Microsoft Entra Connect: 既存のテナントがある場合

  • [アーティクル]

Microsoft Entra Connect の使い方に関するトピックのほとんどでは、新しい Microsoft Entra テナントで作業を開始すること、そしてユーザーまたはその他のオブジェクトがそこにないことが想定されています。 しかし、既に Microsoft Entra テナントの使用を開始し、ユーザーや他のオブジェクトを作成してある状態で、Connect を使いたくなった場合は、このトピックを参照してください。

基本を知ろう

Microsoft Entra ID 内のオブジェクトは、クラウドまたはオンプレミスのいずれかで管理されます。 単一のオブジェクトについて、一部の属性をオンプレミスで管理し、他の属性を Microsoft Entra ID で管理することはできません。 各オブジェクトには、オブジェクトが管理されている場所を示すフラグが付いています。

一部のユーザーをオンプレミスで管理して他のユーザーをクラウドで管理することができます。 この構成のよくあるシナリオとしては、経理ワーカーと営業ワーカーが両方存在する組織が挙げられます。 経理ワーカーにはオンプレミス AD アカウントがありますが、営業ワーカーにはなく、Microsoft Entra ID にアカウントを持っています。 一部のユーザーはオンプレミスで管理し、一部は Microsoft Entra ID で管理します。

オンプレミスの AD にも存在するユーザーの管理を Microsoft Entra ID で始めた後、Connect が必要になった場合は、さらにいくつかの事項を考慮する必要があります。

Microsoft Entra ID の既存のユーザーと同期する

Microsoft Entra Connect をインストールして同期を開始すると、(Microsoft Entra ID の) Azure AD Sync サービスによってすべての新しいオブジェクトがチェックされて、一致する既存オブジェクトの検出が試みられます。 このプロセスでは、userPrincipalNameproxyAddressessourceAnchor/immutableID の 3 つの属性が使用されます。 userPrincipalNameproxyAddresses の一致は、あいまい一致と呼ばれます。 sourceAnchor の一致は、完全一致と呼ばれます。 proxyAddresses 属性では、SMTP: 付きの値 (つまり、プライマリ電子メール アドレス) のみが評価に使用されます。

一致は、Connect で生成された新しいオブジェクトについてのみ評価されます。 これらの属性のいずれかに一致するように既存のオブジェクトを変更すると、エラーが発生します。

Connect からのオブジェクトと同じ属性値を持つオブジェクトが Microsoft Entra ID によって検出され、それが Microsoft Entra ID に既に存在する場合は、Microsoft Entra ID のオブジェクトが Connect によって引き継がれます。 以前クラウドで管理されていたオブジェクトには、オンプレミスで管理されていることを示すフラグが付きます。 オンプレミスの AD で値が設定されている Microsoft Entra ID の属性はすべて、オンプレミスの値で上書きされます。

警告

Microsoft Entra ID のすべての属性はオンプレミスの値で上書きされるため、オンプレミスのデータが適切であることを確認してください。 たとえば、電子メール アドレスを Microsoft 365 でしか管理しておらず、オンプレミスの AD DS で更新していなかった場合、AD DS に存在しない Microsoft Entra ID / Microsoft 365 の値はすべて失われます。

重要

パスワード同期を使う場合 (簡易設定によって常に使われます)、Microsoft Entra ID のパスワードはオンプレミス AD のパスワードで上書きされます。 ユーザーが異なるパスワードの管理に慣れている場合、Connect をインストールした後に、オンプレミスのパスワードを使用する必要があることをユーザーに伝える必要があります。

計画を立てる際には、前のセクションと警告の内容を考慮する必要があります。 オンプレミスの AD DS に反映されていない変更が Microsoft Entra に多数ある場合、Microsoft Entra Connect でオブジェクトを同期する前に、更新された値を AD DS に設定する方法を計画しておく必要があります。

あいまい一致でオブジェクトを一致させた場合、後で完全一致を使用できるように、sourceAnchor が Microsoft Entra ID のオブジェクトに追加されます。

重要

Microsoft は、オンプレミスのアカウントを、Microsoft Entra ID に既に存在する管理アカウントと同期しないことを強くお勧めします。

完全一致とあいまい一致

Connect を新しくインストールする場合、完全一致とあいまい一致にはほとんど違いはありません。 違いが生じるのは、ディザスター リカバリーの際です。 Microsoft Entra Connect でサーバーを失った場合、データを失うことなく新しいインスタンスを再インストールできます。 初期インストール中に、sourceAnchor があるオブジェクトは Connect に送信されます。 その後、クライアント (Microsoft Entra Connect) で一致を評価できます。そうすれば、Microsoft Entra ID で同じことを行うよりはるかに高速です。 完全一致は Connect と Microsoft Entra ID の両方によって評価されます。 あいまい一致は Microsoft Entra ID によってのみ評価されます。

Microsoft Entra Connect であいまい一致機能を無効にするための構成オプションが追加されています。 Microsoft では、クラウド専用アカウントを引き継ぐ目的で必要としない限り、ソフト マッチングは無効にすることをお客様に提案しています。

ソフト マッチングを無効にするには、Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell コマンドレットを使用します。

Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement 

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$onPremisesDirectorySynchronizationId = "<TenantID>"  
$params = @{ 
	features = @{ 
		blockSoftMatchEnabled = $true 
	} 
} 
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $onPremisesDirectorySynchronizationId -BodyParameter $params

Note

blockSoftMatchEnabled - テナントに対して有効になっている場合、すべてのオブジェクトのソフト マッチをブロックするために使用します。 お客様は、この機能を有効にし、テナントにソフト マッチング機能が再度必要になるまでは有効にしたままにすることをお勧めします。 このフラグは、ソフト マッチングが完了し、不要になった後で、再度有効にする必要があります。

ユーザー以外のオブジェクト

メールが有効なグループと連絡先については、proxyAddresses に基づいてあいまい一致を利用できます。 ユーザーについてのみ、(PowerShell を使用して) sourceAnchor/immutableID の更新のみを実行できます。このため、完全一致は適用されません。 メールが有効になっていないグループについては、あいまい一致も完全一致もサポートされていません。

管理者ロールに関する考慮事項

信頼されていないオンプレミス ユーザーが、何らかの管理者ロールを持つクラウド ユーザーと一致するのを防ぐため、Microsoft Entra Connect では、オンプレミスのユーザー オブジェクトと管理者ロールを持つオブジェクトは照合されません。 これは既定です。 この振る舞いを回避するには、次の操作を行います。

  1. クラウドのみのユーザー オブジェクトからディレクトリ ロールを削除します。
  2. 失敗したユーザー同期の試行がある場合は、クラウド内の検疫されたオブジェクトの物理的な削除を行います。
  3. 同期をトリガーします。
  4. 一致が発生した後は、クラウド内のユーザー オブジェクトにオプションでディレクトリ ロールを追加します。

Microsoft Entra ID のデータから新しいオンプレミスの Active Directory を作成する

一部のお客様は、最初は Microsoft Entra ID でクラウドのみのソリューションを使っており、オンプレミスの AD を持っていません。 後になってオンプレミスのリソースが必要になり、Microsoft Entra のデータに基づいてオンプレミスの AD を構築することを望まれます。 Microsoft Entra Connect は、このようなシナリオにはお役に立てません。 オンプレミスのユーザーは作成されず、オンプレミスのパスワードを Microsoft Entra ID と同じものに設定する機能はありません。

オンプレミスの AD の追加を計画する理由が LOB (基幹業務アプリ) のサポートだけである場合は、代わりに Microsoft Entra Domain Services の使用を検討する必要があります。

次のステップ

オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。