Azure Managed Service Column <Azure運用コラム>

Azure AD Connect Healthとは?社外からIDインフラ監視を実現する方法を紹介

Category: 入門編

2022.11.17

オンプレミスのサーバ監視ができるAzure AD Connect Healthとは?

近年、働き方改革や新型コロナウイルスの感染拡大を背景に、クラウド上でオンプレミスのサーバ監視や ID 管理を行う動きが加速しています。クラウドベースでオンプレミスの ID 、インフラの監視・分析ができると、管理者は社外からサーバーの監視が可能となるため、リモートワークの推進やエラー時の復旧時間の短縮化につながります。

Azure では、社外の環境下からオンプレミスのサーバを監視し、ユーザーが安全にアクセスできるように管理する機能を提供しています。

本記事では、 Azure の ID インフラを監視する Azure AD Connect Health について、分かりやすく紹介します。

1.Azure AD Connect Healthとは

まず前提として、Azure AD との同期に使われる Azure AD Connect について紹介します。続いて、 Azure AD Connect を含む、 Azure AD との同期に必要となるサーバー監視に活用できる Azure AD Connect Health についても解説していきます。

Azure AD Connectとは?

Azure AD Connect は、オンプレミスの AD と Azure AD を統合することで、ユーザーが単一の ID やパスワードを利用して、オンプレミスのアプリケーションと Microsoft 365 などのクラウドサービスにアクセスできるようにするサービスです。

社内にサーバーを設置し自前で構築する「オンプレ AD 」と、クラウド事業者のサービスを利用する「 Azure AD 」は、認証方法やデバイスの管理方法などさまざまな違いがあります。

Azure AD Connect は、オンプレ AD と Azure AD 間でアカウント情報を同期させることで、もともとオンプレ AD で利用していたアカウントを複数のクラウドサービスでも使用できるようになります。ユーザーの利便性向上や管理者の手間の削減につながります。

Azure AD Connect の詳細については以下の記事をご参照ください。

Azure AD Connect Healthとは?

ユーザーは Azure AD で認証を行うと、クラウドとオンプレミスの両方のリソースに共通の ID でアクセスできるようになります。ユーザーが安全にリソースにアクセスできるように、 Azure AD Connect Health は、オンプレミスの ID インフラストラクチャを監視・状況を把握し、信頼性の確保に役立てられます。

Azure AD Connect Health の役割は、クラウドベースでオンプレミスの ID 基盤を監視・分析できる点ですが、具体的な機能としては以下が挙げられます。

Azure AD Connectの同期の監視

オンプレ AD から Azure AD へのデータ同期時に、オブジェクトレベルの同期エラーが発生することがまれにあります。 Azure AD Connect Health では、 sync insights service などの同期エラーレポートにより、同期エラーに関連する情報を提供してくれるので、結果としてエラー修正時間の短縮につながります。

AD FSの監視

クラウドなど社外の各種サービスにサインインする際、複数のユーザー名とパスワードを入力しなければならないと手間がかかります。 Active Directory フェデレーション サービス(以下、 AD FS )はクラウドにアクセスするときに必要なトークンを発行し、オンプレミスの AD 認証基盤に一元化することで、 1 度のユーザー名やパスワードの操作で、どちらにもアクセスを可能とする機能です。

Azure AD Connect Health は、オンプレミスに実装した AD FS サーバーやプロキシの状態をクラウドから監視する際に利用できます。 AD FS サーバーの利用状況なども併せて確認できるため、管理者の負担軽減や AD FS サーバーのセキュリティ強化に役立てられます。

<Azure AD Connect Healthの仕組み>

Azure AD Connect Healthの仕組み

図版出典:Microsoft 公式サイト

2.エージェントの種類

Azure AD Connect Health を利用するには、 Azure AD との同期に必要となる Azure AD Connect や AD FS などの各サーバーにエージェントをインストールする必要があります。エージェントは対象とするサーバ毎に 3 種類が用意されています。

Azure AD Connect Health for sync( Azure AD Connect 用)

オンプレAD から Azure AD へのデータ同期時に重複した属性の同期エラーを診断および修復するために使用されます。Azure AD Connect の同期の監視に使用され、Azure AD Connectインストール時に自動的にインストールされます。

Azure AD Connect Health for AD DS( AD DS 用)

オンプレミスの Windows Server Active Directory ドメインサービス(以下、 AD DS )をクラウドから監視するために使用されます。 AD DS と Azure AD の同期監視に加えて、オンプレ AD のドメインコントローラーの詳細情報なども確認できます。

Azure AD Connect Health for AD FS( AD FS 用)

AD FS サーバのアラート情報や利用状況の分析など、クラウドから監視するために使用されます。

3.必要なライセンス

Azure AD Connect Health を使用する場合は、少なくとも Azure AD Premium P1 もしくは P2 のライセンスが 1 つ必要となります。また、追加登録されるエージェント数により、必要なライセンス数は異なるので、注意が必要です。

具体的には 1 台目は 1 ライセンスが必要となるが、 2 台目以降は 25 ライセンスずつ増えていくため、必要となるライセンス数は、以下の例を参考にして算出してみてください。

登録されているエージェント 必要なライセンスの数 監視構成の例
1 1 Azure AD Connect サーバー × 1
2 26 Azure AD Connect サーバー × 1、ドメイン コントローラー × 1
3 51 Active Directory フェデレーション サービス (AD FS)
サーバー × 1、AD FS プロキシ × 1、ドメイン コントローラー × 1

4.AD DS で Azure AD Connect Healthを使う方法

実際に AD DS サーバに Azure AD Connect Health for AD DS をインストールし、アラート情報を受け取るまでの手順と設定方法を紹介していきます。

インストール手順

手順1 Azure Active Directory 管理センターを開く

手順2 「Azure AD Connect」から「Azure AD Connect Health」を選択

手順3 「AD DS 用 Azure AD Connect Health エージェントをダウンロードする」を選択

手順4 ダウンロードが完了したら、管理者で「AdHealthAdddsAgentSetup.exe」を実行

手順5 Azure AD への認証情報が要求されるので、ユーザ名と認証情報を入力。認証が通ると PowerShell が自動で実行され、「エージェントの登録が正常に完了しました。」と表示され、インストールは完了。

設定方法

アラートの電子メール通知を有効にしたり、通知先を変更したりする場合の、設定方法を紹介します。

  • 上記インストール手順の 2 を実行した後「 AD DS サービス」を選択
  • 「設定」「操作」の「アラート」を選択して、アラート情報を確認
  • 「通知設定」から通知のオン、通知先の設定を行う

他にも各種設定をする場合は、「構成」の「設定」から、自動更新や Microsoft が正常性データへアクセスする許可などを設定できます。

5. 料金

Azure AD Connect Health は、Azure AD Premium P1 もしくは P2 のライセンスが必要となります。 Azure AD Premium P1 は1ユーザー当たり月額 650 円、Azure AD Premium P2 は 1 ユーザー当たり月額 980 円の費用がかかります。(※ 2022 年 10 月現在)

ライセンス料金については、以下公式サイトをご確認ください。

6.まとめ

本記事では、オンプレミスのサーバ監視に使用する Azure AD Connect Health の概要やエージェントの種類、必要なライセンス、料金、導入手順、設定方法などについて紹介いたしました。 ID インフラの監視をしたい場合、Azure AD Connect Health はエージェントをオンプレミスのサーバーにインストールするだけで、簡単に利用可能です。是非導入を検討してみてはいかがでしょうか。

Azure の導入を相談したい

Azure導入支援サービス

Azure 導入支援サービス

Microsoft Azure 導入の具体的な方法の検討や技術検証を専門家にサポートいたします。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php