Azure AD Connect と Azure AD Connect Health のインストール ロードマップ
Azure AD Connect のインストール
重要
公式に文書化されているアクションを除き、Microsoft は Azure AD Connect Sync の変更や操作をサポートしません。 サポートされていないアクションを行うと、Azure AD Connect Sync が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。
Azure AD Connect は Microsoft ダウンロード センターからダウンロードできます。
| 解決策 | シナリオ |
|---|---|
| 開始する前に - ハードウェアと前提条件 | |
| 簡単設定 | |
| カスタマイズした設定 | |
| DirSync からのアップグレード | |
| Azure AD Sync または Azure AD Connect からのアップグレード |
インストール後に 想定どおりに動作していることをことを確認し、ユーザーにライセンスを割り当てる必要があります。
Azure AD Connect のインストールの次のステップ
| トピック | Link |
|---|---|
| Azure AD Connect のダウンロード | Azure AD Connect のダウンロード |
| Express 設定を使用したインストール | Azure AD Connect の高速インストール |
| カスタマイズした設定を使用したインストール | Azure AD Connect のカスタム インストール |
| DirSync からのアップグレード | Azure AD 同期ツール (DirSync) からのアップグレード |
| インストール後に | インストールの確認とライセンスの割り当て |
Azure AD Connect のインストールの詳細
運用 上の問題への備えも必要になることがあります。 障害が発生したときにフェールオーバーできるように、スタンバイ サーバーを用意するという方法もあります。 頻繁に構成を変更する予定がある場合は、 ステージング モード サーバーについて計画してください。
| トピック | Link |
|---|---|
| サポートされているトポロジ | Azure AD Connect のトポロジ |
| 設計概念 | Azure AD Connect の設計概念 |
| インストールで使用するアカウント | Azure AD Connect の資格情報とアクセス許可の詳細 |
| 運用計画 | Azure AD Connect 同期:操作タスクおよび考慮事項 |
| ユーザーのサインイン オプション | Azure AD Connect ユーザーのサインイン オプション |
同期機能を構成する
Azure AD Connect には、必要に応じて有効にすることができる機能や、既定で有効になっている機能があります。 ただし一部の機能は、特定のシナリオやトポロジを実現するために、特別な構成が必要となります。
フィルター処理 は、Azure AD に同期するオブジェクトを制限する場合に使用します。 既定では、すべてのユーザー、連絡先、グループ、Windows 10 コンピューターが同期の対象となります。 フィルター処理は、ドメインや OU、属性に基づいて変更することができます。
パスワード ハッシュ同期は、Active Directory のパスワード ハッシュを Azure AD と同期させる機能です。 エンド ユーザーがオンプレミスとクラウドで同じパスワードを使用でき、しかもそれを 1 か所で管理することができます。 オンプレミスの Active Directory が認証機関として使用されているため、独自のパスワード ポリシーを使用することもできます。
パスワード ライトバック により、ユーザーはクラウドでパスワードを変更およびリセットし、オンプレミスのパスワード ポリシーを適用できます。
デバイスの書き戻しにより、Azure AD に登録されているデバイスをオンプレミスの Active Directory にライトバックできます。これにより、そのデバイスを条件付きアクセスに使用できるようになります。
誤って削除されないように保護する 機能は既定で有効になっており、多数のクラウド ディレクトリが同時に削除されるのを防ぐことができます。 1 回の実行で削除できるディレクトリは、既定では 500 個です。 この設定は、組織の規模に応じて変更できます。
自動アップグレード は、簡単設定を使用したインストールでは既定で有効になっており、Azure AD Connect が最新のリリースで常に最新の状態になるようにします。
同期機能を構成する次のステップ
| トピック | Link |
|---|---|
| フィルター処理の構成 | Azure AD Connect 同期:フィルター処理の構成 |
| パスワード ハッシュの同期 | パスワード ハッシュの同期 |
| パススルー認証 | パススルー認証 |
| パスワードの書き戻し | パスワード管理の概要 |
| デバイスの書き戻し | Azure AD Connect でのデバイスの書き戻しの有効化 |
| 誤って削除されないように保護する | Azure AD Connect 同期:誤って削除されないように保護する |
| 自動アップグレード | Azure AD Connect:自動アップグレード |
Azure AD Connect Sync のカスタマイズ
Azure AD Connect Sync には、ほとんどのお客様とトポロジに対応した既定の構成が設定されています。 とはいえ、既定の構成ではうまくいかず、調整が必要な場面も必ず存在します。 このセクションとリンク先のトピックにまとめられているように、構成は変更できます。
これまでに同期トポロジを扱った経験がない場合は、 技術的概念で説明されている基本情報と用語を確認してください。 Azure AD Connect は、MIIS2003、ILM2007、FIM2010 が進化したものです。 同じ要素もあるものの、多数の変更が加えられています。
この 既定の構成 は、複数のフォレストが存在する可能性があることを前提としています。 これらのトポロジでは、ユーザー オブジェクトが別のフォレスト内の連絡先として表されることがあります。 ユーザーは、別のリソース フォレストにリンクされたメールボックスを持っている場合もあります。 既定の構成の動作については、 ユーザーと連絡先に関するページを参照してください。
同期の構成モデルは、 宣言型のプロビジョニングと呼ばれています。 高度な属性のフローでは、 関数 を使って属性の変換を表現します。 Azure AD Connect に付属するツールを使って、構成全体を確認、検証できます。 構成を変更する必要がある場合は、新しいリリースを採用しやすいように、 ベスト プラクティス に従ってください。
Azure AD Connect Sync のカスタマイズの次のステップ
| トピック | Link |
|---|---|
| Azure AD Connect Sync に関するすべての記事 | Azure AD Connect Sync |
| 技術的概念 | Azure AD Connect 同期:技術的概念 |
| 既定の構成について | Azure AD Connect 同期:既定の構成について |
| ユーザーと連絡先について | Azure AD Connect 同期:ユーザーと連絡先について |
| 宣言型のプロビジョニング | Azure AD Connect 同期: 宣言型のプロビジョニングの式について |
| 既定の構成の変更 | 既定の構成の変更するためのベスト プラクティス |
フェデレーション機能を構成する
Azure AD Connect には、Azure AD との認証連携を AD FS の使用とフェデレーション信頼の管理を通じて省力化するさまざまな機能が備わっています。 Azure AD Connect では、Windows Server 2012R2 以降の AD FS がサポートされます。
フェデレーション信頼の管理に Azure AD Connect を使用していない場合でも、AD FS ファームの TLS/SSL 証明書を更新することができます。
ファームに AD FS サーバーを追加することで必要に応じてファームを拡張できます。
たった数回のクリック操作で Azure AD との信頼を修復できます。
ADFS は 複数のドメインをサポートするように構成できます。 たとえば、フェデレーションに利用する複数の上位ドメインが必要になることがあります。
Azure AD から証明書を自動更新するように ADFS サーバーを更新していない場合、または非 ADFS ソリューションを使用している場合、証明書の更新が必要になったときに通知されます。
フェデレーション機能を構成する次のステップ
| トピック | Link |
|---|---|
| AD FS に関するすべての記事 | Azure AD Connect とフェデレーション |
| サブドメインで ADFS を構成する | Azure AD とのフェデレーションに使用する複数ドメインのサポート |
| AD FS ファームを管理する | Azure AD Connect を使用した AD FS の管理とカスタマイズ |
| フェデレーション証明書を手動で更新する | Microsoft 365 および Azure AD 用のフェデレーション証明書の更新 |
Azure AD Connect Health の使用開始
Azure AD Connect Health の使用を開始するには、次の手順に従います。
- Azure AD Premium を入手するか、試用版の利用を開始します。
- Azure AD Connect Health エージェントをダウンロードし、ID サーバーにインストールします。
- https://aka.ms/aadconnecthealth で Azure AD Connect Health ダッシュボードを表示します。
注意
Azure AD Connect Health ダッシュボードでデータを表示するためには、あらかじめ対象サーバーに Azure AD Connect Health エージェントをインストールしておく必要があります。
Azure AD Connect Health エージェントのダウンロードとインストール
- Azure AD Connect Health の要件を必ず満たしてください。
- Azure AD Connect Health for AD FS の使用を開始します
- Azure AD Connect Health for sync の使用を開始します
- 最新バージョンの Azure AD Connect をダウンロードしてインストールします。 同期用の Health エージェントは、Azure AD Connect のインストールの一環としてインストールされます (バージョン 1.0.9125.0 以上)。
- Azure AD Connect Health for AD DS の使用を開始します
Azure AD Connect Health ポータル
Azure AD Connect Health ポータルでは、アラート、パフォーマンスの監視、使用状況の分析に関するビューが表示されます。 https://aka.ms/aadconnecthealth URL で Azure AD Connect Health のメイン ブレードに移動することができます。 ブレードは、ウィンドウと考えることができます。 メイン ブレードでは、 [クイック スタート] 、Azure AD Connect Health で提供されるサービス、その他の構成オプションが表示されます。 次のスクリーンショットとそれに続く簡単な説明をご覧ください。 エージェントのデプロイ後、Azure AD Connect Health で監視されているサービスが、Health サービスによって自動的に識別されます。
注意
ライセンスの情報については、Azure AD Connect Health の FAQ または Azure AD の価格に関するページを参照してください。
[クイック スタート] :このオプションを選択すると、 [クイック スタート] ブレードが開きます。 [ツールの入手] を選択することで、Azure AD Connect Health エージェントをダウンロードできます。 ドキュメントの利用とフィードバックの提供もできます。
[Azure Active Directory Connect (Sync)] : このオプションを選択すると、Azure AD Connect Health が現在監視している Azure AD Connect サーバーが表示されます。 [同期エラー] エントリは、カテゴリごとに、最初のオンボード同期サービスの基本的な同期エラーを示します。 [同期サービス] エントリを選択すると、ブレードが開いて Azure AD Connect サーバーに関する情報が表示されます。 Azure AD Connect Health for Sync の使用に関するページで各種機能を参照してください。
[Active Directory フェデレーション サービス] : このオプションを選択すると、Azure AD Connect Health が現在監視しているすべての AD FS サービスが表示されます。 インスタンスを選択すると、ブレードが開いてそのサービス インスタンスに関する情報が表示されます。 この情報には、概要、プロパティ、アラート、監視、使用状況の分析などが含まれます。 AD FS での Azure AD Connect Health の使用に関するページで各種機能を参照してください。
Active Directory Domain Services: このオプションを選択すると、Azure AD Connect Health が現在監視しているすべての AD DS フォレストが表示されます。 フォレストを選択すると、ブレードが開いてそのフォレストに関する情報が表示されます。 この情報には、重要度のきわめて高い情報、ドメイン コントローラーのダッシュボード、レプリケーションの状態のダッシュボード、アラート、監視の概要が含まれます。 「AD DS での Azure AD Connect Health の使用」で各種機能を参照してください。
構成する:このセクションには、次の機能をオンまたはオフに切り替えるオプションがあります。
- Azure AD Connect Health エージェントの最新バージョンへの自動更新: 新しいバージョンが利用可能になるたびに、Azure AD Connect Health エージェントが自動的に更新されます。 このオプションは、既定で有効です。
- トラブルシューティングの目的限定での Microsoft による Azure AD ディレクトリ整合性からのデータへのアクセス: このオプションが有効になっている場合、Microsoft は、ユーザーが表示したデータと同じものにアクセスできます。 この情報は、トラブルシューティングや、必要なサポートの提供に役立ちます。 このオプションは、既定で無効です。
[ロール ベースのアクセス制御 (IAM)] は、ロール ベースの Connect Health データへのアクセスを管理するためのセクションです。