Microsoft Entra Cloud Sync の前提条件
この記事では、ID ソリューションとして Microsoft Entra Cloud Sync を使用する方法に関するガイダンスを提供します。
クラウド プロビジョニング エージェントの要件
Microsoft Entra Cloud Sync を使用するには、次のものが必要です。
- エージェント サービスを実行するための Microsoft Entra Connect クラウド同期 gMSA (グループ管理サービス アカウント) を作成するためのドメイン管理者またはエンタープライズ管理者の資格情報。
- ゲスト ユーザーではない Microsoft Entra テナントのハイブリッド ID 管理者アカウント。
- Windows 2016 以降を使用するプロビジョニング エージェント用のオンプレミス サーバー。 このサーバーは、Active Directory 管理層モデルに基づく階層 0 サーバーである必要があります。 ドメイン コントローラーへのエージェントのインストールがサポートされています。 詳細については、「Microsoft Entra プロビジョニング エージェント サーバー を強化する」を参照してください。
- AD スキーマ属性に必須 - msDS-ExternalDirectoryObjectId
- 高可用性とは、Microsoft Entra Cloud Sync が長時間障害なく継続的に動作する機能を指します。 複数のアクティブなエージェントをインストールして実行することで、1 つのエージェントが失敗した場合でも、Microsoft Entra Cloud Sync を引き続き機能させることができます。 Microsoft では、高可用性のために 3 つのアクティブなエージェントをインストールすることをお勧めします。
- オンプレミスのファイアウォール構成。
Microsoft Entra プロビジョニング エージェント サーバーを強化する
IT 環境のこの重要なコンポーネントのセキュリティ攻撃対象領域を減らすには、Microsoft Entra プロビジョニング エージェント サーバーを強化することをお勧めします。 これらの推奨事項に従うと、組織に対するいくつかのセキュリティ リスクを軽減できます。
- Microsoft Entra プロビジョニング エージェント サーバーをコントロール プレーン (以前の階層 0) 資産として強化することをお勧めします。これは、
Secure Privileged Access および Active Directory 管理層モデルに記載されているガイダンスに従って行います。 - Microsoft Entra プロビジョニング エージェント サーバーへの管理アクセスを、ドメイン管理者またはその他の厳密に制御されたセキュリティ グループのみに制限します。
- 特権アクセスを持つすべての担当者に対して、
専用アカウントを作成します。 管理者は、Web を閲覧したり、メールを確認したり、高い特権を持つアカウントで日常の生産性タスクを実行したりしないでください。 - 特権アクセスのセキュリティ保護に関する記事に記載されているガイダンスに従ってください。
- Microsoft Entra プロビジョニング エージェント サーバーでの NTLM 認証の使用を拒否します。 これを行うには、いくつかの方法があります。
Microsoft Entra プロビジョニング エージェント サーバー での NTLM の制限と、ドメイン での NTLM の制限 - すべてのマシンに一意のローカル管理者パスワードがあることを確認します。 詳細については、「ローカル管理者パスワード ソリューション (Windows LAPS) 各ワークステーションで一意のランダム パスワードを構成し、ACL によって保護された Active Directory にサーバーに保存する方法を参照してください。 これらのローカル管理者アカウント のパスワードの読み取りまたはリセットを要求できるのは、資格のある承認されたユーザーだけです。 Windows LAPS と特権アクセス ワークステーション (PAW) を使用した環境の運用に関する追加のガイダンスは、クリーン ソースの原則に基づく
運用標準で確認できます。 - 組織の情報システムへの特権アクセス権を持つすべての担当者に 専用の
特権アクセス ワークステーションを実装します。 - Active Directory 環境の攻撃対象領域を減らすために、次の 追加のガイドラインに従ってください。
- フェデレーション構成 への変更を監視する
に従って、Idp と Microsoft Entra ID の間で確立された信頼への変更を監視するアラートを設定します。 - Microsoft Entra ID または AD で特権アクセス権を持つすべてのユーザーに対して多要素認証 (MFA) を有効にします。 Microsoft Entra プロビジョニング エージェントの使用に関するセキュリティの問題の 1 つは、攻撃者が Microsoft Entra プロビジョニング エージェント サーバーを制御できる場合、Microsoft Entra ID でユーザーを操作できることです。 攻撃者がこれらの機能を使用して Microsoft Entra アカウントを引き継ぐのを防ぐために、MFA は保護を提供します。 たとえば、攻撃者が Microsoft Entra プロビジョニング エージェントを使用してユーザーのパスワードをリセットしたとしても、2 番目の要素をバイパスすることはできません。
グループ管理サービス アカウント
グループ管理サービス アカウントは、パスワードの自動管理とサービス プリンシパル名 (SPN) の管理を簡素化するマネージド ドメイン アカウントです。 また、管理を他の管理者に委任し、この機能を複数のサーバーに拡張することもできます。 Microsoft Entra Cloud Sync では、エージェントの実行に gMSA がサポートされ、使用されます。 このアカウントを作成するために、セットアップ中に管理者資格情報の入力を求められます。 アカウントは domain\provAgentgMSA$として表示されます。 gMSA の詳細については、「グループ管理サービス アカウントの」を参照してください。
gMSA の前提条件
- gMSA ドメインのフォレスト内の Active Directory スキーマを Windows Server 2012 以降に更新する必要があります。
- ドメイン コントローラー上の PowerShell RSAT モジュール。
- ドメイン内の少なくとも 1 つのドメイン コントローラーが Windows Server 2012 以降を実行している必要があります。
- エージェントがインストールされているドメインに参加しているサーバーは、Windows Server 2016 以降である必要があります。
カスタム gMSA アカウント
カスタム gMSA アカウントを作成する場合は、アカウントに次のアクセス許可があることを確認する必要があります。
| 種類 | 名前 | アクセス | 適用対象 |
|---|---|---|---|
| 許す | gMSA アカウント | すべてのプロパティを読み取る | デバイスの子孫オブジェクト |
| 許す | gMSA アカウント | すべてのプロパティを読み取る | InetOrgPerson の子孫オブジェクト |
| 許す | gMSA アカウント | すべてのプロパティを読み取る | コンピューターの子孫オブジェクト |
| 許す | gMSA アカウント | すべてのプロパティを読み取る | foreignSecurityPrincipal の子孫オブジェクト |
| 許す | gMSA アカウント | フル コントロール | グループの子孫オブジェクト |
| 許す | gMSA アカウント | すべてのプロパティを読み取る | ユーザーの子孫オブジェクト |
| 許す | gMSA アカウント | すべてのプロパティを読み取る | 連絡先の子孫オブジェクト |
| 許す | gMSA アカウント | ユーザー オブジェクトの作成/削除 | このオブジェクトとすべての子孫オブジェクト |
既存のエージェントをアップグレードして gMSA アカウントを使用する手順については、グループの管理対象サービス アカウントを参照してください。
グループ管理サービス アカウント用に Active Directory を準備する方法の詳細については、「グループ管理サービス アカウントの概要
Microsoft Entra 管理センターで
- Microsoft Entra テナントにクラウド専用のハイブリッド ID 管理者アカウントを作成します。 これにより、オンプレミスのサービスが失敗したり使用できなくなったりした場合に、テナントの構成を管理できます。 クラウド専用のハイブリッド ID 管理者アカウント
追加する方法について説明します。 テナントからロックアウトされないようにするには、この手順を完了することが重要です。 - Microsoft Entra テナントに、1 つ以上のカスタム ドメイン名を追加します。 ユーザーは、次のいずれかのドメイン名でサインインできます。
Active Directory のあなたのディレクトリ内
IdFix ツール を実行して、同期用のディレクトリ属性を準備します。
オンプレミスの環境の場合
- 4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを使用して、Windows Server 2016 以降を実行しているドメインに参加しているホスト サーバーを特定します。
- ローカル サーバー上の PowerShell 実行ポリシーを Undefined または RemoteSigned に設定する必要があります。
- サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、ファイアウォールとプロキシの要件に関するを参照してください。
手記
Windows Server Core へのクラウド プロビジョニング エージェントのインストールはサポートされていません。
Microsoft Entra ID を Active Directory にプロビジョニングする - 前提条件
Active Directory にプロビジョニング グループを実装するには、次の前提条件が必要です。
ライセンス要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra IDの一般公開機能を比較する」を参照してください。
一般的な要件
- 少なくとも ハイブリッド ID 管理者 ロールを持つ Microsoft Entra アカウント。
- Windows Server 2016 オペレーティング システム以降のオンプレミスの Active Directory Domain Services 環境。
- AD スキーマ属性に必須 - msDS-ExternalDirectoryObjectId
- ビルド バージョンが 1.1.1370.0 以降のプロビジョニング エージェント。
手記
サービス アカウントへのアクセス許可は、クリーン インストール時にのみ割り当てられます。 以前のバージョンからアップグレードする場合は、PowerShell コマンドレットを使用して手動でアクセス許可を割り当てる必要があります。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
権限が手動で設定されている場合は、すべての子孫グループおよびユーザー オブジェクトのすべてのプロパティを読み取り、書き込み、作成、および削除する必要があります。
これらのアクセス許可は、既定では、Microsoft Entra プロビジョニング エージェント gMSA PowerShell コマンドレット AdminSDHolder オブジェクトには適用されません
- プロビジョニング エージェントは、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上の 1 つ以上のドメイン コントローラーと通信できる必要があります。
- 無効なメンバーシップ参照を除外するために、グローバルカタログの検索が必要です。
- ビルド バージョンが 2.2.8.0 以降の Microsoft Entra Connect Sync
- Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザー メンバーシップをサポートするために必要です
- AD:user:objectGUID を AAD:user:onPremisesObjectIdentifier に同期するために必要です
サポートされているグループとスケールの制限
次のものがサポートされています。
- セキュリティ グループ
作成されたクラウドのみがサポートされます - これらのグループには、割り当て済みまたは動的メンバーシップ グループを含めることができます。
- これらのグループには、オンプレミスの同期されたユーザーと、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
- 同期され、このクラウドで作成されたセキュリティ グループのメンバーであるオンプレミスのユーザー アカウントは、同じドメインまたはクロスドメインから取得できますが、これらはすべて同じフォレストのアカウントである必要があります。
- これらのグループは、ユニバーサルの AD グループ スコープ
使用して書き戻されます。 オンプレミス環境では、ユニバーサル グループ スコープをサポートする必要があります。 - メンバー数が 50,000 を超えるグループはサポートされていません。
- 150,000 を超えるオブジェクトを持つテナントはサポートされていません。 つまり、テナントに 150K オブジェクトを超えるユーザーとグループの組み合わせがある場合、テナントはサポートされません。
- 直接の子の各ネストグループは、参照グループ内で1人のメンバーとして数えられます
- グループが Active Directory で手動で更新される場合、Microsoft Entra ID と Active Directory の間のグループの調整はサポートされません。
追加情報
Active Directory へのグループのプロビジョニングに関する追加情報を次に示します。
- クラウド同期を使用して AD にプロビジョニングされたグループには、オンプレミスの同期されたユーザーと、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
- これらのユーザーは、自分のアカウントに onPremisesObjectIdentifier 属性を設定する必要があります。
- onPremisesObjectIdentifier は、ターゲット AD 環境の対応する objectGUID と一致する必要があります。
- クラウド ユーザー onPremisesObjectIdentifier 属性に対するオンプレミス ユーザー objectGUID 属性は、Microsoft Entra Cloud Sync (1.1.1370.0) または Microsoft Entra Connect Sync (2.2.8.0) を使用して同期できます。
- Microsoft Entra Connect Sync (2.2.8.0) を使用して Microsoft Entra Cloud Sync ではなくユーザーを同期し、AD へのプロビジョニングを使用する場合は、2.2.8.0 以降である必要があります。
- Microsoft Entra ID から Active Directory へのプロビジョニングでは、通常の Microsoft Entra ID テナントのみがサポートされています。 B2C などのテナントはサポートされていません。
- グループ プロビジョニング ジョブは、20 分ごとに実行するようにスケジュールされています。
その他の要件
TLS の要件
手記
トランスポート層セキュリティ (TLS) は、セキュリティで保護された通信を提供するプロトコルです。 TLS 設定を変更すると、フォレスト全体に影響します。 詳細については、Windowsの WinHTTP で TLS 1.1 と TLS 1.2 を既定のセキュリティで保護されたプロトコルとして有効にする更新プログラムの
Microsoft Entra Connect クラウド プロビジョニング エージェントをホストする Windows サーバーは、インストールする前に TLS 1.2 を有効にする必要があります。
TLS 1.2 を有効にするには、次の手順に従います。
コンテンツを .reg ファイルにコピーして次のレジストリ キーを設定し、ファイルを実行します (選択して [のマージ] を選択します)。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001サーバーを再起動します。
ファイアウォールとプロキシの要件
サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、次の項目を構成します。
エージェントが次のポートを介して Microsoft Entra ID に の外向き 要求を送信できることを確認してください。
ポート番号 説明 80 TLS/SSL 証明書の検証中に証明書失効リスト (CRL) をダウンロードします。 443 サービスとのすべての送信通信を処理します。 8080 (省略可能) エージェントは、ポート 443 が使用できない場合、ポート 8080 経由で 10 分ごとに状態を報告します。 この状態は、Microsoft Entra 管理センターに表示されます。 ファイアウォールが送信元ユーザーに従って規則を適用する場合は、ネットワーク サービスとして実行される Windows サービスからのトラフィックに対してこれらのポートを開きます。
プロキシが少なくとも HTTP 1.1 プロトコルをサポートし、チャンク エンコードが有効になっていることを確認します。
ファイアウォールまたはプロキシで安全なサフィックスを指定できる場合は、接続を追加します。
- パブリック クラウド
- 米国政府クラウド
| URL | 説明 |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
エージェントは、これらの URL を使用して Microsoft Entra クラウド サービスと通信します。 |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
エージェントは、これらの URL を使用して Microsoft Entra クラウド サービスと通信します。 |
mscrl.microsoft.com:80crl.microsoft.com:80ocsp.msocsp.com:80www.microsoft.com:80 |
エージェントは、これらの URL を使用して証明書を検証します。 |
login.windows.net |
エージェントは、登録プロセス中にこれらの URL を使用します。 |
NTLM 要件
Microsoft Entra プロビジョニング エージェントを実行している Windows Server で NTLM を有効にしないでください。有効になっている場合は、必ず無効にする必要があります。
既知の制限事項
既知の制限事項を次に示します。
差分同期
- 差分同期のグループ スコープ フィルター処理では、50,000 を超えるメンバーがサポートされていません。
- グループ スコープ フィルターの一部として使用されているグループを削除しても、グループのメンバーであるユーザーは削除されません。
- スコープ内の OU またはグループの名前を変更しても、差分同期ではユーザーは削除されません。
プロビジョニング ログ
- プロビジョニング ログでは、作成操作と更新操作が明確に区別されません。 更新時に作成操作、および作成時に更新操作が表示される場合があります。
グループ名の変更または OU の名前変更
- 特定の構成のスコープ内にある AD のグループまたは OU の名前を変更した場合、クラウド同期ジョブは AD での名前の変更を認識できません。 ジョブは検疫されず、正常な状態のままになります。
スコープ フィルター
OU スコープ フィルターを使用する場合
スコープ構成の文字数には 4 MB の制限があります。 標準のテスト環境では、これは、特定の構成に対して、必要なメタデータを含め、約 50 個の個別の組織単位 (OU) またはセキュリティ グループに変換されます。
入れ子になった OU がサポートされています (つまり、130 の入れ子になった OU を持つ OU を同期できますが、同じ構成で 60 の個別の OU を同期することはできません)。
パスワード ハッシュ同期
- InetOrgPerson でのパスワード ハッシュ同期の使用はサポートされていません。