Microsoft Entra クラウド同期の前提条件
この記事では、ID ソリューションとして Microsoft Entra クラウド同期を選んで使う方法に関するガイダンスを示します。
クラウド プロビジョニング エージェントの要件
Microsoft Entra クラウド同期を使うには、次のものが必要です。
- エージェント サービスを実行する Microsoft Entra Connect クラウド同期 gMSA (グループ管理サービス アカウント) を作成するためのドメイン管理者またはエンタープライズ管理者の資格情報。
- ゲスト ユーザーではない、Microsoft Entra テナントのハイブリッド ID 管理者アカウント。
- Windows 2016 以降を搭載した、プロビジョニング エージェント用のオンプレミス サーバー。 このサーバーは、Active Directory 管理層モデルに基づいた階層 0 のサーバーである必要があります。 ドメイン コントローラーへのエージェントのインストールがサポートされています。
- 高可用性は、長時間障害なしで継続的に動作できる Microsoft Entra クラウド同期の機能です。 アクティブなエージェントを複数インストールして実行することで、Microsoft Entra クラウド同期は、1 つのエージェントで障害が発生しても機能し続けることができます。 Microsoft では、高可用性のために3つのアクティブなエージェントをインストールすることをお勧めします。
- オンプレミスのファイアウォールの構成
Group Managed Service Accounts
グループ管理サービス アカウントは、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および管理を他の管理者に委任する機能を提供し、またこの機能を複数のサーバーに拡張する、マネージド ドメイン アカウントです。 Microsoft Entra クラウド同期では、エージェントを実行するための gMSA がサポートされ、使用されています。 このアカウントを作成するために、セットアップ中に管理者資格情報の入力を求められます。 アカウントは domain\provAgentgMSA$
として表示されます。 gMSA の詳細については、グループ管理サービス アカウントに関するページを参照してください。
gMSA の前提条件
- gMSA ドメインのフォレスト内の Active Directory スキーマを Windows Server 2012 以降に更新する必要があります。
- ドメイン コントローラー上の PowerShell RSAT モジュール。
- ドメイン内の少なくとも 1 つのドメイン コントローラーで Windows Server 2012 以降が実行されている必要があります。
- エージェントをインストールするドメイン参加済みサーバーは、Windows Server 2016 以降である必要があります。
カスタムの gMSA アカウント
カスタムの gMSA アカウントを作成する場合は、アカウントに次のアクセス許可があることを確実にする必要があります。
型 | 名前 | アクセス | 適用対象 |
---|---|---|---|
Allow | gMSA アカウント | すべてのプロパティの読み取り | デバイスの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | InetOrgPerson の子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | コンピューターの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | foreignSecurityPrincipal の子孫オブジェクト |
Allow | gMSA アカウント | フル コントロール | グループの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | ユーザーの子孫オブジェクト |
Allow | gMSA アカウント | すべてのプロパティの読み取り | 連絡先の子孫オブジェクト |
Allow | gMSA アカウント | ユーザー オブジェクトの作成または削除 | このオブジェクトとすべての子孫オブジェクト |
gMSA アカウントを使用するように既存のエージェントをアップグレードする手順については、「グループ管理サービス アカウント」を参照してください。
グループの管理されたサービス アカウント用の Active Directory を準備する方法について詳しくは、「グループの管理されたサービス アカウントの概要」をご覧ください。
Microsoft Entra 管理センターで
- Microsoft Entra テナントで、クラウド専用のハイブリッド ID 管理者アカウントを作成します。 その方法を採用すると、オンプレミス サービスが利用できなくなった場合にテナントの構成を管理できます。 クラウド専用のハイブリッド ID 管理者アカウントを追加する方法について確認してください。 テナントからロックアウトされないようにするには、この手順を実行する必要があります。
- Microsoft Entra テナントに 1 つ以上のカスタム ドメイン名を追加します。 ユーザーは、このドメイン名のいずれかを使用してサインインできます。
Active Directory のディレクトリ内
IdFix ツールを実行して、同期用にディレクトリ属性を準備します。
オンプレミスの環境の場合
- 4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを搭載した、Windows Server 2016 以降が実行されているドメイン参加済みホスト サーバーを特定します。
- ローカル サーバーの PowerShell 実行ポリシーを、Undefined または RemoteSigned に設定する必要があります。
- サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、以下の「ファイアウォールとプロキシの要件」を参照してください。
Note
Windows Server Core へのクラウド プロビジョニング エージェントのインストールはサポートされていません。
その他の要件
TLS の要件
Note
トランスポート層セキュリティ (TLS) は、セキュリティで保護された通信を規定するプロトコルです。 TLS 設定を変更すると、フォレスト全体に影響します。 詳細については、「Windows の WinHTTP における既定の安全なプロトコルとして TLS 1.1 および TLS 1.2 を有効化する更新プログラム」を参照してください。
Microsoft Entra Connect クラウド プロビジョニング エージェントをホストする Windows サーバーでは、インストールする前に TLS 1.2 を有効にする必要があります。
TLS 1.2 を有効にするには、次の手順に従います。
コンテンツを .reg ファイルにコピーして次のレジストリ キーを設定し、ファイルを実行します (右クリックして [マージ] を選択します)。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
サーバーを再起動します。
ファイアウォールとプロキシの要件
サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、次の項目を構成します:
エージェントが次のポートを介して Microsoft Entra ID に "送信" 要求を行うことができるようにします。
ポート番号 用途 80 TLS/SSL 証明書を検証する際に、証明書失効リスト (CRL) をダウンロードします。 443 サービスを使用したすべての送信方向の通信を処理します。 8080 (省略可能) ポート 443 が使用できない場合、エージェントは、ポート 8080 経由で 10 分おきにその状態をレポートします。 この状態は、Microsoft Entra 管理センターに表示されます。 ご利用のファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスを送信元とするトラフィックに対してこれらのポートを開放します。
ファイアウォールまたはプロキシで安全なサフィックスの指定が許可されている場合は、以下への接続を追加します。
URL | 用途 |
---|---|
*.msappproxy.net *.servicebus.windows.net |
エージェントではこれらの URL を使用し、Microsoft Entra クラウド サービスと通信します。 |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
エージェントではこれらの URL を使用し、Microsoft Entra クラウド サービスと通信します。 |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
エージェントでは、これらの URL を使用して、証明書が検証されます。 |
login.windows.net |
エージェントでは、登録プロセスの間にこれらの URL が使用されます。 |
NTLM 要件
Microsoft Entra プロビジョニング エージェントを実行している Windows Server では、NTLM を有効にしないでください。有効になっている場合は、必ず無効にしてください。
既知の制限事項
既知の制限事項には、次のようなものがあります。
差分同期
- 差分同期のグループ スコープ フィルターでは、50,000 人を超えるメンバーはサポートされません。
- グループ スコープ フィルターの一部として使用されているグループを削除すると、そのグループのメンバーであるユーザーが削除されません。
- スコープ内の OU またはグループの名前を変更すると、差分同期を実行してもユーザーが削除されません。
プロビジョニング ログ
- プロビジョニング ログを使用すると、作成操作と更新操作が明確に区別されません。 更新時に作成操作、および作成時に更新操作が表示される場合があります。
グループ名の変更または OU 名の変更
- 特定の構成のスコープ内にある AD でグループまたは OU の名前を変更すると、クラウド同期ジョブによって AD での名前の変更が認識されなくなります。 ジョブは検疫されず、正常な状態のままになります。
スコープ フィルター
OU スコープ フィルターを使用する場合
- 特定の構成に対して同期できるのは、最大 59 の個別の OU またはセキュリティ グループのみです。
- 入れ子になった OU がサポートされています (つまり、130 の入れ子になった OU を持つ OU を同期できますが、同じ構成で 60 の個別の OU を同期することはできません)。
パスワード ハッシュの同期
- InetOrgPerson とのパスワード ハッシュ同期の使用はサポートされていません。