次の方法で共有

チュートリアル: 同期された Active Directory フォレストの Microsoft Entra Cloud Sync に移行する

このチュートリアルでは、Microsoft Entra Connect Sync を使用して同期されたテスト Active Directory フォレストの Microsoft Entra Cloud Sync に移行する方法について説明します。

この記事では、基本的な移行に関する情報を提供します。 運用環境 の移行を試みる前に、Microsoft Entra Cloud Sync への移行に関するドキュメントを確認してください。

このチュートリアルでは、以下の内容を学習します。

  • スケジューラを停止します。
  • カスタム ユーザーの受信規則と送信規則を作成します。
  • プロビジョニング エージェントをインストールします。
  • エージェントのインストールを確認します。
  • Microsoft Entra Cloud Sync を構成します。
  • スケジューラを再起動します。

Microsoft Entra Cloud Sync フローを示す図。

考慮事項

このチュートリアルを試す前に、次の点を考慮してください。

  • Microsoft Entra Cloud Sync の基本を理解していることを確認します。

  • Microsoft Entra Connect Sync バージョン 1.4.32.0 以降を実行していること、および記載されているように同期規則を構成していることを確認します。

  • パイロットの場合は、テスト組織単位 (OU) またはグループを Microsoft Entra Connect Sync スコープから削除してください。 スコープ外へオブジェクトを移動すると、Microsoft Entra ID ではそれらのオブジェクトが削除されます。

    • Microsoft Entra ID のユーザー オブジェクトは論理的に削除されるため、復元できます。
    • Microsoft Entra ID のグループ オブジェクトはハード削除されるため、復元できません。

    Microsoft Entra Connect Sync には新しいリンクの種類が導入されています。これにより、パイロット シナリオでの削除が防止されます。

  • Microsoft Entra Cloud Sync がオブジェクトと一致するように、パイロット スコープ内のオブジェクトに ms-ds-consistencyGUID が設定されていることを確認します。

    Microsoft Entra Connect Sync では、グループ オブジェクトの ms-ds-consistencyGUID は既定では設定されません。

  • このチュートリアルの手順に正確に従ってください。 この構成は、高度なシナリオ用です。

前提条件

このチュートリアルを完了するために必要な前提条件を次に示します。

  • Microsoft Entra Connect 同期のバージョン 1.4.32.0 以降を備えたテスト環境
  • 同期の対象範囲に含まれる OU またはグループで、パイロット中に使用可能です。 少数のオブジェクトから始めることをお勧めします。
  • プロビジョニング エージェントをホストする Windows Server 2016 以降を実行するサーバー。
  • Microsoft Entra Connect Sync のソース アンカーは、objectGuid または ms-ds-consistencyGUID である必要があります

Microsoft Entra Connect を更新する

少なくとも、 Microsoft Entra Connect 1.4.32.0 が必要です。 Microsoft Entra Connect Sync を更新するには、「 Microsoft Entra Connect: 最新バージョンにアップグレードする」の手順に従います。

Microsoft Entra Connect 構成をバックアップする

変更を行う前に、Microsoft Entra Connect の構成をバックアップします。 これにより、以前の構成にロールバックできます。 詳細については、「 Microsoft Entra Connect 構成設定のインポートとエクスポート」を参照してください。

スケジューラの停止

Microsoft Entra Connect 同期は、オンプレミス ディレクトリで発生する変更を、スケジューラを使用して同期します。 カスタム ルールを変更して追加するには、作業中や変更中に同期が実行されないようにスケジューラを無効にする必要があります。 スケジューラを停止するには、次の手順に従います。

  1. Microsoft Entra Connect Sync を実行しているサーバーで、管理者特権で PowerShell を開きます。
  2. Stop-ADSyncSyncCycle を実行します。 Enter キーを押します。
  3. Set-ADSyncScheduler -SyncCycleEnabled $false を実行します。

ノート

Microsoft Entra Connect Sync 用に独自のカスタム スケジューラを実行している場合は、カスタム同期スケジューラを無効にします。

カスタム ユーザー受信規則を作成する

Microsoft Entra Connect 同期規則エディターでは、前に識別した OU 内のユーザーを除外する受信同期規則を作成する必要があります。 受信同期規則は、ターゲット属性が cloudNoFlow の結合規則です。 このルールは、Microsoft Entra Connect にこれらのユーザーの属性を同期しないように指示します。 詳細については、「運用環境 を移行する前に Microsoft Entra Cloud Sync に移行する」を参照してください。

  1. デスクトップのアプリケーション メニューから同期規則エディターを開きます。

    [同期規則エディター] メニューを示すスクリーンショット。

  2. [方向] で、ドロップダウン リストから [受信] を選択します。 次に、[ 新しいルールの追加] を選択します。

    [同期規則の表示と管理] ウィンドウ内で [受信] と [新しいルールの追加] ボタンが選択されていることを示すスクリーンショット。

  3. [ 説明 ] ページで、次の値を入力し、[ 次へ] を選択します。

    • 名前: ルールにわかりやすい名前を付けます。
    • 説明: わかりやすい説明を追加します。
      • 接続システム: カスタム同期規則を作成する Microsoft Entra コネクタを選択します。
      • 接続されたシステム オブジェクトの種類: ユーザーを選択 します
      • メタバース オブジェクトの種類: ユーザーを選択 します
      • リンクの種類: [結合] を選択します。
      • 優先順位: システム内で一意の値を指定します。
      • タグ: このフィールドは空のままにします。

    値が入力された [受信同期規則の作成 - 説明] ページを示すスクリーンショット。

  4. [ スコープ フィルター ] ページで、パイロットのベースにする OU またはセキュリティ グループを入力します。 OU でフィルター処理するには、識別名の OU 部分を追加します。 この規則は、その OU に含まれるすべてのユーザーに適用されます。 そのため、識別名 (DN) が OU=CPUsers,DC=contoso,DC=comで終わる場合は、このフィルターを追加します。 次へを選択します。

    ルール 属性 オペレーター 価値
    スコープ OU DN ENDSWITH OU の識別名。
    スコープ グループ ISMEMBEROF セキュリティ グループの識別名。

    同期規則のスコープ フィルターを示すスクリーンショット。

  5. [ 結合 ルール] ページで、[ 次へ] を選択します。

  6. [変換] ページ 、cloudNoFlow 属性の定数変換のソース値 True を追加します。 追加を選択します。

    同期規則の変換を示すスクリーンショット。

すべてのオブジェクトの種類 (ユーザー、グループ、連絡先) に対して同じ手順に従います。 構成されている Active Directory コネクタまたは Active Directory フォレストに従って、手順を繰り返します。

カスタム ユーザー送信規則を作成する

リンクの種類が JoinNoFlow の送信同期規則と、 cloudNoFlow 属性が True に設定されているスコープ フィルターが必要です。 このルールは、Microsoft Entra Connect にこれらのユーザーの属性を同期しないように指示します。 詳細については、「運用環境 を移行する前に Microsoft Entra Cloud Sync に移行する」を参照してください。

  1. [ 方向] で、ドロップダウン リストから [ 送信 ] を選択します。 次に、[ ルールの追加] を選択します。

    送信同期規則を示すスクリーンショット。

  2. [ 説明 ] ページで、次の値を入力し、[ 次へ] を選択します。

    • 名前: ルールにわかりやすい名前を付けます。
    • 説明: わかりやすい説明を追加します。
      • 接続システム: カスタム同期規則を作成する Microsoft Entra コネクタを選択します。
      • 接続されたシステム オブジェクトの種類: ユーザーを選択 します
      • メタバース オブジェクトの種類: ユーザーを選択 します
      • リンクの種類: JoinNoFlow を選択します。
      • 優先順位: システム内で一意の値を指定します。
      • タグ: このフィールドは空のままにします。

    同期規則の説明を示すスクリーンショット。

  3. [ スコープ フィルター ] ページで、[ 属性] で cloudNoFlow を選択します。 [値] で [True] を選択します次へを選択します。

    カスタム ルールを示すスクリーンショット。

  4. [ 結合ルール ] ページで、[ 次へ] を選択します。

  5. [変換] ページ 、[追加] を選択 します

すべてのオブジェクトの種類 (ユーザー、グループ、連絡先) に対して同じ手順に従います。

Microsoft Entra プロビジョニング エージェントをインストールする

Basic Active Directory と Azure 環境のチュートリアルを使用している場合は、CP1 を使用します。 エージェントをインストールするには、次の手順に従います。

  1. Azure portal で、 Microsoft Entra ID を選択します

  2. 左側のウィンドウで、[ Microsoft Entra Connect] を選択し、[ クラウド同期] を選択します。

    [作業の開始] 画面を示すスクリーンショット。

  3. 左側のウィンドウで、[エージェント] を選択 します

  4. [ オンプレミス エージェントのダウンロード] を選択し、[ 同意する] を選択してダウンロードします。

    エージェントのダウンロードを示すスクリーンショット。

  5. Microsoft Entra Connect プロビジョニング エージェント パッケージをダウンロードしたら、ダウンロード フォルダーから AADConnectProvisioningAgentSetup.exe インストール ファイルを実行します。

    ノート

    US Government Cloud のインストールを実行する場合は、 AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment を使用します。 詳細については、「 米国政府機関向けクラウドへのエージェントのインストール」を参照してください。

  6. 開いた画面で、[ ライセンス条項に同意 する] チェック ボックスをオンにし、[ インストール] を選択します。

    [Microsoft Entra Provisioning Agent Package]\(Microsoft Entra プロビジョニング エージェント パッケージ\) 画面を示すスクリーンショット。

  7. インストールが完了すると、構成ウィザードが開きます。 [次へ] を選択して構成を開始します。

    ようこそ画面を示すスクリーンショット。

  8. [ 拡張機能の選択 ] 画面 で、HR ドリブン プロビジョニング (Workday と SuccessFactors) / Azure AD Connect Cloud Sync を選択し、[ 次へ] を選択します。

    [拡張機能の選択] 画面を示すスクリーンショット。

    ノート

    Microsoft Entra オンプレミス アプリケーション プロビジョニングで使用するプロビジョニング エージェントをインストールする場合は、[オンプレミス アプリケーション プロビジョニング (アプリケーションへの Microsoft Entra ID)]を選択します。

  9. 少なくとも ハイブリッド ID 管理者 ロールを持つアカウントでサインインします。 Internet Explorer のセキュリティ強化が有効になっている場合は、サインインがブロックされます。 その場合は、インストールを閉じ、 Internet Explorer のセキュリティ強化を無効にして、Microsoft Entra Connect プロビジョニング エージェント パッケージのインストールを再起動します。

    [Microsoft Entra ID の接続] 画面を示すスクリーンショット。

  10. [ サービス アカウントの構成] 画面で、グループの管理対象サービス アカウント (gMSA) を選択します。 このアカウントはエージェント サービスの実行に使用されます。 マネージド サービス アカウントが別のエージェントによってドメインに既に構成されていて、2 つ目のエージェントをインストールしている場合は、[ gMSA の作成] を選択します。 システムは既存のアカウントを検出し、gMSA アカウントを使用するために新しいエージェントに必要なアクセス許可を追加します。 メッセージが表示されたら、次の 2 つのオプションのいずれかを選択します。

    • gMSA の作成: エージェントが provAgentgMSA$ マネージド サービス アカウントを作成できるようにします。 グループ管理サービス アカウント ( CONTOSO\provAgentgMSA$ など) は、ホスト サーバーが参加したのと同じ Active Directory ドメインに作成されます。 このオプションを使用するには、Active Directory ドメイン管理者の資格情報を入力します (推奨)。
    • カスタム gMSA の使用: このタスク用に手動で作成したマネージド サービス アカウントの名前を指定します。

  11. 続行するには、[ 次へ] を選択します。

    [サービス アカウントの構成] 画面を示すスクリーンショット。

  12. [ Active Directory の接続 ] 画面で、[ 構成済みのドメイン] にドメイン名が表示される場合は、次の手順に進みます。 それ以外の場合は、Active Directory ドメイン名を入力し、[ ディレクトリの追加] を選択します。

  13. Active Directory ドメイン管理者アカウントでサインインします。 ドメイン管理者アカウントには、有効期限が切れたパスワードがあってはなりません。 エージェントのインストール中にパスワードの有効期限が切れている場合や変更された場合は、新しい資格情報を使用してエージェントを再構成します。 この操作によってオンプレミス ディレクトリが追加されます。 [ OK] を選択し、[ 次へ ] を選択して続行します。

    ドメイン管理者の資格情報を入力する方法を示すスクリーンショット。

  14. 次のスクリーンショットは、contoso.com 用に構成されたドメインの例を示しています。 [次へ] を選択して続行します。

    [Active Directory の接続] 画面を示すスクリーンショット。

  15. [ 構成の完了 ] 画面で、[確認] を選択 します。 この操作によって、エージェントが登録されて再起動されます。

  16. 操作が完了すると、エージェントの構成が正常に検証されたことを示す通知が表示されます。 [ 終了] を選択します。

    完了画面を示すスクリーンショット。

  17. まだ最初の画面が表示される場合は、[ 閉じる] を選択します。

エージェントのインストールを確認する

エージェントの検証は、Azure portal と、エージェントを実行するローカル サーバーで行われます。

Azure portal でエージェントを確認する

Microsoft Entra ID によってエージェントが登録されていることを確認するには、次の手順に従います。

  1. Azure portal にサインインします。

  2. Microsoft Entra ID を選択します

  3. [Microsoft Entra Connect] を選択し、[クラウド同期] を選択します。

    [作業の開始] 画面を示すスクリーンショット。

  4. [ クラウド同期 ] ページに、インストールしたエージェントが表示されます。 エージェントが表示され、状態が 正常であることを確認します。

ローカル サーバー上のエージェントを確認する

エージェントが実行されていることを確認するには、次の手順に従います。

  1. 管理者アカウントでサーバーにサインインします。

  2. [サービス] に移動します。 Start/Run/Services.msc を使用してアクセスすることもできます。

  3. [ サービス] で、 Microsoft Entra Connect エージェント アップデーターMicrosoft Entra Connect プロビジョニング エージェント が存在し、状態が [実行中] であることを確認します。

    Windows サービスを示すスクリーンショット。

プロビジョニング エージェントのバージョンを確認する

実行中のエージェントのバージョンを確認するには、次の手順に従います。

  1. C:\Program Files\Microsoft Azure AD Connect プロビジョニング エージェントに移動します。
  2. AADConnectProvisioningAgent.exe を右クリックし、[プロパティ] を選択します
  3. [ 詳細 ] タブを選択します。製品バージョンの横にバージョン番号が表示されます。

Microsoft Entra クラウド同期を構成する

プロビジョニングを構成するには、次の手順に従います。

  1. 少なくともハイブリッド ID 管理者として、Microsoft Entra 管理センターにサインインします。

  2. [Entra ID]>[Entra Connect]>[クラウド同期] に移動します。

    Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。

  1. [ 新しい構成] を選択します。

    構成の追加を示すスクリーンショット。

  2. 構成画面で、ドメインとパスワード ハッシュ同期を有効にするかどうかを選択します。次に、[ 作成] を選択します。

    新しい構成を示すスクリーンショット。

  3. [ 作業の開始 ] 画面で、[ スコープ フィルターの追加 ] アイコンの横にある [ スコープ フィルターの追加 ] を選択します。 または、左側のウィンドウの [ 管理] で、[ スコープ フィルター] を選択します。

    スコープ フィルターを示すスクリーンショット。

  4. スコープ フィルターを選択します。 このチュートリアルでは、[ 選択した組織単位] を選択します。 このフィルターは、特定の OU に適用する構成のスコープを設定します。

  5. ボックスに、「 OU=CPUsers,DC=contoso,DC=com」と入力します。 スコープ フィルターを示すスクリーンショット。

  6. [ 追加>保存] を選択します。

スケジューラの開始

Microsoft Entra Connect Sync は、スケジューラを使用して、オンプレミスディレクトリで発生する変更を同期します。 ルールを変更したら、スケジューラを再起動できます。

  1. Microsoft Entra Connect Sync を実行しているサーバーで、管理者特権で PowerShell を開きます。
  2. Set-ADSyncScheduler -SyncCycleEnabled $true を実行します。
  3. Start-ADSyncSyncCycle を実行します。 次に、「入力」を選択します。

ノート

Microsoft Entra Connect Sync 用に独自のカスタム スケジューラを実行している場合は、カスタム同期スケジューラを再度有効にします。

スケジューラが有効になった後、Microsoft Entra Connect は、参照属性 (cloudNoFlow=true など) が更新されていない限り、メタバース内のmanagerを持つオブジェクトに対する変更のエクスポートを停止します。 オブジェクトに参照属性の更新がある場合、Microsoft Entra Connect は cloudNoFlow シグナルを無視し、オブジェクトのすべての更新をエクスポートします。

トラブルシューティング

パイロットが期待どおりに動作しない場合は、Microsoft Entra Connect Sync のセットアップに戻ります。

  1. ポータルでプロビジョニング構成を無効にします。
  2. 同期規則エディター ツールを使用して、クラウド プロビジョニング用に作成したすべてのカスタム同期規則を無効にします。 無効にすると、すべてのコネクタで完全同期が実行されます。

関連コンテンツ