Microsoft Entra Connect をインストールする
Von Bedeutung
公式に文書化されているアクションを除き、Microsoft は Microsoft Entra Connect Sync の変更や操作をサポートしません。 サポートされていないアクションを行うと、Microsoft Entra Connect Sync が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。
Microsoft Entra Connect は Microsoft ダウンロード センターからダウンロードできます。
| 解決策 | シナリオ |
|---|---|
| 開始する前に - ハードウェアと前提条件 | |
| 簡単設定 | |
| カスタマイズした設定 | |
| DirSync からのアップグレード | |
| Azure AD Sync または Microsoft Entra Connect からのアップグレード |
インストール後、想定どおりに動作していることを確認し、ユーザーにライセンスを割り当てる必要があります。
Microsoft Entra Connect をインストールする次の手順
| トピック | リンク |
|---|---|
| Microsoft Entra Connect をダウンロードする | Microsoft Entra Connect をダウンロードする |
| Express 設定を使用したインストール | Microsoft Entra Connect の高速インストール |
| カスタマイズした設定を使用したインストール | Microsoft Entra Connect のカスタム インストール |
| DirSync からのアップグレード | Azure AD Sync ツール (DirSync) からのアップグレード |
| インストール後に | インストールの確認とライセンスの割り当て |
Microsoft Entra Connect のインストールに関する詳細
運用 上の問題への備えも必要になることがあります。 障害が発生した場合に簡単にフェールオーバーできるように、スタンバイ サーバーが必要な場合があります。 頻繁に構成を変更する予定がある場合は、 ステージング モード サーバーについて計画してください。
| トピック | リンク |
|---|---|
| サポートされているトポロジ | Microsoft Entra Connect の |
| 設計の概念 | Microsoft Entra Connect: 設計概念 |
| インストールで使用するアカウント | Microsoft Entra Connect の資格情報とアクセス許可の詳細 |
| 運用計画 | Microsoft Entra Connect Sync: 操作タスクおよび考慮事項 |
| ユーザーのサインイン オプション | Microsoft Entra Connect ユーザー サインイン オプション |
同期機能を構成する
Microsoft Entra Connect には、必要に応じて有効にすることができる機能や、既定で有効になっている機能があります。 ただし一部の機能は、特定のシナリオやトポロジを実現するために、特別な構成が必要となります。
フィルター処理 は、Microsoft Entra ID に同期するオブジェクトを制限する場合に使用します。 既定では、すべてのユーザー、連絡先、グループ、Windows 10 コンピューターが同期の対象となります。 フィルター処理は、ドメインや OU、属性に基づいて変更することができます。
パスワード ハッシュ同期は、Active Directory のパスワード ハッシュを Microsoft Entra ID と同期させる機能です。 エンド ユーザーがオンプレミスとクラウドで同じパスワードを使用でき、しかもそれを 1 か所で管理することができます。 オンプレミスの Active Directory が認証機関として使用されているため、独自のパスワード ポリシーを使用することもできます。
パスワード ライトバック を使用すると、ユーザーはクラウドでパスワードを変更およびリセットし、オンプレミスのパスワード ポリシーを適用できます。
デバイス ライトバック を使用すると、Microsoft Entra ID に登録されているデバイスをオンプレミスの Active Directory に書き戻して、条件付きアクセスに使用できます。
誤って削除されないように保護する 機能は既定で有効になっており、多数のクラウド ディレクトリが同時に削除されるのを防ぐことができます。 1 回の実行で削除できるディレクトリは、既定では 500 個です。 この設定は、組織の規模に応じて変更できます。
自動アップグレード は、簡単設定を使用したインストールでは既定で有効になっており、Microsoft Entra Connect が最新のリリースで常に最新の状態になるようにします。
同期機能を構成する次のステップ
| トピック | リンク |
|---|---|
| フィルター処理の構成 | Microsoft Entra Connect Sync: フィルター処理を構成する |
| パスワード ハッシュの同期 | パスワード ハッシュ同期 |
| パススルー認証 | パススルー認証 |
| パスワード書き戻し | パスワード管理の概要 |
| デバイス ライトバック | Microsoft Entra Connect でのデバイス ライトバックの有効化 |
| 誤って削除されないように保護する | Microsoft Entra Connect Sync: 誤って削除されないように保護する |
| 自動アップグレード | Microsoft Entra Connect: 自動アップグレード |
Microsoft Entra Connect Sync をカスタマイズする
Microsoft Entra Connect Sync には、ほとんどのお客様とトポロジに対応した既定の構成が設定されています。 ただし、既定の構成が機能せず、調整する必要がある状況は常にあります。 このセクションとリンクされたトピックに記載されているように、変更を加えるのがサポートされています。
同期トポロジを操作したことがない場合は、技術的な概念で説明されている基本と用語を理解することから始めましょう。 似ているものがあっても、多くも変わりました。
この 既定の構成 は、複数のフォレストが存在する可能性があることを前提としています。 これらのトポロジでは、ユーザー オブジェクトが別のフォレストの連絡先として表される場合があります。 ユーザーは、別のリソース フォレストにリンクされたメールボックスを持っている場合もあります。 既定の構成の動作については、 ユーザーと連絡先に関するページを参照してください。
同期の構成モデルは、 宣言型のプロビジョニングと呼ばれています。 高度な属性のフローでは、 関数 を使って属性の変換を表現します。 Microsoft Entra Connect に付属するツールを使って、構成全体を確認、検証できます。 構成を変更する必要がある場合は、新しいリリースを簡単に導入できるように 、ベスト プラクティス に従ってください。
Microsoft Entra Connect Sync をカスタマイズする次の手順
| トピック | リンク |
|---|---|
| Microsoft Entra Connect Sync に関するすべての記事 | Microsoft Entra Connect Sync |
| 技術的概念 | Microsoft Entra Connect Sync: 技術的概念 |
| 既定の構成について | Microsoft Entra Connect Sync: 既定の構成について |
| ユーザーと連絡先について | Microsoft Entra Connect Sync: ユーザー、グループ、連絡先について |
| 宣言型のプロビジョニング | Microsoft Entra Connect Sync: 宣言型プロビジョニング式について |
| 既定の構成の変更 | 既定の構成 を変更するためのベスト プラクティス |
フェデレーション機能を構成する
Microsoft Entra Connect には、Microsoft Entra ID とのフェデレーションを AD FS の使用とフェデレーション信頼の管理を通じて省力化するさまざまな機能が備わっています。 Microsoft Entra Connect では、Windows Server 2012R2 以降の AD FS がサポートされます。
フェデレーション信頼の管理に Microsoft Entra Connect を使用していない場合でも、AD FS ファームの TLS/SSL 証明書を更新することができます。
ファームに AD FS サーバーを追加することで必要に応じてファームを拡張できます。
たった数回のクリック操作で Microsoft Entra ID との信頼を修復できます。
ADFS は 複数のドメインをサポートするように構成できます。 たとえば、フェデレーションに使用する必要がある上位ドメインが複数ある場合があります。
ADFS サーバーが Microsoft Entra ID からの証明書を自動的に更新するように構成されていない場合、または ADFS 以外のソリューションを使用している場合は、 証明書を更新する必要があるときに通知されます。
フェデレーション機能を構成する次のステップ
| トピック | リンク |
|---|---|
| AD FS に関するすべての記事 | Microsoft Entra Connect とフェデレーション |
| サブドメインで ADFS を構成する | Microsoft Entra ID とのフェデレーションに使用するマルチ ドメイン サポート |
| AD FS ファームを管理する | Microsoft Entra Connect を使用した AD FS の管理とカスタマイズ |
| フェデレーション証明書を手動で更新する | Microsoft 365 と Microsoft Entra ID のフェデレーション証明書の更新 |
Microsoft Entra Connect Health の概要
Microsoft Entra Connect Health の使用を開始するには、次の手順に従います。
- Microsoft Entra ID P1 または P2 を取得するか、試用版を開始します。
- Microsoft Entra Connect Health エージェントをダウンロードし、ID サーバーにインストールします。
- Microsoft Entra Connect Health ダッシュボードが https://aka.ms/aadconnecthealth に表示されます。
注
Microsoft Entra Connect Health ダッシュボードでデータを表示するためには、あらかじめ対象サーバーに Microsoft EntraConnect Health エージェントをインストールしておく必要があります。
Microsoft Entra Connect Health エージェントをダウンロードしてインストールする
- Microsoft Entra Connect Health の要件を必ず満たしてください。
- AD FS 用 Microsoft Entra Connect Health の概要
- 同期用 Microsoft Entra Connect Health の概要
- 最新バージョンの Microsoft Entra Connect をダウンロードしてインストールします。 同期用の正常性エージェントは、Microsoft Entra Connect のインストールの一環としてインストールされます (バージョン 1.0.9125.0 以降)。
- AD DS 用 Microsoft Entra Connect Health の概要
Microsoft Entra Connect Health Portal
Microsoft Entra Connect Health ポータルでは、アラート、パフォーマンスの監視、利用状況分析に関するビューが表示されます。 https://aka.ms/aadconnecthealth URL で Microsoft Entra Connect Health のメイン ブレードに移動することができます。 ブレードは、ウィンドウと考えることができます。 メイン ブレードでは、 [クイック スタート] 、Microsoft Entra Connect Health で提供されるサービス、その他の構成オプションが表示されます。 次のスクリーンショットとそれに続く簡単な説明をご覧ください。 エージェントのデプロイ後、Microsoft Entra Connect Health で監視されているサービスが、Health サービスによって自動的に識別されます。
注
ライセンス情報については、「Microsoft Entra Connect Health に関してよく寄せられる質問」または Microsoft Entra の価格に関するページを参照してください。
- [クイック スタート]: このオプションを選択すると、 [クイック スタート] ブレードが開きます。 [ツールの入手] を選択することで、Microsoft Entra Connect Health エージェントをダウンロードできます。 ドキュメントの利用とフィードバックの提供もできます。
- [Microsoft Entra Connect (sync)] (Microsoft Entra Connect (同期)): このオプションを選択すると、Microsoft Entra Connect Health が現在監視している Microsoft Entra Connect サーバーが表示されます。 [同期エラー ] エントリには、最初にオンボードされた同期サービスの基本的な同期エラーがカテゴリ別に表示されます。 [同期サービス] エントリを選択すると、ブレードが開いて Microsoft Entra Connect サーバーに関する情報が表示されます。 Microsoft Entra Connect Health for Sync の使用に関するページで各種機能を参照してください。
- [Active Directory フェデレーション サービス] : このオプションを選択すると、Microsoft Entra Connect Health が現在監視しているすべての AD FS サービスが表示されます。 インスタンスを選択すると、ブレードが開いてそのサービス インスタンスに関する情報が表示されます。 この情報には、概要、プロパティ、アラート、監視、使用状況の分析などが含まれます。 AD FS での Microsoft Entra Connect Health の使用に関するページで各種機能を参照してください。
- Active Directory Domain Services: このオプションを選択すると、Microsoft Entra Connect Health が現在監視しているすべての AD DS フォレストが表示されます。 フォレストを選択すると、ブレードが開いてそのフォレストに関する情報が表示されます。 この情報には、重要度のきわめて高い情報、ドメイン コントローラーのダッシュボード、レプリケーションの状態のダッシュボード、アラート、監視の概要が含まれます。 AD DS での Microsoft Entra Connect Health の使用に関するページで各種機能を参照してください。
- 構成: このセクションには、次の機能を有効または無効にするオプションが含まれています。
- トラブルシューティングの目的限定での Microsoft による Microsoft Entra ディレクトリ整合性からのデータへのアクセス: このオプションが有効になっている場合、Microsoft は、ユーザーが表示したデータと同じものにアクセスできます。 この情報は、トラブルシューティングや、必要なサポートの提供に役立ちます。 このオプションは、既定で無効です。
- [ロール ベースのアクセス制御 (IAM)] は、ロール ベースの Connect Health データへのアクセスを管理するためのセクションです。