Microsoft Entra Connect の前提条件

この記事では、Microsoft Entra Connect を使用するための前提条件とハードウェア要件について説明します。

Microsoft Entra Connect をインストールする前に

Microsoft Entra Connect をインストールする前に、いくつか必要なものがあります。

Microsoft Entra ID

  • Microsoft Entra テナントが必要です。 Azure 無料試用版に 1 つ付属します。 次のポータルのいずれかを使用して、Microsoft Entra Connect を管理できます。
  • Microsoft Entra ID で使用する予定のドメインを追加して検証します。 たとえば、ユーザー向けに contoso.com を使用する予定の場合は、そのドメインが検証されていることと、使用しているドメインが既定のドメインである contoso.onmicrosoft.com だけではないことを確認します。
  • Microsoft Entra テナントでは、既定で 50,000 個のオブジェクトが許可されます。 ドメインを検証すると、このオブジェクトの制限が 300,000 個に増加します。 Microsoft Entra ID でさらに多くのオブジェクトが必要な場合は、制限をさらに引き上げるためにサポート ケースを作成します。 500,000 個を超えるオブジェクトが必要な場合は、Microsoft 365、Microsoft Entra ID P1 または P2、あるいは Enterprise Mobility + Security などのライセンスが必要です。

オンプレミスのデータの準備

オンプレミスの Active Directory

  • Active Directory スキーマのバージョンとフォレストの機能レベルは、Windows Server 2003 以降である必要があります。 ドメイン コントローラーは、スキーマのバージョンとフォレストレベルの要件が満たされていれば、任意のバージョンを実行できます。 Windows Server 2016 以前を実行しているドメイン コントローラーのサポートが必要な場合は、有料サポート プログラムが必要になる場合があります。
  • Microsoft Entra ID で使用されるドメイン コントローラーは、書き込み可能である必要があります。 読み取り専用ドメイン コントローラー (RODC) の使用は "サポートされていません"。また、Microsoft Entra Connect は書き込みリダイレクトに従いません。
  • "ドット形式" (名前にピリオド "." が含まれる) を使用した NetBIOS 名を使用するオンプレミスのフォレストまたはドメインは使用できません
  • Active Directory のごみ箱を有効にすることをお勧めします。

PowerShell 実行ポリシー

Microsoft Entra Connect は、インストールの一部として署名済み PowerShell スクリプトを実行します。 PowerShell 実行ポリシーでスクリプトの実行が許可されていることを確認します。

インストール中に推奨される実行ポリシーは "RemoteSigned" です。

PowerShell 実行ポリシーの設定の詳細については、「Set-ExecutionPolicy」を参照してください。

Microsoft Entra Connect サーバー

Microsoft Entra Connect サーバーには、重要な ID データが含まれています。 このサーバーへの管理アクセスが適切にセキュリティで保護されていることが重要です。 「特権アクセスの保護」のガイドラインに従ってください。

Microsoft Entra Connect サーバーは、Active Directory 管理階層モデルに関する記事の説明に従い、階層 0 のコンポーネントとして取り扱う必要があります。 「特権アクセスの保護」で説明されているガイダンスに従って、Microsoft Entra Connect サーバーをコントロール プレーン アセットとして強化することをお勧めします

Active Directory 環境のセキュリティ保護の詳細については、Active Directory を保護するためのベスト プラクティスに関する記事を参照してください。

設置の前提条件

  • Microsoft Entra Connect は、ドメインに参加している Windows Server 2016 以降にインストールする必要があります。 ドメイン参加済みの Windows Server 2022 を使用することをお勧めします。 Microsoft Entra Connect は Windows Server 2016 にデプロイできますが、Windows Server 2016 は延長サポートであるため、この構成に支援が必要な場合は有償サポート プログラムが必要になることがあります。
  • 必要な .NET Framework の最小バージョンは 4.6.2 であり、それより新しい .NET のバージョンもサポートされています。 .NET バージョン 4.8 以降では、最適なアクセシビリティ コンプライアンスが提供されます。
  • Small Business Server または 2019 より前の Windows Server Essentials には、Microsoft Entra Connect をインストールできません (Windows Server Essentials 2019 はサポートされます)。 サーバーは Windows Server Standard 以上を使用する必要があります。
  • Microsoft Entra Connect サーバーには、完全な GUI がインストールされている必要があります。 Windows Server Core への Microsoft Entra Connect のインストールはサポートされていません。
  • Microsoft Entra Connect ウィザードを使用して Active Directory フェデレーション サービス (AD FS) 構成を管理する場合、Microsoft Entra Connect サーバーで PowerShell トランスクリプション グループ ポリシーを有効にすることはできません。 Microsoft Entra Connect ウィザードを使用して同期構成を管理する場合は、PowerShell トランスクリプションを有効にできます。
  • AD FS が展開されている場合:
    • AD FS または Web アプリケーション プロキシがインストールされるサーバーは、Windows Server 2012 R2 以降である必要があります。 リモート インストールを行うには、これらのサーバーで Windows リモート管理を有効にする必要があります。 Windows Server 2016 以前のサポートが必要な場合は、有料サポート プログラムが必要になる場合があります。
    • TLS/SSL 証明書を構成する必要があります。 詳細については、AD FS の SSL/TLS プロトコルおよび暗号スイートの管理および AD FS での SSL 証明書の管理に関する記事を参照してください。
    • 名前解決を構成する必要があります。
  • Microsoft Entra Connect と Microsoft Entra ID との間のトラフィックの中断および分析はサポートされていません。 それを行うとサービスが中断される可能性があります。
  • ハイブリッド ID 管理者が MFA を有効にしている場合、URL https://secure.aadcdn.microsoftonline-p.com は信頼済みサイトの一覧になければなりません。 MFA チャレンジを求められたときに、この URL がまだ追加されていない場合は、信頼済みサイトの一覧に追加するように促されます。 信頼済みサイトへの追加には、Internet Explorer を使用できます。
  • 同期に Microsoft Entra Connect Health を使用する予定の場合は、Microsoft Entra Connect Health の前提条件も満たされていることを確認してください。 詳細については、Microsoft Sentinel Connect Health エージェントのインストールに関する記事を参照してください。

Microsoft Entra Connect サーバーを強化する

Microsoft Entra Connect サーバーを強化して、IT 環境に含まれるこの重要なコンポーネントに対する、セキュリティの攻撃面を縮小することをお勧めします。 これらの推奨事項に従うことで、組織に対するセキュリティ上のリスクを軽減することができます。

  • 特権アクセスの保護」と Active Directory 管理階層モデルに関する記事で提供されているガイダンスに従って、Microsoft Entra Connect サーバーをコントロール プレーン (以前の階層 0) アセットとして強化することをお勧めします。
  • Microsoft Entra Connect サーバーへの管理アクセスを、ドメイン管理者またはその他の厳重に管理されたセキュリティ グループのみに制限します。
  • 特権アクセスがあるすべてのユーザーに対して専用アカウントを作成します。 管理者は、高い特権を持つアカウントを使用して Web を閲覧したり、メールをチェックしたり、日常業務を実行すべきではありません。
  • 特権アクセスの保護」に記載されているガイダンスに従ってください。
  • Microsoft Entra Connect サーバーでの NTLM 認証の使用を拒否します。 これを行うための方法はいくつかあります: Microsoft Entra Connect サーバー上での NTLM の制限ドメイン上での NTLM の制限
  • すべてのマシンに一意のローカル管理者パスワードが構成されていることを確認します。 詳細については、ローカル管理者パスワード ソリューション (Windows LAPS) に関する記事を参照してください。これを使用することで、ワークステーションおよびサーバーごとに一意のランダム パスワードを構成し、ACL によって保護された Active Directory に保存することができます。 資格のある許可されているユーザーのみが、これらのローカル管理者アカウントのパスワードの読み取りまたはリセットの要求を行うことができます。 Windows LAPS と 特権アクセス ワークステーション (PAW) を使用して環境を運用するための追加のガイダンスについては、「クリーン ソースの原則に基づく運用基準」を参照してください。
  • 組織の情報システムへの特権アクセスを持つすべての担当者に対して、専用の特権アクセス ワークステーションを実装します。
  • Active Directory 環境の攻撃面を減らすには、これらの追加のガイドラインに従います。
  • フェデレーション構成の変更の監視に関するページに従って、Idp と Microsoft Entra ID との間に確立されている信頼に対する変更を監視するためのアラートを設定します。
  • Microsoft Entra ID または AD で特権アクセスが付与されているすべてのユーザーに対して多要素認証 (MFA) を有効にします。 Microsoft Entra Connect の使用に関するセキュリティの問題の 1 つは、攻撃者が Microsoft Entra Connect サーバーを制御できると、Microsoft Entra ID でユーザーを操作できることです。 攻撃者がこれらの機能を使用して Microsoft Entra アカウントを乗っ取ることを防止するために、MFA は、攻撃者が Microsoft Entra Connect を使用してユーザーのパスワードのリセットなどに成功しても、2 番めの要素を回避できないようにする保護機能を提供します。
  • テナントでソフト マッチングを無効にします。 ソフト マッチは、既存のクラウド マネージド オブジェクトの権限のソースを Microsoft Entra Connect に転送するのに役立つ優れた機能ですが、一定のセキュリティ リスクが伴います。 不要な場合、ソフト マッチングを無効にする必要があります。
  • ハード マッチの引き継ぎを無効にします。 ハード マッチの引き継ぎは、Microsoft Entra Connect がクラウド マネージド オブジェクトを制御し、オブジェクトの権限のソースを Active Directory に変更できるようにします。 Microsoft Entra Connect によってオブジェクトの権限のソースが引き継がれると、Microsoft Entra オブジェクトにリンクされている Active Directory オブジェクトに加えられた変更が、元の Microsoft Entra データ (パスワード ハッシュ同期が有効になっている場合、パスワード ハッシュを含む) を上書きします。 攻撃者はこの機能を使用して、クラウド マネージド オブジェクトの制御を奪う可能性があります。 このリスクを軽減するには、ハード マッチの引き継ぎを無効にします

Microsoft Entra Connect で使用される SQL Server

  • Microsoft Entra Connect には、ID データを格納するための SQL Server データベースが必要です。 既定では、SQL Server 2019 Express LocalDB (SQL Server Express の簡易バージョン) がインストールされます。 SQL Server Express のサイズ制限は 10 GB で、約 100,000 オブジェクトを管理できます。 さらに多くのディレクトリ オブジェクトを管理する必要がある場合は、インストール ウィザードで別の SQL Server インストール済み環境を指定します。 SQL Server のインストールの種類が、Microsoft Entra Connect のパフォーマンスに影響する可能性があります。
  • SQL Server の別のインストールを使用する場合は、次の要件が適用されます。
    • Microsoft Entra Connect は、Windows 上で実行される SQL Server 2022 まで、すべてのメインストリーム サポート SQL Server バージョンをサポートします。 SQL Server ライフサイクル記事を参照し、お使いの SQL Server バージョンのサポート状態を検証してください。 SQL Server 2012 はサポートされなくなりました。 Azure SQL Database は、データベースとしてはサポートされていません。 これには、Azure SQL Database と Azure SQL Managed Instance の両方が含まれます。
    • 大文字と小文字が区別されない SQL 照合順序を使用する必要があります。 これらの照合順序は、名前に含まれる _CI_ で識別します。 大文字と小文字が区別される照合順序 (名前に含まれる _CS_ で識別) はサポートされていません
    • 1 つの SQL インスタンスにつき保持できる同期エンジンは 1 つだけです。 MIM Sync、DirSync、または Azure AD Sync との SQL インスタンスの共有はサポートされていません

Accounts

  • 統合対象の Microsoft Entra テナントに対する Microsoft Entra 全体管理者アカウントまたはハイブリッド ID の管理者アカウントが必要です。 このアカウントは学校または組織のアカウントである必要があり、Microsoft アカウントを使用することはできません。
  • 簡単設定を使用するか、DirSync からアップグレードする場合は、オンプレミスの Active Directory のエンタープライズ管理者アカウントが必要です。
  • カスタム設定のインストール パスを使用する場合、さらにオプションがあります。 詳細については、「カスタム インストールの設定」を参照してください。

接続

  • Microsoft Entra Connect サーバーには、イントラネットとインターネットの両方の DNS 解決が必要です。 DNS サーバーは、オンプレミス Active Directory と Microsoft Entra エンドポイントの両方について、名前を解決できる必要があります。

  • Microsoft Entra Connect には、構成されているすべてのドメインへのネットワーク接続が必要です

  • Microsoft Entra Connect には、構成されているすべてのフォレストのルート ドメインへのネットワーク接続が必要です

  • イントラネット環境にファイアウォールがあり、Microsoft Entra Connect サーバーとドメイン コントローラーとの間にポートを開く必要がある場合の詳細については、Microsoft Entra Connect のポートに関する記事を参照してください。

  • プロキシまたはファイアウォールによってアクセスできる URL が制限されている場合は、「Office 365 URL および IP アドレス範囲」に記載されている URL を開く必要があります。 ファイアウォールまたはプロキシ サーバーの許可リストに Microsoft Entra 管理センターの URL を登録する方法に関する記事も参照してください。

  • Microsoft Entra Connect (バージョン 1.1.614.0 以降) は、同期エンジンと Microsoft Entra ID との間の通信の暗号化に既定で TLS 1.2 を使用します。 基盤となるオペレーティング システムで TLS 1.2 が使用できない場合、Microsoft Entra Connect は、前のプロトコル (TLS 1.1 と TLS 1.0) に段階的にフォールバックします。 Microsoft Entra Connect バージョン 2.0 以降。 TLS 1.0 と 1.1 はサポートされなくなっており、TLS 1.2 が有効になっていないと、インストールは失敗します。

  • バージョン 1.1.614.0 より前の Microsoft Entra Connect は同期エンジンと Microsoft Entra ID との間の通信の暗号化に既定で TLS 1.0 を使用します。 TLS 1.2 に変更するには、「Microsoft Entra Connect 用に TLS 1.2 を有効にする」の手順に従ってください。

  • 送信プロキシを使用してインターネットに接続する場合は、C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config ファイルに次の設定を追加して、インストール ウィザードと Microsoft Entra Connect 同期がインターネットと Microsoft Entra ID に接続できるようにする必要があります。 このテキストは、ファイルの末尾に入力する必要があります。 このコードの <PROXYADDRESS> は実際のプロキシ IP アドレスまたはホスト名を表します。

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • プロキシ サーバーで認証が必要な場合、サービス アカウントはドメイン内にある必要があります。 カスタマイズした設定のインストール パスを使用して、カスタム サービス アカウントを指定します。 machine.config に別の変更も必要です。この machine.config の変更によって、インストール ウィザードと同期エンジンは、プロキシ サーバーからの認証要求に応答します。 [構成] ページを除くインストール ウィザードのすべてのページで、サインインしたユーザーの資格情報が使用されます。 インストール ウィザードの最後にある [構成] ページで、コンテキストが、自分で作成したサービス アカウントに切り替わります。 machine.config のセクションは、次のようになっているはずです。

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • プロキシ構成を既存のセットアップ内で行う場合は、Microsoft Entra ID Sync サービスを 1 回再起動して、Microsoft Entra Connect がプロキシ設定を読み込んで動作を更新するようにする必要があります。

  • Microsoft Entra Connect がディレクトリ同期の一環として Microsoft Entra ID に Web 要求を送信すると、Microsoft Entra ID が応答するまでに最大 5 分かかる場合があります。 一般的に、プロキシ サーバーには接続アイドル タイムアウトの構成を適用します。 この構成は最低でも 6 分以上に設定します。

詳細については、既定のプロキシ要素に関する MSDN を参照してください。 接続に問題が発生した場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。

その他

省略可能:テスト ユーザー アカウントを使用して同期を検証します。

コンポーネントの前提条件

PowerShell と .NET Framework

Microsoft Entra Connect は、Microsoft PowerShell 5.0 と .NET Framework 4.5.1 に依存しています。 これ以降のバージョンがサーバーにインストールされている必要があります。

Microsoft Entra Connect に対して TLS 1.2 を有効にする

バージョン 1.1.614.0 より前の Microsoft Entra Connect は同期エンジン サーバーと Microsoft Entra ID との間の通信の暗号化に既定で TLS 1.0 を使用します。 サーバーで TLS 1.2 を既定で使用するように .NET アプリケーションを構成できます。 TLS 1.2 について詳しくは、Microsoft セキュリティ アドバイザリ 2960358 に関するページを参照してください。

  1. オペレーティング システムに .NET 4.5.1 修正プログラムがインストールされていることを確認します。 詳しくは、Microsoft セキュリティ アドバイザリ 2960358 に関する記事を参照してください。 既にこの修正プログラムやこれ以降のリリースをサーバーにインストールしている可能性があります。

  2. すべてのオペレーティング システムに対して、次のレジストリ キーを設定してサーバーを再起動します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. 同期エンジン サーバーとリモート SQL Server の間でも TLS 1.2 を有効にする場合は、Microsoft SQL Server 用の TLS 1.2 のサポートに必要なバージョンがインストールされていることを確認してください。

同期サーバーでの DCOM の前提条件

同期サービスのインストール中に、Microsoft Entra Connect が次のレジストリ キーの存在を確認します。

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

このレジストリ キーの下で、Microsoft Entra Connect が、次の値が存在していて、破損していないことを確認します。

フェデレーションのインストールと構成の前提条件

Windows リモート管理

Microsoft Entra Connect を使用して AD FS または Web アプリケーション プロキシ (WAP) をデプロイするときは、次の要件を確認してください。

  • ターゲット サーバーがドメインに参加している場合は、Windows リモート管理が有効であることを確認します。
    • 管理者特権の PowerShell コマンド ウィンドウで、コマンド Enable-PSRemoting –force を使用します。
  • ターゲット サーバーが、ドメインに参加していない WAP マシンである場合は、次のいくつかの追加の要件があります。
    • ターゲット コンピューター (WAP コンピューター) での要件
      • Windows Remote Management/WS-Management (WinRM) サービスが、サービス スナップインから実行されていることを確認します。
      • 管理者特権の PowerShell コマンド ウィンドウで、コマンド Enable-PSRemoting –force を使用します。
    • ウィザードが実行されているマシン (ターゲット マシンがドメインに参加していないか、信頼されていないドメインである場合) の場合:
      • 管理者特権の PowerShell コマンド ウィンドウで、コマンド Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate を使用します。
      • サーバー マネージャーで、以下を行います。
        • DMZ WAP ホストをコンピューター プールに追加します。 サーバー マネージャーで、 [管理]>[サーバーの追加] を選択し、 [DNS] タブを使用します。
        • サーバー マネージャーの [すべてのサーバー] タブで、WAP サーバーを右クリックし、 [Manage As](管理に使用する資格情報) を選択します。 WAP マシンのローカル (ドメインではない) 資格情報を入力します。
        • リモートの PowerShell 接続を検証するには、サーバー マネージャーの [すべてのサーバー] タブで WAP サーバーを右クリックし、 [Windows PowerShell] を選択します。 リモート PowerShell セッションが開き、リモート PowerShell セッションを確立できるようになります。

TLS/SSL 証明書の要件

  • AD FS ファームのすべてのノードとすべての Web アプリケーション プロキシ サーバーで同じ TLS/SSL 証明書を使用することをお勧めします。
  • この証明書は x509 証明書である必要があります。
  • テスト ラボ環境では、フェデレーション サーバーで自己署名証明書を使用できます。 運用環境では、公的証明機関から証明書を取得することを勧めします。
    • 公的に信頼されていない証明書を使用する場合は、各 Web アプリケーション プロキシ サーバーにインストールされている証明書がローカル サーバーとすべてのフェデレーション サーバーで信頼されていることを確認します。
  • 証明書の ID は、フェデレーション サービス名 (sts.contoso.com など) と一致する必要があります。
    • この ID は、dNSName タイプのサブジェクト代替名 (SAN) 拡張、または SAN エントリがない場合は共通名として指定されたサブジェクト名のどちらかになります。
    • 複数の SAN エントリを証明書に表示できますが、そのうちの 1 つはフェデレーション サービス名に一致させます。
    • Workplace Join を使用する場合は、値 enterpriseregistration. の後に組織のユーザー プリンシパル名 (UPN) サフィックスが続く追加の SAN が必要です (例: enterpriseregistration.contoso.com)。
  • CryptoAPI Next Generation (CNG) キーとキー記憶域プロバイダー (KSP) に基づく証明書はサポートされません。 そのため、ユーザーは KSP ではなく、暗号化サービス プロバイダー (CSP) に基づく証明書を使用する必要があります。
  • ワイルドカード証明書がサポートされます。

フェデレーション サーバーの名前解決

  • イントラネット (内部 DNS サーバー) とエクストラネット (ドメイン レジストラー経由のパブリック DNS) の両方の AD FS 名 (sts.contoso.com など) の DNS レコードを設定します。 イントラネットの DNS レコードの場合は、A レコードを使用し、CNAME レコードは使用しないようにします。 A レコードの使用は、Windows 認証をドメインに参加しているマシンから正常に動作するために必要となります。
  • 複数の AD FS サーバーまたは Web アプリケーション プロキシ サーバーを展開する場合は、必ずロード バランサーを構成し、AD FS 名 (sts.contoso.com など) の DNS レコードでロード バランサーを指定してください。
  • イントラネットで Internet Explorer を使用するブラウザー アプリケーションに対して動作する Windows 統合認証の場合は、必ず AD FS 名 (sts.contoso.com など) を、Internet Explorer のイントラネット ゾーンに追加してください。 この要件は、グループ ポリシーを使用して制御し、ドメインに参加しているすべてのマシンにデプロイすることができます。

Microsoft Entra Connect のサポート コンポーネント

Microsoft Entra Connect は、Microsoft Entra Connect がインストールされるサーバーに次のコンポーネントをインストールします。 この一覧は、基本的な高速インストール用です。 [同期サービスのインストール] ページで異なる SQL Server を使用することを選択した場合、SQL Express LocalDB はローカルにインストールされません。

  • Microsoft Entra Connect Health
  • Microsoft SQL Server 2022 Command Line Utilities
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 Native Client
  • Microsoft Visual C++ 14 再配布パッケージ

Microsoft Entra Connect のハードウェア要件

Microsoft Entra Connect Sync コンピューターの最小要件を次の表に示します。

Active Directory 内のオブジェクトの数 CPU メモリ ハード ドライブのサイズ
10,000 未満 1.6 GHz 6 GB 70 GB
10,000 ~ 50,000 1.6 GHz 6 GB 70 GB
50,000 ~ 100,000 1.6 GHz 16 GB 100 GB
オブジェクトが 100,000 個以上の場合は完全バージョンの SQL Server が必要。 パフォーマンス上の理由から、ローカルでのインストールを推奨。 次の値は Microsoft Entra Connect インストールでのみ有効です。 SQL Server が同じサーバーにインストールされる場合、追加のメモリ、ドライブ、CPU が必要になります。
100,000 ~ 300,000 1.6 GHz 32 GB 300 GB
300,000 ~ 600,000 1.6 GHz 32 GB 450 GB
600,000 を超過 1.6 GHz 32 GB 500 GB

AD FS または Web アプリケーション プロキシ サーバーを実行するマシンの最小要件を次に示します。

  • CPU: デュアル コア 1.6 GHz 以上
  • メモリ:2 GB 以上
  • Azure VM:A2 構成またはそれ以上

次のステップ

オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。