Azure AD Connect Cloud Sync とは?

Active Directoryに登録しているユーザーアカウントをAzureADに同期するしくみを提供します。これにより、Active Directory側でユーザー管理を行う事で、AzureADにも自動で反映
(同期)されるため、二重管理が解消されます。
Cloud Syncは、Azureポータル画面で管理を行うため、ドメインが複数ある環境の場合、
管理がしやすいです。
構築はとても簡単で、Windows Serverに”Cloud Sync Agent”をインストールするだけです。

【構成パターン】

1フォレスト、1ドメインを同期するパターン

2フォレスト、2ドメインを同期するパターン

※AAD Connectと混在する事が可能

1フォレスト、2ドメインを同期するパターン

※AAD Connectだとできない構成

[主な制限]
・Cloud Sync用サーバーとして、Windows Server 2016 以降が必要
・ADドメインあたり、最大150,000オブジェクトまで
・グループ内アカウント数が最大50,000人まで
・デバイス同期ができない ※ハイブリッドAzureAD Join 不可
・ライトバック機能がない
・AzureAD Domain Servicesが非サポート
・Cloud Sync用サーバーから、アウトバウンドで下記を開ける必要がある
▶*.msappproxy.net:443 / *.servicebus.windows.net:443
▶mscrl.microsoft.com/crl.microsoft.com/ocsp.msocsp.com/www.microsoft.com :80
▶login.windows.net & login.microsoftonline.com ※インストール時のみ

AzureAD Connectと比較すると、同期可能なオブジェクト数、各種機能が見劣りするのですが、オブジェクト数や機能制限に抵触しない環境かつ、複数のドメインを同期したい場合は検討しても良いかと思います。

※AzureAD Connect と Cloud Sync の詳細な機能比較はこちら


それでは、やってみましょ~

[Azure AD Connect]ー[Azure AD クラウド同期を管理する]を選択

[エージェントのダウンロード]を選択

オンプレADに参加しているWindows Serverで実行します。
※エージェントは自動更新されます。
※2分間隔で同期されます。

グローバル管理者にてサインイン

オンプレADの管理者アカウントを登録

同期対象となるオンプレドメインを選択

これにて、インストール完了!

各種アプリケーション&サービスが確認できます。

ここからは、同期用の構成設定を行います。

[Azure AD Connect]ー[Azure AD クラウド同期を管理する]ー[すべてのエージェントの確認]
※AzureADとADにインストールしたエージェントとの通信確認ができる。

[Azure AD Connect]ー[Azure AD クラウド同期を管理する]ー[新しい構成]

スコープ:※セキュリティグループやOUを選択できる
属性の管理:※ADで保持している属性情報をAADが保持する属性にマッピングを行う
検証:※特定のユーザーを指定して同期テストを行う
※CN=user10,CN=users,DC=AVD,DC=com
設定:※誤削除しきい値数のアカウントが削除された場合、同期を停止しメール通知を行う
配置:※[有効にする]ことで同期が開始されます。

同期が開始され、同期状態が表示されます。
※同期したドメインが一覧で確認ができる点は良いかと思います。

同期されたユーザーが確認できます。