタム規則] 欄にて、以下の要求規則の言語の構文を入力します。
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-
proxy"]) &&
NOT exists([Type ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "S-1-5-
21-397933417-626991126-188441444-512"]) &&
NOT exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-
forwarded-client-ip",
Value=~"b111.111.111.111b|b222.222.222.222b"])
=> issue(Type = "http://schemas.microsoft.com/authorization/claims/deny", Value
="true");
参考情報 URL : 「クライアントの場所に基づいた Office 365 サービスに対するアクセスの制限
(http://community.office365.com/ja-jp/w/sso/927.aspx)」

299
STEP 16. 認証ログ
AD FS のサービスは AD の接続処理と Office 365 の信頼関係の処理結果を
AD FS サーバーのイベントビューアーのログから取得できます。
この STEP では、ログの保存場所、設定方法について説明します。
 認証失敗ログ (AD FS によって制御されたログ)
 認証成功ログ (AD FS によって認証されたログ)
 AD FS トレースログの設定

300
16.1 認証失敗ログ (AD FS によって制御されたログ)
ログの内容
項目内容
ログ保存場所 [アプリケーションとサービス] > [AD FS 2.1] > [Admin]
イベント ID 325 (付加情報のログのイベント ID:501)
ログの内容 Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException
: MSIS5007: 証明書利用者信頼 urn:federation:MicrosoftOnline の発信者 ID
azurestudystudyuser01 に対する発信者の承認が失敗しました。
付加情報のログに含まれる項目
 ユーザー ID
 所属グループの SID
 日付・時刻
 アクセス元の IP アドレス
 アクセスプロトコル (RPC/HTTPS, POP/IMAP, ActiveSync など)
 アクセスアプリケーション (Outlook であればバージョンやエディション)

301
認証失敗ログ (AD FS によって制御されたログ) の例
 例①
 例②

302
 例③

303
16.2 認証成功ログ (AD FS によって認証されたログ)
「16.3 AD FS トレースログの設定」後、すべてのログが表示されます。認証成功ログを参照する
場合は、「16.3 AD FS トレースログの設定」を行ってください。
ログの内容
項目内容
ログ保存場所 [Windows ログ] > [セキュリティ]
イベント ID 299 (付加情報のログのイベント ID: 500, 501)
ログの内容トークンは証明書利用者 'urn:federation:MicrosoftOnline' に対して正常に発行さ
れました。発行された要求については同じインスタンス ID を持つ監査 500 を参照
してください。発信者 ID については同じインスタンス ID を持つ監査 501 を参
照してください。 OnBehalfOf ID (存在する場合) については、同じインスタンス ID
を持つ監査 502 を参照してください。 ActAs ID (存在する場合) については、同じ
インスタンス ID を持つ監査 503 を参照してください。
 ユーザー ID
 所属グループの SID
 日付・時刻
 アクセス元の IP アドレス
 アクセスプロトコル (RPC/HTTPS, POP/IMAP, ActiveSync など)
 アクセスアプリケーション (Outlook であればバージョンやエディション)

304
認証成功ログ (AD FS によって認証されたログ) の例
 例①
 例②

305
 例③
 例④

306
16.3 AD FS トレースログの設定
[ローカルセキュリティポリシー] を開きます。
2. 左ペインにて [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] を
展開し、右ペインの一覧から [セキュリティ監査の生成] のプロパティを開きます。
3. [セキュリティ監査の生成] に AD フェデレーション用サービスアカウントが登録されて
いることを確認します。

307
4. [PowerShell] または [コマンドプロンプト] を「管理者として実行」で開き、以下のコマン
ドを実行します。
auditpol.exe /set /subcategory:"生成されたアプリケーション" /failure:enable
/success:enable
※ 実際は 1 行で入力します。
元に戻す場合のコマンドは以下のとおりです。
auditpol.exe /set /subcategory:"生成されたアプリケーション" /failure:disable
/success:disable
※ 実際は 1 行で入力します。
5. [AD FS の管理] を開きます。
6. 左ペインにて [AD FS] を選択し、右ペインにて [操作] の [フェデレーションサービスのプ
ロパティの編集] をクリックします。

308
7. [フェデレーションサービスのプロパティ] 画面が表示されます。 [イベント] タブを開き、
赤枠のすべてのチェックボックスにチェックを付けます。そして、[OK] ボタンをクリックし、
画面を閉じます。
8. [PowerShell] または [コマンドプロンプト] を「管理者として実行」で開き、以下のコマン
ドを実行します。
wevtutil sl "AD FS Tracing/Debug" /l:5
元に戻す場合のコマンドは以下のとおりです。
wevtutil sl "AD FS Tracing/Debug" /l:4

309
9. [イベントビューアー] を開きます。
10. [表示] > [分析およびデバッグログの表示] をクリックします。

310
11. 左ペインにて [イベントビューアー] > [アプリケーションとサービスログ] > [AD FS ト
レース] > [Debug] と展開し、[Debug] を右クリックして [ログの有効化] をクリックしま
す。
Note：既に「ログの有効化」を行っている場合
既に有効な場合は手順 8 にてエラーが発生します (事前に無効にしてから手順 8 を実施することで
解消します)
12. 確認メッセージボックスが開くので、[OK] ボタンをクリックします。

311
13. AD FS トレースログが表示されます。

312
STEP 17. Appendix
 SSO と仮想マシンを使用した AD DS または AD FS と Office 365 の展開
 社内 VPN に関する要件
 IP アドレス指定と名前解決
 ディレクトリ同期するオブジェクトの要件
 対応しているルート証明機関

313
17.1 SSO と仮想マシンを使用した AD DS または AD FS と
Office 365 の展開
Azure の展開ガイドライン
Windows Server AD を仮想マシン上で展開する際のガイドラインは、社内で (仮想マシンで、あ
るいは多くの場合は物理コンピューターで) 実行する場合と同じです。通常は、同じベストプラ
クティスが Azure 内の仮想ドメインコントローラーに適用されます。
Azure 上での AD DS と AD FS の仮想化と展開に関する詳しいガイドラインは、「Azure の仮想
マシンでの Windows Server Active Directory のデプロイガイドライン
(http://msdn.microsoft.com/library/azure/jj156090.aspx)」に記載されています。
これらのガイドラインは、仮想マシン上でのドメインコントローラーの展開に関する一般的なガ
イダンスとして使用することをお勧めします。
また、以下の原則に従う必要があります。
 読み取り/書き込みドメインコントローラーを展開する必要があります。読み取り専用ドメ
インコントローラーをディレクトリ同期で使用することはサポートされていません。
 AD フォレストに複数のユーザードメインが含まれている場合は、ドメインごとに 1 つ以上
のドメインコントローラーを Azure に展開する必要があります。これにより、サービスへ
の連続アクセスが保証され、VPN トンネルを通過する認証トラフィックが削減されます。
 AD FS サービスの最良の可用性を実現するために、AD FS サーバーと AD FS Proxy サーバ
ーを 2 台以上展開することをお勧めします。
 ドメインコントローラーと AD FS サーバーは絶対に直接インターネットに公開しないで、
VPN を経由した場合にのみ到達できるようにすることをお勧めします。
 AD FS サーバーをインターネットに公開する場合には AD FS Proxy を使用する必要があり
ます。
 Office 365 ディレクトリ統合コンポーネント間の遅延を削減するために、ドメインコントロ
ーラーと AD FS サーバーを単一のアフィニティグループとして展開することをお勧めしま
す。詳細については、「地域 Vnet および仮想ネットワークのアフィニティグループについ
て (http://msdn.microsoft.com/library/azure/jj156085.aspx)」を参照してください。

314
AD サイト、サブネット、レプリケーショントラフィック
展開を最適化するには、ドメインコントローラーロケーター、サイト間トポロジジェネレーター
(ISTG)、サイト間メッセージングサービス (ISM) のトラフィックの微調整を検討します。
 AD のサブネットとサイトを正しく定義して接続します。
 社内サイトと Azure サイトとの間のリンクコストが社内サイトのリンクコストを上回るよ
うにします。リンクコストが大きければ大きいほど、社内のコンピューターが社内での操作
のために VPN 接続を通過して Azure 内のドメインコントローラーに接続する可能性が小
さくなります。
 レプリケーションは、通知に従ってではなく、スケジュールに従って駆動されるようにします。
 レプリケーショントラフィックで適切な量の圧縮が使用されるようにします。ドメインコ
ントローラーは、さまざまなレプリケーショントラフィック圧縮ツールを提供しています。
詳細については、「 Active Directory レプリケーションツールと設定
(http://technet.microsoft.com/ja-jp/library/cc739941(v=ws.10).aspx)」を参照してく
ださい。
 レプリケーションスケジュールを遅延許容範囲に合わせて調整します。ドメインコントロ
ーラーは値の最後の状態しかレプリケートしません。小規模なオブジェクトの変更が大量に
発生した場合は、レプリケーションを遅らせることによって、コストが節約されます。
AD FS の公開
クライアントにフェデレーションアプリケーションとフェデレーションサービスへのアクセス
を提供するために、AD FS エンドポイントが使用されます。クライアントの認証が成功すると、
エンドポイントからクライアントに認証トークンが発行されます。 AD FS サーバー上でこれらの
エンドポイントを管理し、それぞれを AD FS Proxy サーバーを介して安全に公開します。
基本認証クライアント (Outlook を含む) の接続を許可するには、AD FS インフラストラクチャ
が AD FS Proxy 経由でインターネットからアクセスできる必要があります。そうでない場合は、
どの Outlook クライアントも認証できなくなります (内部の組織のネットワークからでさえも)。

315
17.2 社内 VPN に関する要件
社内のネットワークを仮想マシンに接続するには、VPN を構成する必要があります。そのため、
インターネットに直接公開されている VPN デバイスを構内に設置する必要があります。現時点
で、ネットワークアドレス変換 (NAT) はサポートされていません。
社内 VPN デバイスは、以下の機能をサポートする必要があります。
 インターネットキー交換バージョン 1 (IKEv1)。
 トンネルモードで IPsec アソシエーションを確立します。
 NAT トラバーサル (NAT-T)。
 AES 128 ビット暗号化関数、SHA-1 ハッシュ関数、グループ 2 モードの Diffie-hellman
Perfect Forward Secrecy。
 VPN デバイスは、VPN ヘッダーを付けてデータをカプセル化する前に、パケットを分割する
必要があります。
Note： VPN デバイスを NAT の背後に配置することはできません
VPN デバイスを NAT の背後に配置することはできません。 VPN デバイスには、インターネットに接続
するパブリック IPv4 アドレスを付与する必要があります。
仮想ネットワークでサポートされている VPN デバイスの一覧については、「仮想ネットワークに
使用する VPN デバイスについて (http://msdn.microsoft.com/ja-
jp/library/windowsazure/jj156075.aspx)」を参照してください。

316
17.3 IP アドレス指定と名前解決
基本的に仮想マシンの内部 IP アドレスは DHCP によって払い出される IP アドレスを使用す
ることになります。そうする場合、仮想ネットワークに接続される仮想マシンの IP アドレスは、
そのマシンが使用停止になるまで変化しません。つまり、ドメインコントローラーと併置されて
いる場合 (推奨)、IP アドレスに関する Windows Server AD の要件は、DNS の要件と同様に満
たされるということです。加えて、仮想ネットワークでは、IP アドレス指定と DNS に対する高
度な制御が行えます。
IP アドレスの指定
仮想マシンは、DHCP リースアドレスを使用するように構成する必要があります。 Azure は、リ
ースが期限切れになることや、仮想マシン間で移動することが起こらないようにします。この非静
的構成は、ほとんどの AD 管理者が使い慣れているものと正反対ですが、仮想マシンが VPN や社
内サーバーとシームレスに連動するための要件になっています。
Note：過去にリースされたアドレスの取り扱いについて
過去にリースされたアドレスを静的に定義することは考慮しないでください。このアドレスはリース期間
が残っている間は機能しますが、リース期間が切れると、仮想マシンがネットワークとのすべての通信を失
い、ネットワークから切断されます。
名前の解決
ドメインコントローラー上に Windows Server DNS を展開する必要があります。 Azure DNS
は Windows Server AD DS の複雑な名前解決ニーズを満たしておらず、動的サービスレコード
(SRV レコード) などもサポートしていません。 Windows Server の社内展開と同様に、Active
Directory DNS はドメインコントローラーとドメインに参加しているクライアントにとって極め
て重要な構成項目の 1 つです。
フォールトトレランスとパフォーマンス上の理由から、Azure 上で動作しているドメインコント
ローラーに Windows Server DNS サービスをインストールすることをお勧めします。

317
17.4 ディレクトリ同期するオブジェクトの要件
この項では、社内 AD と Office 365 との間のディレクトリ同期を成功させるために必要な要件
について説明します。
ディレクトリ同期を行うに当たっては、社内 AD 上のオブジェクトが以下の要件に満たしている
必要があります。
オブジェクト説明
sAMAccountName ・利用できる最大文字数は 20 文字
・以下の禁則文字は利用できません
 ` ~ ! @ # $ % ^ & * + = { } [ ] : " ; ' < > ? , /
・無効な ”sAMAccountName” でも有効な ”userPrincipalName” を持っていればユーザ
ーは Office 365 に同期されます
・ ” sAMAccountName ” および ” userPrincipalName ” が無効な場合、 AD 上で ”
userPrincipalName” を有効なものに修正します
givenName ・利用できる最大文字数は 64 文字
 ?@+
sn (surname) ・利用できる最大文字数は 256 文字
 ?@+
displayName ・利用できる最大文字数は 256 文字
 ?@+
mail ・利用できる最大文字数は 256 文字
 ! #$ %&*+ / = ? ^ ` { }
・一意の値
※ 値が重複していた場合、ディレクトリ同期によって最初に同期されたユーザーが Office
365 へ反映され、それ以降のユーザーは同期されません
mailNickname ・利用できる最大文字数は 64 文字
 " [ ] : > < ;
proxyAddresses ・利用できる最大文字数は 256 文字
 ) ( ; >< ] [ ,
userPrincipalName ・ユーザー名で利用できる最大文字数は 64 文字
・ドメイン名で利用できる最大文字数は 256 文字
 }{ # ‗ $ % ~* + ) ( > < ! / = ? `1
・ディレクトリ同期の際、"&" は自動的に "_" に変換されます
・ディレクトリ同期の際、"^" は自動的に取り除かれます
・ディレクトリ同期の際、"_" はそのままです
Groups ・ディレクトリ同期の際、"@" の有無でメールの有効性を確認します
Contacts ・ディレクトリ同期の際、"@" の有無でメールの有効性を確認します

318
17.5 対応しているルート証明機関
次の表は、現在 Microsoft によって信頼されている CA の一覧です。
(2014 年 4 月現在)
CA のフレンドリ名発行元目的
Comodo Comodo Certification Authority サーバー認証、クライアント
認証
Digicert Digicert Global Root Certification Authority サーバー認証、クライアント
認証
Digicert High Assurance EV Digicert Global Root Certification Authority サーバー認証、クライアント
認証
Entrust Entrust.net Secure Server Certification Authority サーバー認証、クライアント
認証
Entrust (2048) Entrust.net Secure Server Certification Authority サーバー認証、クライアント
認証
Equifax Equifax Secure Certification Authority サーバー認証、クライアント
認証
GlobalSign GlobalSign Certification Authority サーバー認証、クライアント
認証
Go Daddy Go Daddy Class 2 Certification Authority サーバー認証、クライアント
認証
Network Solutions Network Solutions Certification Authority サーバー認証、クライアント
認証
PositiveSSL Comodo Certification Authority サーバー認証、クライアント
認証
SECOM セコムトラストシステムズ証明機関サーバー認証、クライアント
認証
UTN-UserFirst-Hardware Comodo Certification Authority サーバー認証、クライアント
認証
VeriSign Class 3 Public Primary Certification Authority サーバー認証、クライアント
認証
VeriSign VeriSign Trust Network サーバー認証、クライアント
認証

319
おわりに
この自習書では、すべての Office 365 SSO 統合コンポーネントを Azure で展開する環境の構築
について学習しました。
Office 365 SSO 統合コンポーネントを Azure に展開することで、コスト削減、迅速な展開、ビ
ジネス継続性の向上、災害対策、社内ネットワークに対する依存の低減などのメリットを得ること
ができます。
なお、この自習書で取り扱った環境を構築するために、以下の自習書についてもご参考ください。
 Microsoft Azure 自習書シリーズ「企業内システムと Microsoft Azure の VPN 接続」
 Microsoft Azure 自習書シリーズ「企業内システムと Microsoft Azure の VPN 接続、Active
Directory 連携」
 Microsoft Azure 自習書シリーズ「企業内システムと Microsoft Azure の VPN 接続、ファイ
ルサーバー連携」
 Microsoft Azure 自習書シリーズ「企業内システムと Microsoft Azure の VPN 接続、Active
Directory、ファイルサーバー連携」
この自習書が仮想マシンを使用して Office 365 SSO 統合コンポーネントを構築する手助けにな
れば幸いです。

320
執筆者プロフィール
Cloudlive 株式会社（http://www.cloudlive.jp/）
皆様が Microsoft Azure の恩恵を受け、最大限に活用できるよう、支援することをミッションと
した企業です。24/365 の運用監視や、各種コンサルティング、開発支援を行っています。
Azure の 2008 年プレビュー時から、Azure 事業に取り組んでおり、Windows, Linux ともに日本
TOP のノウハウと実績を持ちます。Microsoft Azure MVP 経験者が 4 名在籍しており、Microsoft
本社へフィードバックや情報交換も頻繁に行うとともに、変化の速いクラウド業界において最新の
ノウハウを提供します。お困りの点がありましたら、ぜひご相談ください。本書に対する感想や、
ご意見もお待ちしています。

Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携

More Related Content

What's hot (19)

Viewers also liked (7)

Similar to Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携 (20)

More from kumo2010 (20)

Microsoft Azure 自習書シリーズ No.6 企業内システムとMicrosoft AzureのVPN接続、ADFS、Office 365との連携