Azure AD Connect プロビジョニング エージェントをインストールする

  • [アーティクル]

この記事では、Azure Active Directory (Azure AD) Connect プロビジョニング エージェントのインストール プロセスと、それを Azure portal で初期構成する方法について説明します。

重要

次のインストール手順は、前提条件がすべて満たされていることを前提としています。

注意

この記事では、ウィザードを使用したプロビジョニング エージェントのインストールについて説明します。 CLI を使用した Azure AD Connect プロビジョニング エージェントのインストールの詳細については、「CLI と PowerShell を使用して Azure AD Connect プロビジョニング エージェントをインストールする」を参照してください。

詳細と例については、次のビデオをご覧ください。

Group Managed Service Accounts

グループ管理サービス アカウント (gMSA) は、パスワードの自動管理、簡略化されたサービス プリンシパル名 (SPN) の管理、および管理を他の管理者に委任する機能を提供する、マネージド ドメイン アカウントです。 また gMSA では、この機能が複数のサーバーにも拡張されます。 Azure AD Connect クラウド同期では、エージェントを実行するための gMSA の使用がサポートされ、推奨されています。 詳細については、「グループの管理されたサービス アカウントの概要」を参照してください。

gMSA を使用するよう既存のエージェントを更新する

インストール中に作成されたグループ管理サービス アカウントを使用するように既存のエージェントを更新するには、AADConnectProvisioningAgent.msi を実行して、エージェント サービスを最新バージョンに更新します。 ここで、インストール ウィザードを再度実行し、メッセージが表示されたらアカウントを作成するための資格情報を指定します。

エージェントをインストールする

  1. Azure Portal で、 [Azure Active Directory] を選びます。
  2. 左側で[Azure AD Connect] を選びます。
  3. 左側の [クラウド同期] を選びます。

新しい UX 画面のスクリーンショット。

  1. 左側の [エージェント] を選びます。
  2. [オンプレミス エージェントのダウンロード] を選び、[条件に同意して & ダウンロード] を選びます。

エージェントのダウンロードを示すスクリーンショット。

  1. Azure AD Connect プロビジョニング エージェント パッケージのダウンロードが完了したら、ダウンロード フォルダーから AADConnectProvisioningAgentSetup.exe インストール ファイルを実行します。
  2. スプラッシュ スクリーンで [ライセンスと条件に同意する] を選んでから、[インストール] を選択します。

Microsoft Azure AD Connect Provisioning Agent Package のスプラッシュ スクリーンを示すスクリーンショット。

  1. インストール操作が完了すると、構成ウィザードが起動します。 [次へ] を選択して構成を開始します。 ようこそ画面のスクリーンショット。
  2. [拡張機能の選択] 画面で、[人事主導のプロビジョニング (Workday や SuccessFactors) / Azure AD Connect クラウド同期] を選択し、[次へ] をクリックします。 拡張機能の選択画面のスクリーンショット。

Note

オンプレミス アプリのプロビジョニングで使用するためにプロビジョニング エージェントをインストールする場合は、[オンプレミス アプリケーションのプロビジョニング (Azure AD からアプリケーションへ)] を選択します。

  1. Azure AD 全体管理者アカウントでサインインします。 Internet Explorer のセキュリティ強化が有効になっている場合は、サインインがブロックされます。 その場合は、インストールを閉じ、Internet Explorer のセキュリティ強化を無効にして、Azure AD Connect プロビジョニング エージェント パッケージのインストールを再開します。

[Azure AD の接続] 画面のスクリーンショット。

  1. [サービス アカウントの構成] 画面で、グループ管理サービス アカウント (gMSA) を選択します。 このアカウントはエージェント サービスの実行に使用されます。 マネージド サービス アカウントがドメインで既に構成されている場合は、この画面をスキップできます。 メッセージが表示されたら、次のいずれかを選びます。
  • gMSA の作成: エージェントが provAgentgMSA$ 管理サービス アカウントを自動的に作成できるようにします。 グループ管理サービス アカウント (CONTOSO\provAgentgMSA$ など) は、ホスト サーバーが参加しているものと同じ Active Directory ドメインで作成されます。 このオプションを使用するには、Active Directory ドメイン管理者の資格情報を入力します。
  • カスタム gMSA を使用し、管理サービス アカウントの名前を指定します。

続けるには、 [次へ] を選択します。

[サービス アカウントの構成] 画面のスクリーンショット。

  1. [Active Directory の接続] 画面で、ドメイン名が [構成済みドメイン] の下に表示される場合は、次の手順に進みます。 それ以外の場合は、Active Directory ドメイン名を入力し、[ディレクトリの追加] を選択します。

  2. Active Directory ドメイン管理者アカウントでサインインします。 ドメイン管理者アカウントにパスワード変更要件は設定しないでください。 パスワードが期限切れになった場合や変更された場合は、新しい資格情報でエージェントを再構成する必要があります。 この操作によってオンプレミス ディレクトリが追加されます。 [OK] を選んでから、[次へ] を選択して続行します。

ドメイン管理者の資格情報を入力する方法を示すスクリーンショット。

  1. 次のスクリーンショットには、contoso.com 構成済みドメインの例が示されています。 [次へ] を選択して続行します。

[Active Directory の接続] 画面のスクリーンショット。

  1. [構成の完了] 画面で、 [確認] を選択します。 この操作によって、エージェントが登録されて再起動されます。

  2. この操作が完了すると、[エージェントの構成が正常に検証されました] と通知されるはずです。[終了] を選択できます。

完了画面を示すスクリーンショット。

  1. まだ最初のスプラッシュ スクリーンが表示される場合は、[閉じる] を選択します。

エージェントのインストールを確認する

エージェントの確認は、Azure portal のほか、エージェントが実行されているローカル サーバーで行います。

Azure portal でのエージェントの確認

エージェントが Azure AD で登録されていることを確認するには、これらの手順に従います。

  1. Azure portal にサインインします。
  2. [Azure Active Directory] を選択します。
  3. [Azure AD Connect] を選び、次に [クラウド同期] を選びます。新しい UX 画面のスクリーンショット。
  4. [クラウド同期] ページに、インストールしたエージェントが表示されます。 エージェントが表示され、状態が正常であることを確認します。

ローカル サーバーの場合

エージェントが実行されていることを確認するには、次の手順に従います。

  1. 管理者アカウントでサーバーにサインインします。
    1. [サービス] を開きます。これには、そこに直接移動するか、スタート ボタンをクリックし、[ファイル名を指定して実行] で「Services.msc」と入力します。
  3. [サービス][Microsoft Azure AD Connect Agent Updater][Microsoft Azure AD Connect Provisioning Agent] が存在し、その状態が [実行中] になっていることを確認します。 Windows サービスを示すスクリーンショット。

重要

エージェントをインストールした後、エージェントによってユーザーの同期が開始される前に、エージェントを構成して有効にする必要があります。 新しいエージェントを構成するには、「Azure AD Connect クラウド同期の新しい構成を作成する」を参照してください。

Azure AD Connect クラウド同期でパスワード ライトバックを有効にする

"パスワード ライトバック" を使って、セルフサービス パスワード リセット (SSPR) サービスでクラウド同期エージェントを検出するには、Set-AADCloudSyncPasswordWritebackConfiguration コマンドレットとテナントのグローバル管理者資格情報を使う必要があります。

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Azure AD Connect クラウド同期でパスワード ライトバックを使用する方法の詳細については、「チュートリアル: クラウド同期セルフサービス パスワード リセットのオンプレミス環境へのライトバックを有効にする (プレビュー)」を参照してください。

米国政府のクラウドにエージェントをインストールする

既定では、Azure AD Connect プロビジョニング エージェントは既定の Azure 環境にインストールされます。 米国政府で使用するエージェントをインストールする場合は、前のインストール手順の手順 7 でこの変更を行います。

  • [ファイルを開く] を選ぶのではなく、[スタート]>[ファイル名を指定して実行] を選び、AADConnectProvisioningAgentSetup.exe ファイルに移動します。 [ファイル名を指定して実行] ボックスで、実行可能ファイルの後に「ENVIRONMENTNAME=AzureUSGovernment」と入力して、[OK] を選びます。

    米国政府クラウドにエージェントをインストールする方法を示すスクリーンショット。

クラウド同期でのパスワード ハッシュ同期と FIPS

Federal Information Processing Standard (FIPS) に従ってサーバーがロックされた場合、MD5 (message-digest algorithm 5) は無効になります。

パスワード ハッシュ同期で MD5 を有効にするには、次を実行します。

  1. %programfiles%\Microsoft Azure AD Connect Provisioning Agent に移動します。
  2. AADConnectProvisioningAgent.exe.config を開きます。
  3. ファイルの先頭にある configuration/runtime ノードに移動します。
  4. <enforceFIPSPolicy enabled="false"/> ノードを追加します。
  5. 変更を保存します。

参考までに、コードは次のスニペットのようになっているはずです。

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

セキュリティと FIPS の詳細については、Azure AD のパスワード ハッシュ同期、暗号化、および FIPS コンプライアンスに関するページを参照してください。

次のステップ