AzureADことはじめ

会社の上層部のエラい人から、従業員のIDやPW、使っている機器類を一元的に管理する必要がある！と仰せつかったので、どうするか悩んで(※1分くらい)、AzureADとIntuneを使うことにした。

新型コロナウィルス感染症の流行で、唐突に全社員が在宅勤務になっている関係で、いまさら従来型のActive Directoryを導入してもしかたないだろうと考えたからだ。

ちっこい会社だから、上が決めたことを実現するためには全部自分でやる必要があって、わからんこともググりながらやるしかない。

なにはともあれ、まずはAzure ADを構築しなければいけない。

はじめるにあたって、決めることは２つ。

ユーザーID＠ドメイン名

アットマークの左側と右側をどうするかである。

ユーザーIDは社員番号にすることにした。

名前でIDを作ると、パッと見は誰だかわかりやすいが、結婚して名字が変わると、変更するのが面倒だ。

その点、社員番号は変わらないだろう。(たぶん・・・)

ドメイン名は悩んだけど、仕事だから「hoge.biz」ドメインを新規に取った。

hogeの部分はもちろん、ウチの社名をもじったもの。

メールはGoogle Workspace(旧G Suite)で運用しているので、別にすることにした。

そのうちメールはExchange Onlineと統合したいなと思いつつ、いまは深く考えないでおく。

ウチの会社は情シスが存在せず、その都度その都度ツギハギでシステム導入するから、統制が取れていなくて生産性が非常に悪い。。。がココでは深く触れずにおく。

と前置きが長くなったけど、今回はAzure ADで独自ドメインを設定する手順をここに忘れないようにメモしておく。

■手順１

Azure ADといいつつ、Microsoft 365 (旧Office365)管理センターから操作する。

「ドメインの追加」ボタンを押すと、ドメインが追加できそうである。

Azureポータルからもできそうだけど、いろんな機能がありすぎて、正直良くわからん。

既定ではomnimicrosoft.comとかいう長いドメインが使われている。

こんな長ったらしいドメインを使っていれば、クレームが来そうだが、いまは来ていない。(みんな使っていないから？)

■手順２

使いたいドメイン名を入力する。

オンプレADであれば、サブドメインを切ったりしたほうがいいけど、今回はこのへんも深く考えずに、ドメイン直指定をする。

このドメインはレジストラで購入して、自分が所有している必要がある。

勝手なドメインは指定できない。

■手順３

ここでドメインの所有権の確認をする必要がある。

TXTレコードを入れるのが一番簡単だし、影響も無かろう。

■手順４

取得してあるドメインは、AWSのRoute53でホスティングしているので、指定されたTXTレコードを投入する。

ここはドメインをどこでホスティングしているかで変わってくると思う。

最初、ホスト名のところに「＠」を入れらうまく認識されなかった。

なので、ドメインそのものを指定する場合は、なにも入れないのがRoute53の仕様のようだ。

TTLは3600を推奨されているので、あわせておく。

昔はBINDであれやこれややっていたけど、Route53は本当に楽チンだ。

■手順５というか作業結果

このあと、Exchangeとか用の設定もあるが、私は使わないので設定しなかった。

Microsoft Intune用のCNAMEレコードは同じように指示されたレコード設定を同じように行った。

ドメインの設定は時間がかかることが多いけど、わりかしすぐ設定できた。

ちなみに「dig -t TXT ドメイン名」などのコマンドで設定できたかどうかの確認ができる。

nslookupコマンドは知らん。

その結果、作業を始める前から１つ使えるドメインが増えた。

ドメインが増えたからと言って、いきなり全員のIDが変わるわけではない。

新しく追加したドメインを「既定」にすれば、今後作るIDは新ドメインになる。

既存のユーザー分は、手動で変更する必要がある。

とりあえず今日はこれくらいにしておこう。