Microsoft Entra Connect: 自動アップグレード
Microsoft Entra Connect の自動アップグレードは、Microsoft Entra Connect の新しいバージョンを定期的にチェックする機能です。 サーバーで自動アップグレードが有効になっている場合、新しいバージョンが利用可能になると自動的にアップグレードされます。 セキュリティ上の理由により、自動アップグレードを実行するエージェントでは、ダウンロードされたバージョンのデジタル署名に基づいて Microsoft Entra Connect の新しいビルドが検証されます。
Note
Microsoft Entra Connect はモダン ライフサイクル ポリシーに従います。 モダン ライフサイクル ポリシーに基づく製品とサービスの変更は、より頻繁に行われる可能性があり、顧客に対して製品またはサービスに対する今後の変更に関する通知が必要です。
モダン ポリシーによって管理される製品は、継続的なサポートとサービス モデルに従います。 サポートを維持するには、最新の更新プログラムを使用する必要があります。
モダン ライフサイクル ポリシーによって管理される製品とサービスの場合、Microsoft のポリシーでは、顧客がアクションを実行する必要があるときに、製品またはサービスの通常の効用が大幅に低下しないように、少なくとも 30 日前に通知を提供します。
概要
Microsoft Entra Connect のインストールを常に最新の状態に保つことは、自動アップグレード 機能によって、これまでよりも簡単になりました。 この機能は、高速インストールと DirSync のアップグレード用に既定で有効になっています。 インストールは新しいバージョンのリリース時に自動的にアップグレードされます。 自動アップグレードは、次の場合に既定で有効です。
- 簡単設定インストールと DirSync のアップグレード。
- SQL Express LocalDB (簡単設定で常に使用されます)。 SQL Express を使用した DirSync でも、LocalDB が使用されます。
- AD アカウントが、簡単設定と DirSync によって作成される既定の MSOL_ アカウントである場合。
- メタバース内のオブジェクト数が 100,000 未満。
自動アップグレードの現在の状態は、PowerShell コマンドレット Get-ADSyncAutoUpgrade
で表示できます。 次のような状態があります。
State | 解説 |
---|---|
Enabled | 自動アップグレードが有効です。 |
Suspended | システムによる設定だけが可能です。 システムは、自動アップグレードを現在受け付けることができません。 |
無効 | 自動アップグレードが無効です。 |
Set-ADSyncAutoUpgrade
を使用して、有効と無効を切り替えることができます。 システムだけが、状態を 保留に設定することができます。 バージョン 1.1.750.0 より前は、自動アップグレードの状態が一時停止に設定されている場合に、Set-ADSyncAutoUpgrade コマンドレットによって Autoupgrade がブロックされていました。 本機能は、自動アップグレードをブロックしないようにアップデートされました。
自動アップグレードでは、アップグレード インフラストラクチャに Microsoft Entra Connect Health を使用しています。 自動アップグレードを動作させるには、「Office 365 URL および IP アドレス範囲」に記載されているように、Microsoft Entra Connect Health 用にプロキシ サーバーで URL を許可しておく必要があります。
Synchronization Service Manager UI がサーバーで実行されている場合は、UI が閉じられるまで、アップグレードが中断されます。
Note
Microsoft Entra Connect のすべてのリリースが自動アップグレードに対応しているわけではありません。 リリースの状態により、リリースが自動アップグレードに対応しているか、ダウンロードにのみ対応しているかが示されます。 Microsoft Entra Connect サーバーに対して自動アップグレードが有効になっており、自動アップグレードの適格性が構成にある場合、そのサーバーは、自動アップグレードのためにリリースされた Microsoft Entra Connect の最新バージョンに自動的にアップグレードされます。 詳細については、記事「Microsoft Entra Connect: バージョンのリリース履歴」を参照してください。
自動アップグレードの適格性
以下のいずれかの条件が満たされている場合、自動アップグレードは続行できません。
結果メッセージ | 説明 |
---|---|
UpgradeNotSupportedCustomizedSyncRules | Microsoft Entra Connect では、カスタム同期ルールが構成されています。 注: バージョン 2.2.1.0 以降、この条件によって自動アップグレードが妨げられることはなくなりました。 |
UpgradeNotSupportedInvalidPersistedState | インストールが簡易設定でも DirSync のアップグレードでもありません。 |
UpgradeNotSupportedNonLocalDbInstall | SQL Server Express LocalDB データベースが使用されていません。 |
UpgradeNotSupportedLocalDbSizeExceeded | ローカル DB のサイズが 8 GB 以上です。 |
UpgradeNotSupportedAADHealthUploadDisabled | 現時点では、正常性データのアップロードがポータルから無効になっています |
トラブルシューティング
インストール済みの Connect が想定されているとおりに自動的にアップグレードしない場合は、次の手順を実行して問題の原因を特定してください。
まず、新バージョンのリリース初日に自動アップグレードが開始されるとは限りません。 アップグレードのタイミングは意図的にランダムに設定されているため、アップグレードがすぐに実行されなくても心配する必要はありません。
問題が生じていると思われる場合は、最初に Get-ADSyncAutoUpgrade
を実行して、自動アップグレードが有効になっていることを確認してください。
状態が中断になっている場合は、Get-ADSyncAutoUpgrade -Detail
を使用して理由を表示できます。 中断理由にはどんな文字列を指定してもかまいませんが、一般的には UpgradeResult の文字列値 (すなわち UpgradeNotSupportedNonLocalDbInstall
か UpgradeAbortedAdSyncExeInUse
) を設定します。 UpgradeFailedRollbackSuccess-GetPasswordHashSyncStateFailed
などの複合値が返される場合もあります。
UpgradeResult 以外の結果が返されることもあります。たとえば、AADHealthEndpointNotDefined や DirSyncInPlaceUpgradeNonLocalDb などです。
その後、プロキシまたはファイアウォールで必要な URL を許可していることを確認してください。 自動更新は、「概要」で説明されているように、Microsoft Entra Connect Health が使用されています。 プロキシを使用する場合は、 プロキシ サーバーを使用するよう Health が構成されていることを確認します。 また、Microsoft Entra ID への正常性接続もテストします。
Microsoft Entra ID への接続が確認されたら、イベント ログを調査します。 イベント ビューアーを起動し、 [アプリケーション] イベントログを確認します。 ソースとして [Microsoft Entra Connect のアップグレード] を選択し、イベント ID 範囲に [300-399] を指定したイベント ログ フィルターを追加します。
これで、自動アップグレードの状態に関連するイベント ログが表示されます。
結果コードには、状態についての概要を含むプレフィックスが付加されています。
結果コードのプレフィックス | 説明 |
---|---|
Success | 正常にアップグレードしました。 |
UpgradeAborted | 一時的な状況により、アップグレードが停止しました。 再試行され、後ほど成功する見込みです。 |
UpgradeNotSupported | システム内に、自動アップグレードをブロックしている構成があります。 状態が変更中であるかどうかを確認するためにもう一度試行されますが、システムを手動でアップグレードする必要があると考えられます。 |
特によく表示されるメッセージの一覧を次に示します。 結果メッセージには、問題のすべての詳細が記載されているわけではありませんが、何が問題となっているかが明確に示されます。
結果メッセージ | 説明 |
---|---|
UpgradeAborted | |
UpgradeAbortedCouldNotSetUpgradeMarker | レジストリへの書き込みに失敗しました。 |
UpgradeAbortedInsufficientDatabasePermissions | 組み込みの管理者グループにデータベースへのアクセス許可がありません。 これを解決するには、最新バージョンの Microsoft Entra Connect に手動でアップグレードしてください。 |
UpgradeAbortedInsufficientDiskSpace | アップグレードに必要なディスク容量が不足しています。 |
UpgradeAbortedSecurityGroupsNotPresent | 同期エンジンが使用しているセキュリティ グループの一部が見つからず、解決できませんでした。 |
UpgradeAbortedServiceCanNotBeStarted | NT サービス Microsoft Entra Sync を起動できませんでした。 |
UpgradeAbortedServiceCanNotBeStopped | NT サービス Microsoft Entra Sync を停止できませんでした。 |
UpgradeAbortedServiceIsNotRunning | NT サービス Microsoft Entra Sync が実行されていません。 |
UpgradeAbortedSyncCycleDisabled | スケジューラの SyncCycle オプションは現在無効になっています。 |
UpgradeAbortedSyncExeInUse | サーバーで Sychronization Service Manager UI が開いています。 |
UpgradeAbortedSyncOrConfigurationInProgress | インストール ウィザードが実行されているか、同期がスケジューラ以外の場所でスケジュールされました。 |
UpgradeNotSupported | |
UpgradeNotSupportedCustomizedSyncRules | Microsoft Entra Connect では、カスタム同期ルールが構成されています。 |
UpgradeNotSupportedInvalidPersistedState | インストールが簡易設定でも DirSync のアップグレードでもありません。 |
UpgradeNotSupportedNonLocalDbInstall | SQL Server Express LocalDB データベースが使用されていません。 |
UpgradeNotSupportedLocalDbSizeExceeded | ローカル DB のサイズが 8 GB 以上です。 |
UpgradeNotSupportedAADHealthUploadDisabled | 現時点では、正常性データのアップロードがポータルから無効になっています |
次のステップ
オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。