次の方法で共有

Microsoft Entra Connectにおけるセキュリティソフトの除外設定について

中西 優希 40 評価のポイント
2026-06-11T06:21:21.5733333+00:00

現在、Microsoft Entra Connectを用いたオンプレミスADからMicrosoft Entra IDへのユーザー同期環境の構築にあたり、
基本設計およびセキュリティ設計を進めております。

本サーバーのマルウェア対策ソフトとして「Trellix Endpoint Security」の導入を予定しておりますが、同期処理のパフォーマンス低下やデータベースファイルの意図しないロック(競合)による同期停止を防止するため、リアルタイムスキャンの除外設定を検討しております。

つきましては、MEC(同期エンジン)において、マイクロソフトが公式に推奨・要求している「アンチウイルスソフトのスキャン除外対象(フォルダ・プロセス)」の最新仕様について確認させてください。
専用の公式なベストプラクティスが別途定義されているかご教示いただけますでしょうか。

Azure
Azure

Microsoft が管理する世界のデータ センター ネットワークを介してアプリケーションとサービスを構築、配置、および管理するインフラストラクチャおよびクラウド コンピューティング プラットフォーム。

0 件のコメント

1 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Shubham Sharma 17,675 評価のポイント Microsoft 外部スタッフ モデレーター
    2026-06-11T06:52:51+00:00

    Yuki Nakanishi

    Microsoft Q&A に連絡してくれてありがとう。

    私は日本語が得意ではないので、コミュニケーションにはGoogle翻訳を使っていることをご了承ください。もし何か分かりにくいところや間違いがあれば教えてください。できるだけ説明するようにします!

    はい — Microsoft はガイドラインを提供していますが、Microsoft Entra Connect(Sync Engine)のみに特化した「公式の除外パスやプロセス」をまとめた専用ドキュメントはありません。

    その代わりに、Microsoft の推奨は次のようなものに基づいています:

    • 一般的な SQL Server のアンチウイルス除外ガイドライン(Entra Connect は SQL LocalDB/SQL Server を使用しているため)
    • 一般的なアプリケーション/サーバーの AV 除外原則
    • Entra Connect サーバーを Tier‑0 の重要なシステムとして扱う(厳格なセキュリティ強化を行う)

    以下はおすすめです:

    1. Entra Connect サーバーを重要な Tier‑0 資産として扱う

    Microsoft はサーバーの強化とアクセス制限を明確に推奨しています:

    「Microsoft Entra Connect サーバーを Tier 0 のセキュリティ資産として扱い、アクセスを制限し、強化・監視してください。」

    これはつまり:

    不要なソフトウェアは避ける

    除外設定は慎重に評価する(何でもかんでも除外しない)

    1. マイクロソフトは固定の除外リストを提供していません → SQL + ワークロードガイドを使いましょう

    Microsoft Learnでは専用の「AADC AV除外リスト」は公開されていません。

    その代わり、公式なアプローチは次の通りです:

    SQL Serverのガイダンスに基づいて除外を設定する

    Entra ConnectはADSyncデータベース(SQL LocalDB / SQL Server)を使用しているため、マイクロソフトはSQLのAVベストプラクティスに従うことを推奨しています:

    ドキュメント:https://learn.microsoft.com/ja-jp/troubleshoot/sql/database-engine/security/antivirus-and-sql-server

    重要なポイント:

    アンチウイルススキャンはデータベースファイルをロックして、障害やパフォーマンスの問題を引き起こすことがあります。

    除外すべきもの:

    • データベースファイル(.mdf、.ldf)
    • バックアップファイル
    • SQL Server のデータ/ログディレクトリ
    • SQL プロセス
    1. 予想される Entra Connect 固有の除外範囲

    1つのドキュメントにまとめられていなくても、Microsoft のアーキテクチャに基づくと、考慮すべきコンポーネントは以下の通りです。

    A. データベースディレクトリ

    Entra Connect のインストールと SQL の使用から:

    デフォルトの LocalDB パス: %ProgramFiles%Microsoft Azure AD SyncData

    ADSync データベース(LocalDB / SQL)

    B. 同期エンジンのバイナリ

    同期エンジン = Microsoft Identity Manager(MIISベースのエンジン)

    一般的なプロセス:

    miiserver.exe

    Microsoft.Online.DirSync.Scheduler.exe

    AzureADConnect.exe

    理由:

    同期エンジンは高頻度でDBやファイルの操作を行う

    AVのロックが原因で以下が起こることがある:

    同期の失敗

    エクスポート/インポートのエラー

    C. プログラムディレクトリ

    一般的なインストールフォルダ:

    C:\Program Files\Microsoft Azure AD Sync\

    C:\Program Files\Microsoft Azure AD Connect\

    一般的なMicrosoftアンチウイルス除外の原則

    Microsoft Defenderのガイドラインより:

    https://learn.microsoft.com/ja-jp/defender-endpoint/configure-exclusions-microsoft-defender-antivirus

    主なルール:

    除外できるものには以下が含まれます:

    フォルダ

    プロセス

    ファイル拡張子

    除外は次のようにすべきです:

    • 最小限に
    • リスクを評価した上で
    • 広すぎない(保護を弱めないようにするため)

    この回答は役に立ちましたか?

お客様の回答

質問作成者は回答に "承認済み"、モデレーターは "おすすめ" とマークできます。これにより、ユーザーは作成者の問題が回答によって解決したことを把握できます。