私は会社をMicrosoft 365クラウドサービスに移行する準備をしています。Windows Server 2012 標準。
私は Windows Server 管理にかなり不慣れなので、AD サーバー上で直接何かを実行するのは少し不安です。
MS Azure AD Connect を実行する準備をするとき、AD のダウンタイムに注意する必要がありますか? または、他に知っておくべき欠点はありますか? MS からの実行に関するチュートリアルやドキュメントをいくつか読みましたが、この懸念に実際に対処したものはなかったので、これは機能するかしないかのどちらかで、AD サーバー自体には影響しない、かなり単純な同期であると想定していました。
これは正しい仮定でしょうか、それともこれは絶対に営業時間中にすべきではなく、長い夜を過ごす準備をすべきことでしょうか?
答え1
AD Connect を DC にインストールする必要はありません。ドメインに参加しているメンバー サーバーにインストールすることもできます。カスタム設定を使用する場合、サーバーをスタンドアロンにすることもでき、ドメインに参加させる必要はありません。これにより、インストール中に DC に影響を与えることを回避できます。
さらに、AD Connect は、パスワード同期と ADFS とのフェデレーションという 2 つの同期オプションをサポートしています。
パスワードの同期は簡単ですが、ADFS とのフェデレーションは複雑で、ADFS の関与が必要です。
AD Connect の障害は AD サーバー自体には影響しませんが、Azure AD に対して認証して Office 365 にアクセスするユーザーには影響します。
AD Connect の導入はまだ計画段階であるため、AD Connect の前提条件については以下の記事を参照することをお勧めします。
答え2
AD Connect はローカル AD にはあまり影響しませんが、Office 365 には影響があるため、この点を確実に理解することが重要です。
基本的に、AD Connect が構成されると、同期されたアカウントは Office 365 ではなくローカルで管理されます。そのため、ローカルでアカウントを無効にすると Office 365 でも無効になり、ローカルでアカウントを削除すると Office 365 でも削除されます。
すべてを同期すると、Office 365 に多数のシステム アカウントがリストされることになりますが、これは無害ですが煩わしいものです。すべてを同期しない場合は注意が必要です。同期されていない OU にユーザーを移動すると、そのユーザーは Office 365 から削除されるからです。
ローカル Exchange から移行する場合は、電子メール アドレスなどのローカル Exchange 属性が同期されるため、より複雑になります。AD Connect では、メールボックスを共有メールボックスに変換するのがさらに面倒です。間違えると、メールボックスが共有メールボックスから標準ユーザー メールボックスに戻るなど、予期しない動作が発生する可能性があります。
上記のいずれもローカル AD には影響しませんが、AD Connect が Office 365 に与える影響を考慮し、適切に管理することが重要です。