チュートリアル: Okta 同期プロビジョニングを Microsoft Entra Connect 同期に移行する
このチュートリアルでは、Okta から Microsoft Entra ID にユーザー プロビジョニングを移行し、ユーザー同期またはユニバーサル同期を Microsoft Entra Connect に移行するため方法について学習します。 この機能により、Microsoft Entra ID や Office 365 にプロビジョニングできます。
Note
同期プラットフォームを移行する場合、Microsoft Entra Connect をステージング モードから削除したり、Microsoft Entra クラウド プロビジョニング エージェントを有効にしたりする前に、お使いの環境に対してこの記事の手順を検証してください。
前提条件
Okta プロビジョニングから Microsoft Entra ID に切り替える場合は、2 つの選択肢があります。 Microsoft Entra Connect サーバーまたは Microsoft Entra クラウド プロビジョニングを使用します。
詳細情報: Microsoft Entra Connect とクラウド同期の比較。
Microsoft Entra クラウド プロビジョニングは、ユニバーサル同期やユーザー同期を使っている Okta のお客様にとって最もわかりやすい移行パスです。クラウド プロビジョニング エージェントは軽量です。 Okta ディレクトリ同期エージェントのように、ドメイン コントローラー上またはその近くに、それらをインストールできます。 これらを同じサーバーにはインストールしないでください。
ユーザーを同期するときに、お客様の組織で次のいずれかのテクノロジが必要な場合は、Microsoft Entra Connect サーバーを使います。
- デバイスの同期: Microsoft Entra ハイブリッド参加または Hello for Business
- パススルー認証
- 150,000 より多いオブジェクトのサポート
- 書き戻しのサポート
Microsoft Entra Connect を使用するには、ハイブリッド ID の管理者ロールでサインインする必要があります。
Note
Microsoft Entra Connect や Microsoft Entra クラウド プロビジョニングをインストールする場合は、すべての前提条件を考慮してください。 インストールを続行する前に、「Microsoft Entra Connect の前提条件」を参照してください。
Okta によって同期された ImmutableID 属性を確認する
ImmutableID 属性を使って、同期されたオブジェクトをオンプレミスの対応するオブジェクトに結び付けることができます。 オンプレミス オブジェクトの Active Directory objectGUID が Okta で受け取られると、それは Base-64 でエンコードされた文字列に変換されます。 既定では、その文字列が Microsoft Entra ID の ImmutableID フィールドにスタンプされます。
Microsoft Graph PowerShell に接続すると、現在の ImmutableID 値を確認できます。 Microsoft Graph PowerShell モジュールを使用したことがない場合は、管理セッションで実行し、それから次のコマンドを実行します。
このモジュールがある場合は、最新バージョンへの更新を求める警告が表示されることがあります。
インストールされているモジュールをインポートします。
認証ウィンドウで、少なくともハイブリッド ID 管理者としてサインインします。
テナントに接続します。
ImmutableID 値の設定を確認します。 objectGUID を ImmutableID に変換する既定値の例を次に示します。
オンプレミスで objectGUID から Base64 への変換を手動で確認します。 個々の値をテストするには、次のコマンドを使います。
Get-MgUser onpremupn | fl objectguid $objectguid = 'your-guid-here-1010' [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
objectGUID の一括検証メソッド
Microsoft Entra Connect に移行する前に、Microsoft Entra ID の ImmutableID の値がオンプレミスでのそれらの値と一致することを検証することが重要です。
次のコマンドは、オンプレミスの Microsoft Entra ユーザーを取得し、それらの objectGUID の値と計算済みの ImmutableID の値の一覧を CSV ファイルにエクスポートします。
オンプレミスのドメイン コントローラーの Microsoft Graph PowerShell で次のコマンドを実行します。
Get-MgUser -Filter * -Properties objectGUID | Select-Object UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID'; Expression = { [system.convert]::ToBase64String((GUID).tobytearray()) } } | export-csv C:\Temp\OnPremIDs.csvMicrosoft Graph PowerShell セッションでコマンドを実行して、同期されている値の一覧を取得します。
両方のエクスポート後、ユーザーの ImmutableID の値が一致することを確認します。
重要
クラウドの ImmutableID 値が objectGUID 値と一致しない場合は、Okta 同期の既定値が変更されています。ImmutableID 値を決定するために別の属性が選択されている可能性があります。 次のセクションに進む前に、ImmutableID の値を設定するソース属性を確認します。 Okta 同期を無効にする前に、Okta が同期している属性を更新します。
ステージング モードで Microsoft Entra Connect をインストールする
ソースと移行先ターゲットの一覧が準備できたら、Microsoft Entra Connect サーバーをインストールします。 Microsoft Entra Connect クラウド プロビジョニングを使う場合は、このセクションをスキップしてください。
サーバーに Microsoft Entra Connectをダウンロードしてインストールします。 「Microsoft Entra Connect のカスタム インストール」を参照してください。
左側のパネルで、[ユーザーの識別] を選びます。
[一意のユーザー識別] ページの [Microsoft Entra ID でのユーザーの識別方法を選択する] で、[特定の属性を選択する] を選びます。
Okta の既定値を変更しなかった場合は、[mS-DS-ConsistencyGUID] を選択します。
警告
この手順は重要です。 ソース アンカーに選んでいる属性が Microsoft Entra ユーザーに設定されていることを確実にします。 間違った属性を選んだ場合は、Microsoft Entra Connect をアンインストールしてから再インストールして、このオプションをもう一度選びます。
[次へ] を選択します。
左側のパネルで [構成] を選びます。
[構成の準備完了] ページで、[ステージング モードを有効にする] をオンにします。
[インストール] を選択します。
ImmutableID 値が一致することを確認します。
構成が完了したら、[終了] を選びます。
管理者として Synchronization Service を開きます。
domain.onmicrosoft.com コネクタ スペースへの完全同期を見つけます。
[Connectors with Flow Updates] (フロー更新を含むコネクタ) タブにユーザーが表示されることを確認します。
エクスポートで保留中の削除がないことを確認します。
[コネクタ] タブを選択します。
domain.onmicrosoft.com コネクタ スペースを選びます。
[Search Connector Space (コネクタ スペースの検索)] を選択します。
[Search Connector Space](コネクタ スペースの検索) ダイアログの [スコープ] で、[保留中のエクスポート] を選びます。
削除を選択します。
[Search] を選択します。 すべてのオブジェクトが一致する場合、[削除] に一致するレコードは表示されません。
削除を保留しているオブジェクトとそのオンプレミスの値をメモします。
[削除] をクリアします。
[追加] を選択します。
[変更] を選択します。
[Search] を選択します。
Okta 経由で Microsoft Entra ID に同期しているユーザーに対して、更新機能が表示されます。 Microsoft Entra Connect のインストール時に選んだ組織単位 (OU) 構造にある、Okta が同期していない新しいオブジェクトを追加します。
Microsoft Entra Connect が Microsoft Entra ID と通信した内容を確認するには、更新をダブルクリックします。
Note
Microsoft Entra ID 内のユーザーに対して追加機能がある場合、そのオンプレミス アカウントはクラウド アカウントと一致しません。 Entra Connect により、新しいオブジェクトが作成され、新規と予期しない追加が記録されます。
- ステージング モードを終了する前に、Microsoft Entra ID の ImmutableID 値を修正します。
この例では、オンプレミスの値が正確でなかったにもかかわらず、Okta はメール属性をユーザーのアカウントにスタンプしました。 Microsoft Entra Connect がアカウントを引き継ぐと、メール属性はこのユーザーのオブジェクトから削除されます。
- 更新に Microsoft Entra ID で想定される属性が含まれていることを確認します。 複数の属性を削除する場合、ステージング モードを削除する前に、オンプレミスの AD 値を設定することができます。
Note
次に進む前に、ユーザー属性が同期され、[保留中のエクスポート] タブに表示されていることを確認します。削除されている場合は、ImmutableID の値が一致し、ユーザーが同期のために選ばれた OU に属していることを確認します。
Microsoft Entra Connect クラウド同期エージェントをインストールする
ソースと移行先ターゲットの一覧が準備できたら、Microsoft Entra Connect クラウド同期エージェントをインストールして構成します。 「チュートリアル: 単一のフォレストを単一の Microsoft Entra テナントに統合する」を参照してください。
Note
Microsoft Entra Connect サーバーを使う場合は、このセクションをスキップしてください。
Microsoft Entra ID への Okta プロビジョニングを無効にする
Microsoft Entra Connect のインストールを確認したら、Microsoft Entra ID への Okta プロビジョニングを無効にします。
Okta ポータルに移動します
[アプリケーション] を選択します。
ユーザーを Microsoft Entra ID にプロビジョニングする Okta アプリを選びます。
[プロビジョニング] タブを選択します。
[Integration] (統合) セクションを選びます。
![Okta ポータルの [Integration] (統合) セクションのスクリーンショット。](media/migrate-okta-sync-provisioning/integration-section.png)
[編集] を選択します。
[Enable API integration] (API 統合を有効にする) オプションをオフにします。
[保存] を選択します。
![Okta ポータルの [Integration] (統合) セクションのスクリーンショット。](media/migrate-okta-sync-provisioning/edit-api-integration.png)
Note
Microsoft Entra ID へのプロビジョニングを処理する Office 365 アプリが複数ある場合は、それらがオフになっていることを確実にします。
Microsoft Entra Connect でステージング モードを無効にする
Okta のプロビジョニングを無効にすると、Microsoft Entra Connect サーバーはオブジェクトを同期できるようになります。
Note
Microsoft Entra Connect クラウド同期エージェントを使う場合は、このセクションをスキップしてください。
- デスクトップからインストール ウィザードを実行します。
- [構成] をクリックします。
- [ステージング モードの構成] を選びます。
- [次へ] を選択します。
- お使いの環境のハイブリッド ID の管理者アカウントの資格情報を入力します。
- [ステージング モードを有効にする] をオフにします。
- [次へ] を選択します。
- [構成] をクリックします。
- 構成が終わったら、管理者として同期サービスを開きます。
- domain.onmicrosoft.com コネクタの [エクスポート] を確認します。
- 追加、更新、削除を確認します。
- 移行が完了しました。 インストール ウィザードをもう一度実行し、Microsoft Entra Connect の機能を更新して拡張します。
クラウド同期エージェントを有効にする
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Okta のプロビジョニングを無効にすると、Microsoft Entra Connect クラウド同期エージェントはオブジェクトを同期できるようになります。
- 少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。
- [ID]>[ハイブリッド管理]>[Microsoft Entra Connect]>[Connect 同期] に移動します。
- [構成] プロファイルを選びます。
- [有効化] を選択します。
- プロビジョニング メニューに戻り、 [ログ] を選択します。
- プロビジョニング コネクタによってインプレース オブジェクトが更新されたことを確認します。 クラウド同期エージェントは非破壊的です。 一致するものが見つからない場合、更新は失敗します。
- ユーザーが一致しない場合は、更新を行って ImmutableID 値をバインドします。
- クラウド プロビジョニング同期を再開します。