Microsoft Entra Connect を使用してディレクトリ同期をインストールして構成する
Microsoft Entra Connect は、同期サービスをホストするために、ドメイン参加済みコンピューターを必要とします。 ほとんどの組織は専用の同期サーバーを展開します。
必要条件
Active Directory テナントを使用して Azure を設定したら、次の手順に従って、プライマリ タスクを完了してディレクトリ同期をデプロイする必要があります。
- AD DS ドメインを Azure に追加し、ドメインを確認して、このドメインをプライマリ ドメインとして設定します。
- Microsoft Entra Connect をダウンロードしてインストールします。
- Microsoft Entra Connect 構成ウィザードを実行します。 (必要に応じて、オンプレミスの AD DS 環境内の特定の OU を同期するように Microsoft Entra Connect を構成できます)。
- パスワード ハッシュの同期、パスワード ライトバック、Exchange ハイブリッド デプロイなどのオプション機能を有効にします。
- Microsoft Entra Connect を実行し、ディレクトリ同期用に環境を構成させます
- 同期の結果を検証します。
Microsoft Entra Connect を設定し、初期同期を実行した後に、必要に応じて同期オプションを再構成できます。 Microsoft Entra Connect ソフトウェアのインストールには、ディレクトリ同期に関連するいくつかのアプリケーションが含まれています。 Microsoft Entra Connect を実行する際には、簡易インストール設定を使用するという選択肢があります。これは、最も一般的に使用される設定でディレクトリ同期を設定します。また、セットアップ オプションをカスタマイズすることも選択できます。
カスタム インストールを使用する場合は、セットアップの開始時に、ローカル データベースではなくカスタム SQL Server を使用することを選択できます。 自動セットアップ プロセスによって作成されたものではなく、既存のサービス アカウントを使用することもできます。 さらに、カスタム同期グループを指定することもできます。 既定では、管理者、オペレーター、閲覧、パスワード リセットの各グループが Microsoft Entra Connect によって作成されますが、この目的のために独自のカスタム グループを使用することも選択できます。
既定では、Microsoft Entra Connect は、ディレクトリ同期モードに対してパスワード ハッシュ同期を設定します。 カスタム インストールを選択した場合は、[AD FS とのフェデレーション] オプションまたは [パススルー認証] を選択することもできます。 または、Microsoft 以外のフェデレーション サーバーまたは別の既存のソリューションがデプロイされている場合は、手動でディレクトリ同期を構成することもできます。
Microsoft Entra Connect のカスタム インストールでは、ユーザーの識別方法を選択することもできます。 既定では、セットアップでは、ユーザーがすべてのディレクトリで 1 回だけ表されることを前提としています。 ただし、複数のディレクトリにユーザー ID が存在するシナリオの場合は、一致する属性を選択する必要があります。 次の表で説明するオプションを選択できます。
オプション | 説明 |
---|---|
メール属性 | このオプションは、異なるフォレスト間でメール属性が同じ値である場合に、ユーザーと連絡先を結合します。 |
ObjectSID と msExchangeMasterAccountSID | このオプションは、アカウント フォレスト内の有効なユーザーを、Exchange リソース フォレスト内の無効なユーザーに結合します。 これは、Exchange では "リンクされたメールボックス" としても知られています。 |
sAMAccountName および mailNickname | このオプションでは、ユーザーのログイン ID が検出されると予測されるディレクトリ内の場所に関する追加属性が結合されます。 |
独自の属性 | このオプションでは、独自の属性を選択することができます。 |
ソース アンカー | これは、ユーザー オブジェクトの有効期間中に変更不可のままになる属性です。 言い換えると、この属性は、オンプレミスのユーザー オブジェクトを Microsoft Entra ID 内のユーザー オブジェクトとリンクする主キーです。 この属性は後で変更できないため、この目的で使用する属性を慎重に選択する必要があります。 既定の選択肢は objectGUID です。この属性は、ユーザー アカウントがフォレストとドメインの間で移動しない限り変更されないためです。 |
同じウィンドウで UserPrincipalName
属性を構成できます。 これは、ユーザーが Microsoft Entra ID にサインインするときに使用する属性です。 "UPN サフィックス" とも呼ばれるこの目的で使用されるドメインは、ユーザー オブジェクトの同期前に Microsoft Entra ID で検証する必要があります。
場合によっては、ローカル AD DS からユーザーのサブセットのみを同期することが必要になる場合があります。 Microsoft Entra Connect では、Microsoft Entra ID に同期したい特定のユーザーのグループを選択できます。 Microsoft Entra Connect を実行する前に、このグループを作成する必要があります。 セットアップの完了後には、このグループでユーザーの追加と削除を行い、Microsoft Entra ID 内に含めるユーザー オブジェクトの一覧を保守することができます。 また、ローカル AD DS の OU をレプリケーションのスコープとして使用することもできます。 最後の手順で、Microsoft Entra Connect では、Microsoft Entra ID P1 または P2 で使用できるいくつかのオプション機能を設定できます。