Microsoft Entra クラウド同期の前提条件
この記事では、ID ソリューションとして Microsoft Entra クラウド同期を使用する方法に関するガイダンスを提供します。
クラウド プロビジョニング エージェントの要件
Microsoft Entra クラウド同期を使うには、次のものが必要です。
- エージェント サービスを実行する Microsoft Entra Connect クラウド同期 gMSA (グループ管理サービス アカウント) を作成するためのドメイン管理者またはエンタープライズ管理者の資格情報。
- ゲスト ユーザーではない、Microsoft Entra テナントのハイブリッド ID 管理者アカウント。
- Windows 2016 以降を搭載した、プロビジョニング エージェント用のオンプレミス サーバー。 このサーバーは、Active Directory 管理層モデルに基づいた階層 0 のサーバーである必要があります。 ドメイン コントローラーへのエージェントのインストールがサポートされています。 詳細については、「Microsoft Entra プロビジョニング エージェント サーバーを強化する」を参照してください
- AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
- 高可用性は、長時間障害なしで継続的に動作できる Microsoft Entra クラウド同期の機能です。 アクティブなエージェントを複数インストールして実行することで、Microsoft Entra クラウド同期は、1 つのエージェントで障害が発生しても機能し続けることができます。 Microsoft では、高可用性のために3つのアクティブなエージェントをインストールすることをお勧めします。
- オンプレミスのファイアウォールの構成
Microsoft Entra プロビジョニング エージェント サーバーを強化する
Microsoft Entra プロビジョニング エージェント サーバーを強化して、IT 環境のこの重要な構成要素のセキュリティ上の攻撃面を縮小することをお勧めします。 これらの推奨事項に従うことで、組織に対するセキュリティ上のリスクを軽減することができます。
- 「特権アクセスのセキュリティ保護」と「Active Directory 管理階層モデル」で提供されているガイダンスに従って、Microsoft Entra プロビジョニング エージェント サーバーをコントロール プレーン (以前の階層 0) アセットとして強化することをお勧めします。
- Microsoft Entra プロビジョニング エージェント サーバーへの管理アクセス権を、ドメイン管理者またはその他の厳重に管理されたセキュリティ グループのみに制限します。
- 特権アクセスがあるすべてのユーザーに対して専用アカウントを作成します。 管理者は、高い特権を持つアカウントを使用して Web を閲覧したり、メールをチェックしたり、日常業務を実行すべきではありません。
- 「特権アクセスの保護」に記載されているガイダンスに従ってください。
- Microsoft Entra プロビジョニング エージェント サーバーでの NTLM 認証の使用を拒否します。 これを行うための方法はいくつかあります: 「Microsoft Entra プロビジョニング エージェント サーバー上での NTLM の制限」、「ドメイン上での NTLM の制限」
- すべてのマシンに一意のローカル管理者パスワードが構成されていることを確認します。 詳細については、ローカル管理者パスワード ソリューション (Windows LAPS) に関する記事を参照してください。これを使用することで、ワークステーションおよびサーバーごとに一意のランダム パスワードを構成し、ACL によって保護された Active Directory に保存することができます。 資格のある許可されているユーザーのみが、これらのローカル管理者アカウントのパスワードの読み取りまたはリセットの要求を行うことができます。 Windows LAPS と 特権アクセス ワークステーション (PAW) を使用して環境を運用するための追加のガイダンスについては、「クリーン ソースの原則に基づく運用基準」を参照してください。
- 組織の情報システムへの特権アクセスを持つすべての担当者に対して、専用の特権アクセス ワークステーションを実装します。
- Active Directory 環境の攻撃面を減らすには、これらの追加のガイドラインに従います。
- フェデレーション構成の変更の監視に関するページに従って、Idp と Microsoft Entra ID との間に確立されている信頼に対する変更を監視するためのアラートを設定します。
- Microsoft Entra ID または AD で特権アクセスが付与されているすべてのユーザーに対して多要素認証 (MFA) を有効にします。 Microsoft Entra プロビジョニング エージェントの使用に関するセキュリティ上の問題の 1 つは、攻撃者が Microsoft Entra プロビジョニング エージェント サーバーの制御を奪うと、Microsoft Entra ID 内のユーザーを操作できるようになることです。 攻撃者がこれらの機能を使用して Microsoft Entra アカウントを乗っ取ることを防止するために、MFA は、攻撃者が Microsoft Entra プロビジョニング エージェントを使用したユーザーのパスワードのリセットなどに成功しても、2 番目の要素を省略することはできないようにする保護機能を提供します。
Group Managed Service Accounts
グループ管理サービス アカウントは、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および管理を他の管理者に委任する機能を提供し、またこの機能を複数のサーバーに拡張する、マネージド ドメイン アカウントです。 Microsoft Entra クラウド同期では、エージェントを実行するための gMSA がサポートされ、使用されています。 このアカウントを作成するために、セットアップ中に管理者資格情報の入力を求められます。 アカウントは domain\provAgentgMSA$
として表示されます。 gMSA の詳細については、グループ管理サービス アカウントに関するページを参照してください。
gMSA の前提条件
- gMSA ドメインのフォレスト内の Active Directory スキーマを Windows Server 2012 以降に更新する必要があります。
- ドメイン コントローラー上の PowerShell RSAT モジュール。
- ドメイン内の少なくとも 1 つのドメイン コントローラーで Windows Server 2012 以降が実行されている必要があります。
- エージェントをインストールするドメイン参加済みサーバーは、Windows Server 2016 以降である必要があります。
カスタムの gMSA アカウント
カスタムの gMSA アカウントを作成する場合は、アカウントに次のアクセス許可があることを確実にする必要があります。
Type | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | gMSA アカウント | すべてのプロパティの読み取り | デバイスの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | InetOrgPerson の子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | コンピューターの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | foreignSecurityPrincipal の子孫オブジェクト |
Allow | gMSA アカウント | フル コントロール | グループの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | ユーザーの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | 連絡先の子孫オブジェクト |
Allow | gMSA アカウント | ユーザー オブジェクトの作成または削除 | このオブジェクトとすべての子孫オブジェクト |
gMSA アカウントを使用するように既存のエージェントをアップグレードする手順については、「グループ管理サービス アカウント」を参照してください。
グループ管理サービス アカウント用に Active Directory を準備する方法についての詳細は、「グループ管理サービス アカウントの概要」と「クラウド同期を利用したグループ管理サービス アカウント」を参照してください。
Microsoft Entra 管理センターで
- Microsoft Entra テナントで、クラウド専用のハイブリッド ID 管理者アカウントを作成します。 その方法を採用すると、オンプレミス サービスが利用できなくなった場合にテナントの構成を管理できます。 クラウド専用のハイブリッド ID 管理者アカウントを追加する方法について確認してください。 テナントからロックアウトされないようにするには、この手順を実行する必要があります。
- Microsoft Entra テナントに 1 つ以上のカスタム ドメイン名を追加します。 ユーザーは、このドメイン名のいずれかを使用してサインインできます。
Active Directory のディレクトリ内
IdFix ツールを実行して、同期用にディレクトリ属性を準備します。
オンプレミスの環境の場合
- 4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを搭載した、Windows Server 2016 以降が実行されているドメイン参加済みホスト サーバーを特定します。
- ローカル サーバーの PowerShell 実行ポリシーを、Undefined または RemoteSigned に設定する必要があります。
- サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、「ファイアウォールとプロキシの要件」を参照してください。
Note
Windows Server Core へのクラウド プロビジョニング エージェントのインストールはサポートされていません。
Microsoft Entra ID を Active Directory にプロビジョニングする - 前提条件
Active Directory へのグループのプロビジョニングを実装するには、次の前提条件が必要です。
ライセンスの要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
一般的な要件
- 少なくともハイブリッド ID 管理者ロールを持つ Microsoft Entra アカウント。
- Windows Server 2016 オペレーティング システム以降のオンプレミスの Active Directory Domain Services 環境。
- AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
- ビルド バージョンが 1.1.1370.0 以降のプロビジョニング エージェント。
Note
サービス アカウントへのアクセス許可は、クリーン インストール時にのみ割り当てられます。 以前のバージョンからアップグレードする場合は、PowerShell コマンドレットを使用して手動でアクセス許可を割り当てる必要があります。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
権限が手動で設定されている場合、すべての子孫のグループおよびユーザー オブジェクトのプロパティをすべて確実に読み取り、書き込み、作成、および削除する必要があります。
既定では、これらのアクセス許可は AdminSDHolder オブジェクトには適用されません (「Microsoft Entra プロビジョニング エージェント gMSA PowerShell コマンドレット」を参照)
- プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上の 1 つ以上のドメイン コントローラーと通信できる必要があります。
- 無効なメンバーシップ参照をフィルターで除外するためのグローバル カタログ検索に必要です
- ビルド バージョンが 2.2.8.0 以降の Microsoft Entra Connect Sync
- Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザー メンバーシップをサポートするために必要です
- AD:user:objectGUID を AAD:user:onPremisesObjectIdentifier に同期するために必要です
サポートされているグループとスケールの制限
以下のことがサポートされています。
- クラウドで作成されたセキュリティ グループのみがサポートされます
- これらのグループは、割り当てられたメンバーシップ グループでも動的メンバーシップ グループでもかまいません。
- これらのグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
- 同期され、このクラウド作成セキュリティ グループのメンバーであるオンプレミスのユーザー アカウントは、同じドメインからのものまたはクロスドメインでもかまいませんが、フォレストはすべて同じでなければなりません。
- これらのグループは、ユニバーサルの AD グループ スコープで書き戻されます。 オンプレミス環境で、ユニバーサル グループ スコープをサポートしている必要があります。
- メンバーが 50,000 を超えるグループはサポートされていません。
- 150,000 を超えるオブジェクトを持つテナントはサポートされていません。 つまり、テナントに 150K オブジェクトを超えるユーザーとグループの組み合わせがある場合、テナントはサポートされません。
- 直接の子の入れ子になった各グループは、参照グループで 1 つのメンバーとしてカウントされます
- グループが Active Directory で手動で更新される場合、Microsoft Entra ID と Active Directory の間のグループの調整はサポートされません。
追加情報
Active Directory へのグループのプロビジョニングに関する追加情報を以下に示します。
- クラウド同期を使用して AD にプロビジョニングされたグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
- これらのユーザーのアカウントに onPremisesObjectIdentifier 属性が設定されている必要があります。
- onPremisesObjectIdentifier は、ターゲット AD 環境の対応する objectGUID と一致する必要があります。
- オンプレミス ユーザーの objectGUID 属性からクラウド ユーザーの onPremisesObjectIdentifier 属性への同期は、Microsoft Entra Cloud Sync (1.1.1370.0) または Microsoft Entra Connect Sync (2.2.8.0) を使用して行うことができます
- Microsoft Entra Cloud Sync ではなく、Microsoft Entra Connect Sync (2.2.8.0) を使ってユーザーを同期し、AD へのプロビジョニングを使用する場合は、2.2.8.0 以降である必要があります。
- Microsoft Entra ID から Active Directory へのプロビジョニングでは、通常の Microsoft Entra ID テナントのみがサポートされています。 B2C などのテナントはサポートされていません。
- グループ プロビジョニング ジョブは、20 分ごとに実行するようにスケジュールされています。
その他の要件
TLS の要件
Note
トランスポート層セキュリティ (TLS) は、セキュリティで保護された通信を規定するプロトコルです。 TLS 設定を変更すると、フォレスト全体に影響します。 詳細については、「Windows の WinHTTP における既定の安全なプロトコルとして TLS 1.1 および TLS 1.2 を有効化する更新プログラム」を参照してください。
Microsoft Entra Connect クラウド プロビジョニング エージェントをホストする Windows サーバーでは、インストールする前に TLS 1.2 を有効にする必要があります。
TLS 1.2 を有効にするには、次の手順に従います。
コンテンツを .reg ファイルにコピーして次のレジストリ キーを設定し、ファイルを実行します (右クリックして [マージ] を選択します)。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
サーバーを再起動します。
ファイアウォールとプロキシの要件
サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、次の項目を構成します:
エージェントが次のポートを介して Microsoft Entra ID に "送信" 要求を行うことができるようにします。
ポート番号 説明 80 TLS/SSL 証明書を検証する際に、証明書失効リスト (CRL) をダウンロードします。 443 サービスを使用したすべての送信方向の通信を処理します。 8080 (省略可能) ポート 443 が使用できない場合、エージェントは、ポート 8080 経由で 10 分おきにその状態をレポートします。 この状態は、Microsoft Entra 管理センターに表示されます。 ご利用のファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスを送信元とするトラフィックに対してこれらのポートを開放します。
ご利用のプロキシで HTTP 1.1 プロトコル以上をサポートし、チャンク エンコードが有効になっていることを確認します。
ファイアウォールまたはプロキシで安全なサフィックスの指定が許可されている場合は、以下への接続を追加します。
URL | 説明 |
---|---|
*.msappproxy.net *.servicebus.windows.net |
エージェントではこれらの URL を使用し、Microsoft Entra クラウド サービスと通信します。 |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
エージェントではこれらの URL を使用し、Microsoft Entra クラウド サービスと通信します。 |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
エージェントでは、これらの URL を使用して、証明書が検証されます。 |
login.windows.net |
エージェントでは、登録プロセスの間にこれらの URL が使用されます。 |
NTLM 要件
Microsoft Entra プロビジョニング エージェントを実行している Windows Server では、NTLM を有効にしないでください。有効になっている場合は、必ず無効にしてください。
既知の制限事項
既知の制限事項には、次のようなものがあります。
差分同期
- 差分同期のグループ スコープ フィルターでは、50,000 人を超えるメンバーはサポートされません。
- グループ スコープ フィルターの一部として使用されているグループを削除すると、そのグループのメンバーであるユーザーが削除されません。
- スコープ内の OU またはグループの名前を変更すると、差分同期を実行してもユーザーが削除されません。
プロビジョニング ログ
- プロビジョニング ログを使用すると、作成操作と更新操作が明確に区別されません。 更新時に作成操作、および作成時に更新操作が表示される場合があります。
グループ名の変更または OU の名前変更
- 特定の構成のスコープ内にある AD でグループまたは OU の名前を変更すると、クラウド同期ジョブによって AD での名前の変更が認識されなくなります。 ジョブは検疫されず、正常な状態のままになります。
スコープ フィルター
OU スコープ フィルターを使用する場合
スコープの構成には、文字の長さが 4 MB という制限があります。 標準のテスト環境では、これは、特定の構成に対して、必要なメタデータを含め、約 50 個の個別の組織単位 (OU) またはセキュリティ グループに変換されます。
入れ子になった OU がサポートされています (つまり、130 の入れ子になった OU を持つ OU を同期できますが、同じ構成で 60 の個別の OU を同期することはできません)。
パスワード ハッシュの同期
- InetOrgPerson とのパスワード ハッシュ同期の使用はサポートされていません。