Azure AD Connect の前提条件

  • [アーティクル]

この記事では、Azure Active Directory (Azure AD) Connect を使用するための前提条件とハードウェア要件について説明します。

Azure AD Connect をインストールする前に

Azure AD Connect をインストールする前に、いくつか必要な項目があります。

Azure AD

  • Azure AD テナントが必要です。 Azure 無料試用版に 1 つ付属します。 次のポータルのいずれかを使用して、Azure AD Connect を管理できます。
  • ドメインを追加して検証 します。 たとえば、ユーザー向けに contoso.com を使用する予定の場合は、そのドメインが検証されていることと、使用しているドメインが既定のドメインである contoso.onmicrosoft.com だけではないことを確認します。
  • Azure AD テナントでは、既定で 50,000 個のオブジェクトを使用できます。 ドメインを検証すると、このオブジェクトの制限が 300,000 個に増加します。 Azure AD でさらに多くのオブジェクトが必要な場合は、制限をさらに増加させるためにサポート ケースを開きます。 500,000 個を超えるオブジェクトが必要な場合は、Microsoft 365、Azure AD Premium、または Enterprise Mobility + Security などのライセンスが必要です。

オンプレミスのデータの準備

オンプレミスの Active Directory

  • Active Directory スキーマのバージョンとフォレストの機能レベルは、Windows Server 2003 以降である必要があります。 ドメイン コントローラーは、スキーマのバージョンとフォレストレベルの要件が満たされていれば、任意のバージョンを実行できます。 Windows Server 2016 以前を実行しているドメイン コントローラーのサポートが必要な場合は、有料サポート プログラムが必要になる場合があります。
  • Azure AD で使用されるドメイン コントローラーは、書き込み可能である必要があります。 読み取り専用ドメイン コントローラー (RODC) の使用はサポートされておらず、Azure AD Connect は書き込みリダイレクトに従いません。
  • "ドット形式" (名前にピリオド "." が含まれる) を使用した NetBIOS 名を使用するオンプレミスのフォレストまたはドメインは使用できません
  • Active Directory のごみ箱を有効にすることをお勧めします。

PowerShell 実行ポリシー

Azure Active Directory Connect では、インストールの一部として署名付きの PowerShell スクリプトが実行されます。 PowerShell 実行ポリシーでスクリプトの実行が許可されていることを確認します。

インストール中に推奨される実行ポリシーは "RemoteSigned" です。

PowerShell 実行ポリシーの設定の詳細については、「Set-ExecutionPolicy」を参照してください。

Azure AD Connect サーバー

Azure AD Connect サーバーには、重要な ID データが含まれています。 このサーバーへの管理アクセスが適切にセキュリティで保護されていることが重要です。 「特権アクセスの保護」のガイドラインに従ってください。

Azure AD Connect サーバーは、「Active Directory 管理階層モデル」の説明に従い、階層 0 のコンポーネントとして取り扱う必要があります。 セキュリティで保護された特権アクセスに関するガイダンスに従って、Azure AD Connect サーバーをコントロール プレーン アセットとして強化することをお勧めします

Active Directory 環境のセキュリティ保護の詳細については、Active Directory を保護するためのベスト プラクティスに関する記事を参照してください。

設置の前提条件

  • Azure AD Connect は、ドメインに参加している Windows Server 2016 以降にインストールする必要があります。 Azure AD Connect は Windows Server 2016 にデプロイできますが、Windows Server 2016 は延長サポートされているため、この構成のサポートが必要な場合は有料サポート プログラムが必要になる場合があります。 ドメイン参加済みの Windows Server 2022 を使用することをお勧めします。
  • 必要な .NET Framework の最小バージョンは 4.6.2 であり、それより新しい .NET のバージョンもサポートされています。
  • Small Business Server または 2019 より前の Windows Server Essentials には、Azure AD Connect をインストールできません (Windows Server Essentials 2019 はサポートされます)。 サーバーは Windows Server Standard 以上を使用する必要があります。
  • Azure AD Connect サーバーには、完全な GUI がインストールされている必要があります。 Windows Server Core への Azure AD Connect のインストールはサポートされていません。
  • Azure AD Connect ウィザードを使用して Active Directory フェデレーション サービス (AD FS) 構成を管理する場合、Azure AD Connect サーバーで PowerShell トランスクリプション グループ ポリシーを有効にすることはできません。 Azure AD Connect ウィザードを使用して同期構成を管理する場合は、PowerShell トランスクリプションを有効にすることができます。
  • AD FS が展開されている場合:
    • AD FS または Web アプリケーション プロキシがインストールされるサーバーは、Windows Server 2012 R2 以降である必要があります。 リモート インストールを行うには、これらのサーバーで Windows リモート管理を有効にする必要があります。 Windows Server 2016 以前のサポートが必要な場合は、有料サポート プログラムが必要になる場合があります。
    • TLS/SSL 証明書を構成する必要があります。 詳細については、AD FS の SSL/TLS プロトコルおよび暗号スイートの管理および AD FS での SSL 証明書の管理に関する記事を参照してください。
    • 名前解決を構成する必要があります。
  • Azure AD Connect と Azure AD の間のトラフィックを解読して分析することはサポートされていません。 それを行うとサービスが中断される可能性があります。
  • ハイブリッド ID 管理者が MFA を有効にしている場合、URL https://secure.aadcdn.microsoftonline-p.com は信頼済みサイトの一覧になければなりません。 MFA チャレンジを求められたときに、この URL がまだ追加されていない場合は、信頼済みサイトの一覧に追加するように促されます。 信頼済みサイトへの追加には、Internet Explorer を使用できます。
  • 同期に Azure AD Connect Health を使用する予定の場合は、Azure AD Connect Health の前提条件も満たされていることを確認してください。 詳細については、「Azure AD Connect Health エージェントのインストール」を参照してください。

Azure AD Connect サーバーを強化する

Azure AD Connect サーバーを強化して、お客様の IT 環境に含まれるこの重要なコンポーネントに対する、セキュリティの攻撃面を縮小することをお勧めします。 これらの推奨事項に従うことで、組織に対するセキュリティ上のリスクを軽減することができます。

  • セキュリティで保護された特権アクセスActive Directory 管理層モデルで提供されているガイダンスに従って、Azure AD Connect サーバーをコントロール プレーン (以前の階層 0) アセットとして強化することをお勧めします。
  • Azure AD Connect サーバーへの管理アクセスを、ドメイン管理者またはその他の厳重に管理されたセキュリティ グループのみに制限します。
  • 特権アクセスがあるすべてのユーザーに対して専用アカウントを作成します。 管理者は、高い特権を持つアカウントを使用して Web を閲覧したり、メールをチェックしたり、日常業務を実行すべきではありません。
  • 特権アクセスの保護」に記載されているガイダンスに従ってください。
  • AADConnect サーバーでの NTLM 認証の使用を拒否します。 これを行うには、次の方法があります。AADConnect サーバーで NTLM を制限し、ドメインで NTLM を制限する
  • すべてのマシンに一意のローカル管理者パスワードが構成されていることを確認します。 詳細については、ローカル管理者パスワード ソリューション (LAPS) に関する記事を参照してください。これを使用することで、ワークステーションおよびサーバーごとに一意のランダム パスワードを構成し、ACL によって保護された Active Directory に保存することができます。 資格のある許可されているユーザーのみが、これらのローカル管理者アカウントのパスワードの読み取りまたはリセットの要求を行うことができます。 Microsoft ダウンロード センターから、ワークステーションとサーバーで使用する LAPS を取得できます。 LAPS と 特権アクセス ワークステーション (PAW) を使用して環境を運用するための追加のガイダンスについては、「クリーン ソースの原則に基づく運用基準」を参照してください。
  • 組織の情報システムへの特権アクセスを持つすべての担当者に対して、専用の特権アクセス ワークステーションを実装します。
  • Active Directory 環境の攻撃面を減らすには、これらの追加のガイドラインに従います。
  • フェデレーション構成の変更の監視に関するページに従って、Idp と Azure AD の間で確立された信頼に対する変更を監視するためのアラートを設定します。
  • Azure AD または AD で特権アクセスが付与されているすべてのユーザーに対して多要素認証 (MFA) を有効にします。 Azure AD Connect を使用したときのセキュリティ上の問題の 1 つに、攻撃者が Azure AD Connect サーバーを制御できる場合、Azure AD 内のユーザーも操作できてしまうという点があります。 攻撃者がこれらの機能を使用して Azure AD アカウントを乗っ取ることができないようにするために、MFA では、攻撃者が Azure AD Connect を使用してユーザーのパスワードのリセットなどができる場合でも、2 番目の要素を回避できないように保護します。
  • テナントでソフト マッチングを無効にします。 ソフト マッチングは、既存のクラウド マネージド オブジェクトの権限のソースを Azure AD Connect に転送するのに役立つ優れた機能ですが、一定のセキュリティ リスクが伴います。 不要な場合、ソフト マッチングを無効にする必要があります。
  • ハード マッチの引き継ぎを無効にします。 ハード マッチの引き継ぎにより、Azure AD Connect はクラウド マネージド オブジェクトを制御し、オブジェクトの権限のソースを Active Directory に変更できます。 Azure AD Connect によってオブジェクトの権限のソースが引き継がれると、Azure AD オブジェクトにリンクされている Active Directory オブジェクトに加えられた変更により、元の Azure AD データが上書きされます (パスワード ハッシュ同期が有効になっている場合、パスワード ハッシュを含む)。 攻撃者はこの機能を使用して、クラウド マネージド オブジェクトの制御を奪う可能性があります。 このリスクを軽減するには、ハード マッチの引き継ぎを無効にします

Azure AD Connect で使用される SQL Server

  • Azure AD Connect には、ID データを格納する SQL Server データベースが必要です。 既定では、SQL Server 2019 Express LocalDB (SQL Server Express の簡易バージョン) がインストールされます。 SQL Server Express のサイズ制限は 10 GB で、約 100,000 オブジェクトを管理できます。 さらに多くのディレクトリ オブジェクトを管理する必要がある場合は、インストール ウィザードで別の SQL Server インストール済み環境を指定します。 SQL Server のインストールの種類により、Azure AD Connect のパフォーマンスに影響することがあります。
  • SQL Server の別のインストールを使用する場合は、次の要件が適用されます。
    • Azure AD Connect では、SQL Server 2019 まで、サポートされているすべてのメインストリーム SQL Server バージョンがサポートされます。 SQL Server ライフサイクル記事を参照し、お使いの SQL Server バージョンのサポート状態を検証してください。 SQL Server 2012 はサポートされなくなりました。 Azure SQL Database は、データベースとしてはサポートされていません。 これには、Azure SQL Database と Azure SQL Managed Instance の両方が含まれます。
    • 大文字と小文字が区別されない SQL 照合順序を使用する必要があります。 これらの照合順序は、名前に含まれる _CI_ で識別します。 大文字と小文字が区別される照合順序 (名前に含まれる _CS_ で識別) はサポートされていません
    • 1 つの SQL インスタンスにつき保持できる同期エンジンは 1 つだけです。 FIM/MIM Sync、DirSync、または Azure AD Sync との SQL インスタンスの共有はサポートされていません

アカウント

  • 統合する Azure AD テナントの Azure AD 全体管理者アカウントまたはハイブリッド ID 管理者のアカウントが必要です。 このアカウントは学校または組織のアカウントである必要があり、Microsoft アカウントを使用することはできません。
  • 簡単設定を使用するか、DirSync からアップグレードする場合は、オンプレミスの Active Directory のエンタープライズ管理者アカウントが必要です。
  • カスタム設定のインストール パスを使用する場合、さらにオプションがあります。 詳細については、「カスタム インストールの設定」を参照してください。

接続

  • Azure AD Connect サーバーには、イントラネット用とインターネット用の両方の DNS 解決が必要です。 DNS サーバーは、オンプレミス Active Directory と Azure AD エンドポイントの両方の名前を解決できる必要があります。

  • Azure AD Connect には、構成されているすべてのドメインへのネットワーク接続が必要です

  • Azure AD Connect には、構成されているすべてのフォレストのルート ドメインへのネットワーク接続が必要です

  • お使いのイントラネット環境でファイアウォールを使用していて、Azure AD Connect サーバーとドメイン コントローラーの間でポートを開く必要がある場合の詳細については、Azure AD Connect のポートに関する記事を参照してください。

  • プロキシまたはファイアウォールによってアクセスできる URL が制限されている場合は、「Office 365 URL および IP アドレス範囲」に記載されている URL を開く必要があります。 「ファイアウォールまたはプロキシ サーバーのセーフリストに Azure portal の URL を追加する」も参照してください。

  • Azure AD Connect (バージョン 1.1.614.0 以降) では、同期エンジンと Azure AD との間の通信の暗号化に既定で TLS 1.2 が使用されます。 基盤となるオペレーティング システムで TLS 1.2 が使用できない場合は、1 つ前のプロトコル (TLS 1.1 と TLS 1.0) に段階的にフォールバックされます。 Azure AD Connect バージョン 2.0 以降。 TLS 1.0 と 1.1 はサポートされなくなっており、TLS 1.2 が有効になっていないと、インストールは失敗します。

  • バージョン 1.1.614.0 未満の Azure AD Connect では、同期エンジンと Azure AD との間の通信の暗号化に既定で TLS 1.0 が使用されます。 TLS 1.2 に変更するには、「Azure AD Connect 用に TLS 1.2 を有効にする」の手順に従います。

  • 送信プロキシを使用してインターネットに接続する場合は、C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config ファイルに次の設定を追加して、インストール ウィザードと Azure AD Connect 同期がインターネットと Azure AD に接続できるようにする必要があります。 このテキストは、ファイルの末尾に入力する必要があります。 このコードの <PROXYADDRESS> は実際のプロキシ IP アドレスまたはホスト名を表します。

        <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • プロキシ サーバーで認証が必要な場合、サービス アカウントはドメイン内にある必要があります。 カスタマイズした設定のインストール パスを使用して、カスタム サービス アカウントを指定します。 machine.config に別の変更も必要です。この machine.config の変更によって、インストール ウィザードと同期エンジンは、プロキシ サーバーからの認証要求に応答します。 [構成] ページを除くインストール ウィザードのすべてのページで、サインインしたユーザーの資格情報が使用されます。 インストール ウィザードの最後にある [構成] ページで、コンテキストが、自分で作成したサービス アカウントに切り替わります。 machine.config のセクションは、次のようになっているはずです。

        <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • プロキシ構成が既存のセットアップで行われている場合、Azure AD Connect にプロキシ設定を読み込んで動作を更新するには Microsoft Azure AD Sync サービスを 1 回再起動する必要があります。

  • Azure AD Connect がディレクトリ同期の過程で Web 要求を Azure AD に送信するとき、Azure AD から応答が返されるまでに長くて 5 分程度かかる場合があります。 一般的に、プロキシ サーバーには接続アイドル タイムアウトの構成を適用します。 この構成は最低でも 6 分以上に設定します。

詳細については、既定のプロキシ要素に関する MSDN を参照してください。 接続に問題が発生した場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。

その他

省略可能:テスト ユーザー アカウントを使用して同期を検証します。

コンポーネントの前提条件

PowerShell と .NET Framework

Azure AD Connect は、Microsoft PowerShell 5.0 と .NET Framework 4.5.1 に依存しています。 これ以降のバージョンがサーバーにインストールされている必要があります。

Azure AD Connect 用に TLS 1.2 を有効にする

バージョン 1.1.614.0 未満の Azure AD Connect では、同期エンジン サーバーと Azure AD との間の通信の暗号化に既定で TLS 1.0 が使用されます。 サーバーで TLS 1.2 を既定で使用するように .NET アプリケーションを構成できます。 TLS 1.2 について詳しくは、Microsoft セキュリティ アドバイザリ 2960358 に関するページを参照してください。

  1. オペレーティング システムに .NET 4.5.1 修正プログラムがインストールされていることを確認します。 詳しくは、Microsoft セキュリティ アドバイザリ 2960358 に関する記事を参照してください。 既にこの修正プログラムやこれ以降のリリースをサーバーにインストールしている可能性があります。

  2. すべてのオペレーティング システムに対して、次のレジストリ キーを設定してサーバーを再起動します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001

  3. 同期エンジン サーバーとリモート SQL Server の間でも TLS 1.2 を有効にする場合は、Microsoft SQL Server 用の TLS 1.2 のサポートに必要なバージョンがインストールされていることを確認してください。

同期サーバーでの DCOM の前提条件

同期サービスのインストール中に、Azure AD Connect によって次のレジストリ キーが存在するかどうかが確認されます。

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

このレジストリ キーの下で、Azure AD Connect によって、次の値が存在し、破損していないかどうかが確認されます。

フェデレーションのインストールと構成の前提条件

Windows リモート管理

Azure AD Connect を使用して AD FS または Web アプリケーション プロキシ (WAP) を展開する場合は、次の要件を確認してください。

  • ターゲット サーバーがドメインに参加している場合は、Windows リモート管理が有効であることを確認します。
    • 管理者特権の PowerShell コマンド ウィンドウで、コマンド Enable-PSRemoting –force を使用します。
  • ターゲット サーバーが、ドメインに参加していない WAP マシンである場合は、次のいくつかの追加の要件があります。
    • ターゲット コンピューター (WAP コンピューター) での要件
      • Windows Remote Management/WS-Management (WinRM) サービスが、サービス スナップインから実行されていることを確認します。
      • 管理者特権の PowerShell コマンド ウィンドウで、コマンド Enable-PSRemoting –force を使用します。
    • ウィザードが実行されているマシン (ターゲット マシンがドメインに参加していないか、信頼されていないドメインである場合) の場合:
      • 管理者特権の PowerShell コマンド ウィンドウで、コマンド Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate を使用します。
      • サーバー マネージャーで、以下を行います。
        • DMZ WAP ホストをコンピューター プールに追加します。 サーバー マネージャーで、 [管理]>[サーバーの追加] を選択し、 [DNS] タブを使用します。
        • サーバー マネージャーの [すべてのサーバー] タブで、WAP サーバーを右クリックし、 [Manage As](管理に使用する資格情報) を選択します。 WAP マシンのローカル (ドメインではない) 資格情報を入力します。
        • リモートの PowerShell 接続を検証するには、サーバー マネージャーの [すべてのサーバー] タブで WAP サーバーを右クリックし、 [Windows PowerShell] を選択します。 リモート PowerShell セッションが開き、リモート PowerShell セッションを確立できるようになります。

TLS/SSL 証明書の要件

  • AD FS ファームのすべてのノードとすべての Web アプリケーション プロキシ サーバーで同じ TLS/SSL 証明書を使用することをお勧めします。
  • この証明書は x509 証明書である必要があります。
  • テスト ラボ環境では、フェデレーション サーバーで自己署名証明書を使用できます。 運用環境では、公的証明機関から証明書を取得することを勧めします。
    • 公的に信頼されていない証明書を使用する場合は、各 Web アプリケーション プロキシ サーバーにインストールされている証明書がローカル サーバーとすべてのフェデレーション サーバーで信頼されていることを確認します。
  • 証明書の ID は、フェデレーション サービス名 (sts.contoso.com など) と一致する必要があります。
    • この ID は、dNSName タイプのサブジェクト代替名 (SAN) 拡張、または SAN エントリがない場合は共通名として指定されたサブジェクト名のどちらかになります。
    • 複数の SAN エントリを証明書に表示できますが、そのうちの 1 つはフェデレーション サービス名に一致させます。
    • Workplace Join を使用する場合は、値 enterpriseregistration. の後に組織のユーザー プリンシパル名 (UPN) サフィックスが続く追加の SAN が必要です (例: enterpriseregistration.contoso.com)。
  • CryptoAPI Next Generation (CNG) キーとキー記憶域プロバイダー (KSP) に基づく証明書はサポートされません。 そのため、ユーザーは KSP ではなく、暗号化サービス プロバイダー (CSP) に基づく証明書を使用する必要があります。
  • ワイルドカード証明書がサポートされます。

フェデレーション サーバーの名前解決

  • イントラネット (内部 DNS サーバー) とエクストラネット (ドメイン レジストラー経由のパブリック DNS) の両方の AD FS 名 (sts.contoso.com など) の DNS レコードを設定します。 イントラネットの DNS レコードの場合は、A レコードを使用し、CNAME レコードは使用しないようにします。 A レコードの使用は、Windows 認証をドメインに参加しているマシンから正常に動作するために必要となります。
  • 複数の AD FS サーバーまたは Web アプリケーション プロキシ サーバーを展開する場合は、必ずロード バランサーを構成し、AD FS 名 (sts.contoso.com など) の DNS レコードでロード バランサーを指定してください。
  • イントラネットで Internet Explorer を使用するブラウザー アプリケーションに対して動作する Windows 統合認証の場合は、必ず AD FS 名 (sts.contoso.com など) を、Internet Explorer のイントラネット ゾーンに追加してください。 この要件は、グループ ポリシーを使用して制御し、ドメインに参加しているすべてのマシンにデプロイすることができます。

Azure AD Connect でサポートされるコンポーネント

Azure AD Connect により、Azure AD Connect がインストールされているサーバーに次のコンポーネントがインストールされます。 この一覧は、基本的な高速インストール用です。 [同期サービスのインストール] ページで異なる SQL Server を使用することを選択した場合、SQL Express LocalDB はローカルにインストールされません。

  • Azure AD Connect Health
  • Microsoft SQL Server 2019 Command Line Utilities
  • Microsoft SQL Server 2019 Express LocalDB
  • Microsoft SQL Server 2019 Native Client
  • Microsoft Visual C++ 14 再配布パッケージ

Azure AD Connect のハードウェア要件

次の表は、Azure AD Connect Sync マシンの最小要件を示しています。

Active Directory 内のオブジェクトの数 CPU メモリ ハード ドライブのサイズ
10,000 未満 1.6 GHz 6 GB 70 GB
10,000 ~ 50,000 1.6 GHz 6 GB 70 GB
50,000 ~ 100,000 1.6 GHz 16 GB 100 GB
オブジェクトが 100,000 個以上の場合は完全バージョンの SQL Server が必要。 パフォーマンス上の理由から、ローカルでのインストールを推奨。 次の値は Azure AD Connect インストールでのみ有効です。 SQL Server が同じサーバーにインストールされる場合、追加のメモリ、ドライブ、CPU が必要になります。
100,000 ~ 300,000 1.6 GHz 32 GB 300 GB
300,000 ~ 600,000 1.6 GHz 32 GB 450 GB
600,000 を超過 1.6 GHz 32 GB 500 GB

AD FS または Web アプリケーション プロキシ サーバーを実行するマシンの最小要件を次に示します。

  • CPU: デュアル コア 1.6 GHz 以上
  • メモリ:2 GB 以上
  • Azure VM:A2 構成またはそれ以上

次のステップ

オンプレミス ID と Azure Active Directory の統合」をご覧ください。