ユニバーサル プリントでのハイブリッド AD/Microsoft Entra ID Environment の有効化
適用先:Windows Server 2016
背景
この情報は、ハイブリッド AD 構成を有効にすることが組織にとって適切な選択であるかどうかを判断するのに役立ちます。
ハイブリッド AD 構成とは何ですか?
ハイブリッド AD 構成は、組織で AD と Microsoft Entra ID の両方を使用する設定です。 このような環境では、これらのディレクトリ サービスの両方にユーザー アカウントが存在します。
「ハイブリッド AD 構成を有効にする」とはどういう意味ですか?
ユニバーサル プリント コネクタは、インストールされている PC 上で Windows サービスとして実行されます。 コネクタ関数の 1 つは、ユニバーサル プリントから印刷ジョブを取得し、ターゲット プリンターに送信することです。 コネクタは、"System" アカウントを使用して、スプーラーに印刷ジョブを送信します。 したがって、ユニバーサル プリント ポータルには印刷ジョブを送信した Microsoft Entra ID のユーザー名が表示されますが、ユニバーサル プリントを使用して印刷が行われるすべての印刷ジョブは、ユーザー "System" によって送信されたコネクタの Windows プリンター キューに表示されます。
Active Directory ドメインに依存する一部の従来の印刷管理アプリケーションは、スプーラー キューからユーザー名を読み取り、その情報を使用して何らかの機能を実行します (たとえば、ユーザーの毎月の印刷割り当てから印刷ジョブを差し引くなど)。 これらのアプリケーションがユニバーサル プリントでよりシームレスに動作するように更新されるまで、印刷ジョブを開始したユーザーの ID を取得することはできません。
ユニバーサル プリント コネクタで “ハイブリッド AD 構成を有効にする” オプションをオンにすると、コネクタは Microsoft Entra ID ユーザー ID を対応するローカル AD ドメイン ユーザー ID にマップしようとします。 一致する ID が見つかった場合、コネクタ サービスはそのユーザーのドメイン ID になりすましてから、ユーザーに代わって印刷ジョブをスプーラーに送信します。 その場合、印刷ジョブを作成したユーザーのドメイン ユーザー名がコネクタ PC のスプーラー キューに表示され、レガシー アプリケーションがそれを読み取ることができるようになります。
前提条件
このインストールを始める前に、いくつかのサブスクリプション、サービス、コンピューターを用意する必要があります。 手順は次のとおりです:
Microsoft Entra ID Premium サブスクリプション。
Azure の試用版サブスクリプションについては、Azure サブスクリプションの使用開始に関する記事をご覧ください。
MDM サービス (Intune など)。
Intune の試用版サブスクリプションについては、Microsoft Intune に関する記事をご覧ください。
Active Directory を実行している Windows Server 2016 以降のコンピューター。
Active Directory のセットアップについては、「ステップバイステップ: Windows Server 2016 での Active Directory のセットアップ」をご覧ください。
プリント サーバーおよびユニバーサル プリント コネクタとして実行されている、専用の、ドメイン参加済みの Windows Server 2016 以降のマシン。
詳細については、「Microsoft Entra アプリケーション プロキシ コネクタを理解する」を参照してください。
公開されているドメイン名。
Azure によって自動的に作成されるドメイン名 (<ドメイン名>.onmicrosoft.com) を使用するか、独自のドメイン名を購入することができます。 「Microsoft Entra ID ポータルを使用してカスタム ドメイン名を追加する」を参照してください。
デプロイメントの手順
以下の手順で、ハイブリッド AD または Microsoft Entra ID 環境を有効にするために必要な、一般的なユニバーサル プリントのデプロイの設定を有効にすることができます。
手順 1 - Microsoft Entra Connect をインストールする
- Microsoft Entra ID Connect によって、Microsoft Entra ID がオンプレミスの AD に同期されます。 Active Directory を使用した Windows Server マシンで、簡単設定を使用して Microsoft Entra ID Connect ソフトウェアをダウンロードおよびインストールします。 「簡単設定を使用した Microsoft Entra ID Connect の開始」を参照してください。
手順 2 - プリント サーバーをセットアップする
プリント サーバーに利用可能な Windows Update プログラムがすべてインストールされていることを確認してください (続行する前にサーバーを更新してください)。
注: Server 2019 にビルド 17763.165 以降のパッチが適用されている必要があります。
プリント サーバーとして機能する Windows Server (Windows サーバー) コンピューターでは、プリント サーバー ロールをインストールする必要があります。
- サーバーの役割のインストール方法について詳しくは、「役割と機能の追加ウィザードを使用して役割、役割サービス、および機能をインストールする」をご覧ください。
ローカル AD と Microsoft Entra ID アカウントのマッピングを確実に行うには、プリント サーバーとして動作する Windows Server がハイブリッド参加済みまたは Azure 参加済みである必要があります。 すべての手順が完了していることを確認するには、「ユニバーサル プリントのセットアップ」を参照してください。 要約すると、次のようになります。
- まだインストールしていない場合は、ユニバーサル プリント コネクタをプリント サーバー コンピューターにインストールします。
- コネクタの一意の名前を指定して、コネクタをユニバーサル プリントに登録します。
- 管理ポータルで登録済みのプリンターを共有します。
手順 3 - ローカル AD の Microsoft Entra ID との Directory Sync をセットアップする
ユーザーまたはグループは、オンプレミスの Active Directory に存在し、Microsoft Entra ID と同期している必要があります。 ソリューションがルーティング不可能なドメイン (mydomain.local など) にデプロイされる場合、Microsoft Entra ID ドメイン (domainname.onmicrosoft.com など、またはサードパーティ ベンダーから購入したもの) をオンプレミスの Active Directory に UPN サフィックスとして追加する必要があります。 これにより、プリンターを公開するユーザーとまったく同じになります (例: admin@domainname.onmicrosoft.com)。 ローカル ドメインが確実に追加され、同期されるようにするには、「ディレクトリ同期のために非ルーティングドメインの準備を整える」を参照してください。
注: これは、完全なセットアップの基本的な要件であるため、重要な手順です。 ローカル AD ユーザーは、同期された Microsoft Entra ID アカウントと同じユーザー名である必要があります。
例: domain/user1 は user1@example.com に変換される必要があります
同期が行われると (デフォルトの同期の頻度は 30 分)、AD ユーザーが管理ポータルで同期されていることを確認できます。 Microsoft Entra ID で、ユーザー タブを選択すると、すべてのユーザーの一覧が表示されます。 ユーザーがそのリストでディレクトリを同期されているかどうかを簡単に確認できます。 ユーザーの詳細は、ソースが Windows Server AD であることを示す必要があります。
手順 4 - ユニバーサル プリント コネクタでのハイブリッド AD/Microsoft Entra ID サポートの有効化
コネクタがインストールされているプリント サーバーには、アプリケーションの右上隅にトグル ボタンが必要です。
- コネクタの [ハイブリッド AD 構成を有効にする] オプションの [オン] ラジオ ボタンを選択します。
デプロイを検証する
AD 参加済みのクライアント コンピューター上で Microsoft Entra ID 資格情報を使用して、Print Server にテスト印刷ジョブを送信することで、デプロイが正常に行われることを確認します。
コンピューターは、同期手順中にリンクされているのと同じアカウントを使用して Microsoft Entra ID に参加している必要があります。 [設定]>[アカウント]>[メールアドレス & アカウント]の順に進みます。 [職場または学校用のアカウントを追加する] をクリックし、Microsoft Entra ID アカウントをクライアント コンピューターに追加するための資格情報を使用してログインします。
展開を確認するためにテスト印刷を送信する手順を次に示します。
- プリンターを追加してテスト ページを印刷する
- 印刷キューに印刷ジョブがキューに入っていることに気付くと、C:/print フォルダーの下のプリント サーバーに、printerName.pdf という名前のテスト印刷ファイルが表示されます。
- このファイルが表示された場合は、プリント サーバー ログの [トラブルシューティング] セクションに記載されているパスにあるイベント ログを確認することで、マッピングが正常に行われたかどうかを確認できます。
トラブルシューティング
展開時に発生する一般的な問題点を次に示します。
| エラー | 推奨される手順 |
|---|---|
| 指定したサーバーの機能を追加、または削除する要求が失敗しました | サーバー上の更新プログラムをチェックして、Windows Server (Windows サーバー) に最新の更新プログラムがあることを確認します。 |
| サーバーがドメインで Azure に参加しているかどうかを確認する | コマンド プロンプトで dsregcmd を実行し、AzureADJoined と DomainJoined が "YES (はい)" の状態に設定されている場合に確認します。 |
| 印刷ジョブが "プリンターへ送信" 状態のままになります | |
| 印刷ジョブは、ポータルで「中止済み」と表示されます。 プリント コネクタのイベント ログには、イベント 9「PrintJob failed System.Security.SecurityException: ユーザー名またはパスワードが間違っています...」に続いて、イベント 27「ジョブ <ID> に対する <ユーザー> の偽装に失敗しました。」が表示されます。 | ここで説明するように、コンピューター アカウントが "Windows 承認アクセス グループ" のメンバーであることを確認します。アプリと API にはアクセスが必要です。 |
ユニバーサル プリントに関連するトラブルシューティングのヘルプについては、「ユニバーサル プリントのトラブルシューティング ガイド」を参照してください。
トラブルシューティングに役立つログの場所を次に示します。
| コンポーネント | ログの場所 |
|---|---|
| Windows 10 クライアント | |
| プリント サーバー | イベント ビューアーを使用して、プリント コネクタのログを表示します。 [スタート] をクリックし、「イベント ビューアー」と入力します。 [アプリケーションとサービス ログ] > [Microsoft] > [Windows] > [PrintConnector] > [操作] に移動します。 |