[EMS] Azure AD Connect Health

いつも Device & Mobility Team Blog をご覧いただきありがとうございます。EMS 担当の鈴木です。
本日はAzure AD Connect Health について紹介します。

Office 365などAzure Active Directoryを利用すると社内のActive Directoryと連携することが多いと思います。この時Azure Active Directory Connectを利用して同期をしていると思いますが、この同期処理が正常に動作しているかどのように確認しているでしょうか？Azure AD Connect HealthはこのAzure Active Directory Connectの正常性だけでなく、オンプレのActive Directory、ADFSも含めて正常性の確認を行ってくれます。これで、不意にADFSが止まって認証ができなくなっても、いち早く問題を検出することができます。

Azure AD Connect HealthはAzure AD Connectだけでなく、ADFS、ADFS Proxy、AD DSの健全性状態を確認し、クラウド上のポータルに集約します。管理者はAzure ADとAD DSの間のコンポーネント一式を一つの画面で監視することができます。またアラート機能があるため、エラーなどのアラートがあった場合、メールで指定した管理者へ連絡することもできます。

Azure AD Connect Helthで監視するには、それぞれのコンポーネントにエージェントを入れる必要があります。エージェントが正常に動作するにはいくつかの動作要件があります。
まずは以下を確認して監視する各サーバが要件を満たすか確認してください。
Azure AD Connect Health エージェントのインストール

各監視対象のサーバにエージェントをインストールします。
Azure AD Connectはバージョン 1.0.9125.0 以上であればエージェントがすでに組み込まれています。
ADFS およびADFS Proxy、AD DSは以下よりそれぞれダウンロードしてインストールしてください。
Azure AD Connect Health for AD FS エージェントのダウンロード Azure AD Connect Health for AD DS エージェントのダウンロード
インストールが終わるとAzure AD Connect Health ポータルにステータス状況が表示されます。
下記のようにAzure新ポータルの右画面から Azure AD Connect Healthを選択すると1画面ですべての監視対象の状態を確認できます。

またそれぞれのアラートにはメール通知の機能が実装されていますので、障害が発生した場合管理者への通知を行うことが可能です。

このAzure AD Connect HealthはAzure AD Premiunm 1の機能になります。ライセンスは少々特殊で最初の1台を監視するには少なくとも1つのAzure AD Premiunm 1のライセンスが必要です。その後監視対象が1台増えるごとに25ライセンスを所持している必要があります。
例えばAD FS 2台、AD FS Proxy 2台、AD DS 2台、Azure AD Connect 1台のが監視の場合151のAzure AD Premiunm 1ライセンスを持っている必要があります。

いかがでしょうか、今後クラウドサービスを多く利用することになると、ID同期や認証の機能はシステムの重要な要になります。その健全性を一か所に集約し、監視を自動化できる便利な機能となりますので、ぜひEMSをお持ちの方は利用を検討してください。