はじめに
研修でActive Directory Domain Service(AD DS)環境とMicrosoft 365環境をAzure Active Directory Connect (Azure AD Connect)で同期するというデモを行うことがあるのですが、毎回環境を作り直すのも大変なので、同じ環境、同じカスタムドメインで同期をオンにしたりオフにしたい、と考えました。
有効にする際の流れはいいのですが、終わった後にどこまで消せばいいかなどをすぐ忘れるので、自分用のメモとして残しておきます。
明示的に実行する必要がない操作が含まれているかもしれませんが、ご了承ください。
Azure AD Connectの操作
シングルサインインを停止する
Azure AD Connectを起動し、「ユーザーサインインの変更」を選んで次へ進めます。
「シングル サインオンを有効にする」のチェックを外して次に進めます。
そのままウィザードを最後まで進めます。
ディレクトリ同期を停止する
Azure AD ConnectをインストールしてあるサーバーでPowerShellを起動して以下の様に実行します。*1
PS C:\> Connect-MsolService PS C:\> Set-MsolDirSyncEnabled -EnableDirSync $false
Azure AD Connectのアインインストール
「アプリと機能」から、Azure AD Connectをアンインストールします。
※ 「アプリと機能」からのアンインストールでmsiexec.exeのエラーが出る場合はコントロールパネルから削除してみてください。
ウィザードが起動しますが、サポートコンポーネントは残すようにして削除します。
AD DSのクリーンアップ
ユーザーのUPNを戻す
僕の使っているデモシナリオでは、UPNサフィックスを設定しています。これを元に戻しておきます。*2
UPNサフィックスの削除
追加したUPNサフィックスを削除します。
Azure ADのクリーンアップ
同期の状態の確認
ポータルで、同期が停止されていることと、シームレスシングルサインオンが無効になっていることを確認します。
同期用ユーザーの削除
同期で出来たユーザーと、同期用のシステムアカウントを削除します。
カスタムドメインの削除
追加したカスタムドメインを選択します。
「削除」を実行します。
DNSの削除
検証用ゾーンの削除
カスタムドメインで使用していたDNSゾーンを削除します
親ゾーンのクリーンアップ
親ゾーンから削除したNSゾーンを開きます。
レコードを削除します。
注意点
Set-MsolDirSyncEnabledでディレクトリ同期を無効にすると、再度同期を有効にするためには72時間待つ必要があるそうです。
また、再利用に限りませんが、シームレスSSOの有効化後、実際に利用できるようになるまでに30分かかることがあるようです。
おわりに
よく手順を忘れたり、注意点を失念するので、まとめてみました。
同じような操作をする方にも参考になれば幸いです。
*1:コマンドレット実行でエラーが出る場合はInstall-Module MSOnlineでインストールしてください
*2:組織全体のUPNサフィックスを変更しても、ユーザーに設定したUPNサフィックスは残る
舟越 匠(日本ビジネスシステムズ株式会社)
人材開発部に所属。社内向けの技術研修をしつつ、JBS Tech Blog編集長を兼任。2024年8月からキーマンズネットでPower Automateの連載を開始。好きなサービスはPower AutomateやLogic Apps。好きなアーティストはZABADAKとSound Horizon。
担当記事一覧