この記事では、Microsoft Entra プロビジョニング エージェントのインストール プロセスと、Microsoft Entra 管理センターでその初期構成を行う方法について説明します。
重要
次のインストール手順は、前提条件がすべて満たされていることを前提としています。
Note
この記事では、ウィザードを使用したプロビジョニング エージェントのインストールについて説明します。 CLI を使用した Microsoft Entra プロビジョニング エージェントのインストールの詳細については、「CLI と PowerShell を使用した Azure AD プロビジョニング エージェントのインストール」に関する記事を参照してください。
詳細と例については、次のビデオをご覧ください。
グループ管理サービス アカウント
グループ管理サービス アカウント (gMSA) は、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および管理を他の管理者に委任する機能を提供する、マネージド ドメイン アカウントです。 また gMSA では、この機能が複数のサーバーにも拡張されます。 Microsoft Entra クラウド同期では、エージェントを実行するための gMSA の使用がサポートされ、推奨されています。 詳細については、「グループの管理されたサービス アカウントの概要」を参照してください。
gMSA を使用するよう既存のエージェントを更新する
インストール中に作成されたグループ管理サービス アカウントを使用するように既存のエージェントを更新するには、AADConnectProvisioningAgent.msi を実行して、エージェント サービスを最新バージョンに更新します。 ここで、インストール ウィザードを再度実行し、メッセージが表示されたらアカウントを作成するための資格情報を指定します。
エージェントをインストールする
Azure portal で、Microsoft Entra ID を選択します。
左側のウィンドウで、[ Microsoft Entra Connect] を選択し、[ クラウド同期] を選択します。
左側のウィンドウで、[エージェント] を選択 します。
[ オンプレミス エージェントのダウンロード] を選択し、[ 同意する] を選択してダウンロードします。
Microsoft Entra Connect プロビジョニング エージェント パッケージをダウンロードしたら、ダウンロード フォルダーから AADConnectProvisioningAgentSetup.exe インストール ファイルを実行します。
Note
US Government Cloud のインストールを実行する場合は、 AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment を使用します。 詳細については、「 米国政府機関向けクラウドへのエージェントのインストール」を参照してください。
開いた画面で、[ ライセンス条項に同意 する] チェック ボックスをオンにし、[ インストール] を選択します。
インストールが完了すると、構成ウィザードが開きます。 [次へ] を選択して構成を開始します。
[ 拡張機能の選択 ] 画面 で、HR ドリブン プロビジョニング (Workday と SuccessFactors) / Azure AD Connect Cloud Sync を選択し、[ 次へ] を選択します。
Note
Microsoft Entra オンプレミス アプリケーション プロビジョニングで使用するプロビジョニング エージェントをインストールする場合は、[オンプレミス アプリケーション プロビジョニング (アプリケーションへの Microsoft Entra ID)]を選択します。
少なくとも ハイブリッド ID 管理者 ロールを持つアカウントでサインインします。 Internet Explorer のセキュリティ強化が有効になっている場合は、サインインがブロックされます。 その場合は、インストールを閉じ、 Internet Explorer のセキュリティ強化を無効にして、Microsoft Entra Connect プロビジョニング エージェント パッケージのインストールを再起動します。
[サービス アカウントの構成] 画面で、グループ管理サービス アカウント (gMSA) を選択します。 このアカウントはエージェント サービスの実行に使用されます。 マネージド サービス アカウントが別のエージェントによってドメインに既に構成されていて、2 つ目のエージェントをインストールしている場合は、[ gMSA の作成] を選択します。 システムは既存のアカウントを検出し、gMSA アカウントを使用するために新しいエージェントに必要なアクセス許可を追加します。 メッセージが表示されたら、次の 2 つのオプションのいずれかを選択します。
- gMSA の作成: エージェントが provAgentgMSA$ マネージド サービス アカウントを作成できるようにします。 グループ管理サービス アカウント (
CONTOSO\provAgentgMSA$
など) は、ホスト サーバーが参加したのと同じ Active Directory ドメインに作成されます。 このオプションを使用するには、Active Directory ドメイン管理者の資格情報を入力します (推奨)。 - カスタム gMSA の使用: このタスク用に手動で作成したマネージド サービス アカウントの名前を指定します。
- gMSA の作成: エージェントが provAgentgMSA$ マネージド サービス アカウントを作成できるようにします。 グループ管理サービス アカウント (
続けるには、 [次へ] を選択します。
[Active Directory の接続] 画面で、ドメイン名が [構成済みドメイン] の下に表示される場合は、次の手順に進みます。 それ以外の場合は、Active Directory ドメイン名を入力し、[ ディレクトリの追加] を選択します。
Active Directory ドメイン管理者アカウントでサインインします。 ドメイン管理者アカウントのパスワードは有効期限が切れていないものである必要があります。 エージェントのインストール中にパスワードの有効期限が切れている場合や変更された場合は、新しい資格情報を使用してエージェントを再構成します。 この操作によってオンプレミス ディレクトリが追加されます。 [ OK] を選択し、[ 次へ ] を選択して続行します。
次のスクリーンショットは、contoso.com 用に構成されたドメインの例を示しています。 [次へ] を選択して続行します。
[構成の完了] 画面で、 [確認] を選択します。 この操作によって、エージェントが登録されて再起動されます。
操作が完了すると、エージェントの構成が正常に検証されたことを示す通知が表示されます。 [終了] を選択します。
まだ最初の画面が表示される場合は、[ 閉じる] を選択します。
エージェントのインストールを確認する
エージェントの検証は、Azure portal と、エージェントを実行するローカル サーバーで行われます。
Azure portal でエージェントを確認する
Microsoft Entra ID によってエージェントが登録されていることを確認するには、次の手順に従います。
Azure portal にサインインします。
[Microsoft Entra ID] を選びます。
[Microsoft Entra Connect] を選択し、[クラウド同期] を選択します。
[ クラウド同期 ] ページに、インストールしたエージェントが表示されます。 エージェントが表示され、状態が 正常であることを確認します。
ローカル サーバー上のエージェントを確認する
エージェントが実行されていることを確認するには、次の手順に従います。
管理者アカウントでサーバーにサインインします。
[サービス] に移動します。 Start/Run/Services.msc を使用してアクセスすることもできます。
[ サービス] で、 Microsoft Entra Connect エージェント アップデーター と Microsoft Entra Connect プロビジョニング エージェント が存在し、状態が [実行中] であることを確認します。
プロビジョニング エージェントのバージョンを確認する
実行中のエージェントのバージョンを確認するには、次の手順に従います。
- C:\Program Files\Microsoft Azure AD Connect プロビジョニング エージェントに移動します。
- AADConnectProvisioningAgent.exe を右クリックし、[プロパティ] を選択します。
- [ 詳細 ] タブを選択します。製品バージョンの横にバージョン番号が表示されます。
重要
エージェントをインストールした後、エージェントによってユーザーの同期が開始される前に、エージェントを構成して有効にする必要があります。 新しいエージェントを構成するには、「Microsoft Entra クラウド同期の新しい構成を作成する」を参照してください。
クラウド同期でパスワード ライトバックを有効にする
ポータルで直接、または PowerShell を使用して、SSPR でパスワード ライトバックを有効にすることができます。
ポータルでパスワード ライトバックを有効にする
パスワード ライトバックを使用して、セルフサービス パスワード リセット (SSPR) サービスでポータルを使用してクラウド同期エージェントを検出できるようにするには、次の手順を実行します。
- ハイブリッド ID の管理者以上として Microsoft Entra 管理センターにサインインします。
- [Entra ID]>[パスワードのリセット]>[オンプレミスの統合] に移動します。
- [同期されたユーザーのパスワード ライト バックを有効にする] のオプションをオンにします。
- (省略可能) Microsoft Entra Connect プロビジョニング エージェントが検出された場合は、[Microsoft Entra クラウド同期を使用したパスワード ライトバック] オプションもオンにできます。
- [パスワードをリセットせずにアカウントのロックを解除することをユーザーに許可する] オプションを [はい] にします。
- 準備ができたら、 [保存] を選択します。
PowerShell の使用
"パスワード ライトバック" を使って、セルフサービス パスワード リセット (SSPR) サービスでクラウド同期エージェントを検出するには、Set-AADCloudSyncPasswordWritebackConfiguration
コマンドレットとテナントのグローバル管理者資格情報を使う必要があります。
Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll"
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Microsoft Entra クラウド同期でパスワード ライトバックを使用する方法の詳細については、「チュートリアル: クラウド同期セルフサービス パスワード リセットのオンプレミス環境へのライトバックを有効にする (プレビュー)」を参照してください。
米国政府のクラウドにエージェントをインストールする
既定では、Microsoft Entra プロビジョニング エージェントは既定の Azure 環境にインストールされます。 米国政府で使用するエージェントをインストールする場合は、前のインストール手順の手順 7 でこの変更を行います。
[ファイルを開く] を選ぶのではなく、[スタート]>[ファイル名を指定して実行] を選び、AADConnectProvisioningAgentSetup.exe ファイルに移動します。 [ファイル名を指定して実行] ボックスで、実行可能ファイルの後に「ENVIRONMENTNAME=AzureUSGovernment」と入力して、[OK] を選びます。
クラウド同期でのパスワード ハッシュ同期と FIPS
Federal Information Processing Standard (FIPS) に従ってサーバーがロックされた場合、MD5 (message-digest algorithm 5) は無効になります。
パスワード ハッシュ同期で MD5 を有効にするには、次を実行します。
- %programfiles%\Microsoft Azure AD Connect Provisioning Agent に移動します。
- AADConnectProvisioningAgent.exe.config を開きます。
- ファイルの先頭にある configuration/runtime ノードに移動します。
<enforceFIPSPolicy enabled="false"/>
ノードを追加します。- 変更内容を保存します。
参考までに、コードは次のスニペットのようになっているはずです。
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false"/>
</runtime>
</configuration>
セキュリティと FIPS の詳細については、Microsoft Entra のパスワード ハッシュ同期、暗号化、および FIPS コンプライアンスに関するページを参照してください。