次の方法で共有

クラウド同期の詳細情報 - しくみ

  • [アーティクル]

コンポーネントの概要

しくみ

クラウド同期は Microsoft Entra サービスの上に構築されており、次の 2 つの主要コンポーネントがあります:

  • プロビジョニング エージェント: Microsoft Entra Connect クラウド プロビジョニング エージェントは Workday 受信と同じエージェントであり、アプリ プロキシおよびパススルー認証と同じサーバー側テクノロジで構築されています。 必要となるのは送信接続のみであり、エージェントは自動更新されます。
  • プロビジョニング サービス: 送信プロビジョニング、およびスケジューラに基づいたモデルを使用する Workday 受信プロビジョニングと同じプロビジョニング サービス。 クラウド同期のプロビジョニングは 2 分ごとに変更されます。

初期セットアップ

初期セットアップ中に、いくつかの操作を行うことでクラウド同期が実行されます。

  • エージェントのインストール中:プロビジョニングするための AD ドメインのエージェントを構成します。 この構成でドメインがハイブリッド ID サービスに登録され、要求をリッスンする Service Bus への送信接続が確立されます。
  • プロビジョニングを有効にするとき: AD ドメインを選択し、2 分ごとに実行されるプロビジョニングを有効にします。 必要に応じて、パスワード ハッシュ同期を選択解除して通知用メールを定義することもできます。 Microsoft Graph API を使用して属性変換を管理することもできます。

エージェントのインストール

クラウド プロビジョニング エージェントのインストール時には、以下のことが行われます。

  • インストーラーによってエージェント バイナリとエージェントサービスがインストールされ、仮想サービス アカウント (NETWORK SERVICE\AADProvisioningAgent) で実行されます。 仮想サービス アカウントは、パスワードのない特殊な種類のアカウントで、Windows によって管理されます。
  • 次にインストーラーによって、ウィザードが開始されます。
  • ウィザードで Microsoft Entra の資格情報の入力が求められ、認証が行われて、トークンが取得されます。
  • 次にウィザードで、現在のコンピューターのドメイン管理者の資格情報が求められます。
  • このドメインのエージェント一般管理サービス アカウント (GMSA) が作成されるか、既に存在する場合は再利用されます。
  • エージェント サービスは、GMSA で動作するよう再構成されます。
  • ウィザードで、エージェントによってサービスを提供するドメイン毎に、ドメイン構成とエンタープライズ管理者 (EA) またはドメイン管理者 (DA) アカウントが求められます。
  • GMSA アカウントがアクセス許可で更新され、これにより、セットアップ中に入力した各ドメインにアクセスできるようになります。
  • 次に、ウィザードでエージェント登録がトリガーされます。
  • エージェントは、証明書を作成し、Microsoft Entra トークンを使って、自身と証明書をハイブリッド ID サービス (HIS) 登録サービスに登録します。
  • ウィザードで AgentResourceGrouping 呼び出しがトリガーされます。 この HIS 管理サービスへの呼び出しでは、HIS 構成内の 1 つ以上の AD ドメインにエージェントが割り当てられます。
  • ウィザードで、エージェント サービスが再起動します。
  • エージェントは再起動時 (およびその後 10 分ごと) にブートストラップ サービスを呼び出して、構成に更新がないか確認します。 ブートストラップ サービスは、エージェントの ID を検証します。 最後のブートストラップ時刻も更新されます。 これは、エージェントがブートストラップしなければ、Service Bus エンドポイントが更新されず、要求を受信できなくなる可能性があるため、重要です。

System for Cross-domain Identity Management (SCIM) とは

SCIM 仕様は、Microsoft Entra ID などの ID ドメイン間でのユーザーまたはグループ ID 情報の交換を自動化するために使われる標準です。 SCIM は、プロビジョニングに対する事実上の標準になりつつあり、SAML や OpenID Connect などのフェデレーション標準と共に使用すると、エンドツーエンドの標準ベースのアクセス管理用ソリューションが管理者に提供されます。

Microsoft Entra Connect クラウド プロビジョニング エージェントは、Microsoft Entra ID を持つ SCIM を使って、ユーザーとグループのプロビジョニングとプロビジョニング解除を行います。

同期フロー

プロビジョニング

エージェントをインストールしてプロビジョニングを有効にすると、以下のフローが発生します。

  1. 構成が完了すると、Microsoft Entra プロビジョニング サービスから Microsoft Entra ハイブリッド サービスが呼び出され、サービス バスに要求が追加されます。 エージェントは、要求をリッスンする Service Bus への送信接続を常に維持し、クロスドメイン ID 管理システム (SCIM) 要求を即座に取得します。
  2. エージェントは、オブジェクトの種類に基づいて要求を個別のクエリに分割します。
  3. AD からエージェントに結果が返され、エージェントはこのデータをフィルター処理してから、Microsoft Entra ID に送信します。
  4. エージェントは SCIM 応答を Microsoft Entra ID に返します。 これらの応答は、エージェント内で行われたフィルター処理に基づいています。 エージェントは、スコーピングを使用して結果をフィルター処理します。
  5. プロビジョニング サービスが変更を Microsoft Entra ID に書き込みます。
  6. 完全同期でなく、差分同期が行われる場合は、クッキーまたはウォーターマークが使用されます。 新しいクエリでは、変更がそのクッキーまたはウォーターマーク以降から取得されます。

サポートされているシナリオ:

クラウド同期では、次のシナリオがサポートされています。

  • 新しいフォレストがある既存のハイブリッドのお客様: Microsoft Entra Connect 同期はプライマリ フォレストに使われます。 クラウド同期が AD フォレストからのプロビジョニング (切断済みを含む) に使用されます。 詳細については、チュートリアル (こちら) を参照してください。

既存のハイブリッド

  • 新規のハイブリッドのお客様: Microsoft Entra Connect 同期は使われません。 クラウド同期が AD フォレストからのプロビジョニングに使用されます。 詳細については、チュートリアル (こちら) を参照してください。

新規のお客様

  • 既存のハイブリッドのお客様: Microsoft Entra Connect 同期はプライマリ フォレストに使われます。 クラウド同期のパイロットがプライマリ フォレストの小数のユーザーを対象に実施されています (こちら)。

既存のパイロット

詳細については、サポートされるトポロジに関するページを参照してください。

次のステップ