Microsoft Azure で Microsoft 365 ディレクトリ同期をデプロイする

  • [アーティクル]

Microsoft Entra Connect (旧称ディレクトリ同期ツール、ディレクトリ同期ツール、または DirSync.exe ツール) は、ドメインに参加しているサーバーにインストールして、オンプレミスの Active Directory Domain Services (AD DS) ユーザーをMicrosoft Entraに同期するアプリケーションです。Microsoft 365 サブスクリプションのテナント。 Microsoft 365 は、ディレクトリ サービスにMicrosoft Entra IDを使用します。 Microsoft 365 サブスクリプションには、Microsoft Entra テナントが含まれています。 このテナントは他の SaaS アプリケーションと Azure のアプリを含む、他のクラウドのワークロードで組織の ID を管理するためにも使用されます。

Microsoft Entra Connect はオンプレミス サーバーにインストールできますが、次の理由で Azure の仮想マシンにインストールすることもできます。

  • クラウド ベースのサーバーをより迅速にプロビジョニングして構成でき、ユーザーがすぐにサービスを利用できるようになります。
  • Azure では、より少ない労力でより良いサイト可用性が得られます。
  • 組織内のオンプレミス サーバーの数を削減できます。

このソリューションでは、オンプレミス ネットワークと Azure 仮想ネットワーク間の接続が必要です。 詳しくは、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」をご覧ください。

注:

この記事では、1 つのフォレスト内の単一ドメインの同期について説明します。 Microsoft Entra Connect は、Active Directory フォレスト内のすべての AD DS ドメインを Microsoft 365 と同期します。 Microsoft 365 と同期する Active Directory フォレストが複数ある場合は、「 マルチフォレスト ディレクトリ同期と単一 Sign-On シナリオ」を参照してください。

Azure での Microsoft 365 ディレクトリ同期のデプロイの概要

次の図は、オンプレミスの AD DS フォレストを Microsoft 365 サブスクリプションに同期する Azure (ディレクトリ同期サーバー) の仮想マシンで実行されている Microsoft Entra Connect を示しています。

Microsoft Entra Azure の仮想マシン上の Connect ツールは、トラフィック フローを使用してオンプレミスのアカウントを Microsoft 365 サブスクリプションのMicrosoft Entra テナントに同期します。

この図には、サイト間 VPN または ExpressRoute 接続で接続されている 2 つのネットワークがあります。 AD DS ドメイン コントローラーが配置されているオンプレミス ネットワークがあり、ディレクトリ同期サーバーを備えた Azure 仮想ネットワークがあります。これは、Microsoft Entra Connect を実行している仮想マシンです。 ディレクトリ同期サーバーから発信されるトラフィック フローには、次の 2 つのメインがあります。

  • Microsoft Entra Connect は、オンプレミス ネットワーク上のドメイン コントローラーに対して、アカウントとパスワードの変更を照会します。
  • Microsoft Entra Connect は、アカウントとパスワードの変更を Microsoft 365 サブスクリプションのMicrosoft Entra インスタンスに送信します。 ディレクトリ同期サーバーはオンプレミス ネットワークの拡張部分にあるため、これらの変更はオンプレミス ネットワークのプロキシ サーバーを介して送信されます。

注:

このソリューションでは、1 つの Active Directory フォレスト内の単一 Active Directory ドメインの同期について説明します。 Microsoft Entra Connect は、Active Directory フォレスト内のすべての Active Directory ドメインを Microsoft 365 と同期します。 Microsoft 365 と同期する Active Directory フォレストが複数ある場合は、「 マルチフォレスト ディレクトリ同期と単一 Sign-On シナリオ」を参照してください。

このソリューションをデプロイする場合には、次の 2 つの主要な手順があります。

  1. Azure Virtual Network を作成し、オンプレミスネットワークに対するサイト間 VPN 接続を確立します。 詳しくは、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」をご覧ください。

  2. Azure のドメイン参加済み仮想マシンに Microsoft Entra Connect をインストールし、オンプレミスの AD DS を Microsoft 365 に同期します。 これには以下の手順を実行します。

    • Connect を実行する Azure 仮想マシンMicrosoft Entra作成する。

    • connect のインストールと構成Microsoft Entra

    Microsoft Entra Connect を構成するには、Microsoft Entra管理者アカウントと AD DS エンタープライズ管理者アカウントの資格情報 (ユーザー名とパスワード) が必要です。 Microsoft Entra Connect は、オンプレミスの AD DS フォレストを Microsoft 365 に同期するために、直ちに継続的に実行されます。

このソリューションを運用環境にデプロイする前に、「 シミュレートされたエンタープライズ基本構成 」の手順を使用して、この構成を概念実証、デモンストレーション、または実験用に設定できます。

重要

接続構成Microsoft Entra完了すると、AD DS エンタープライズ管理者アカウントの資格情報は保存されません。

注:

このソリューションでは、単一の AD DS フォレストを Microsoft 365 に同期する方法について説明します。 この記事で取り上げられているトポロジは、このソリューションを実装する 1 つの方法に過ぎません。 組織のトポロジは、固有のネットワーク要件とセキュリティに関する考慮事項によって異なる可能性があります。

Azure での Microsoft 365 のディレクトリ同期サーバーのホストを計画する

前提条件

開始する前に、このソリューションの以下の前提条件を確認してください。

  • Azure 仮想ネットワークの計画」に記されている関連する計画内容を確認します。

  • Azure Virtual Network を構成するためのすべての「前提条件」を満たしていることを確かめます。

  • Active Directory 統合機能を含む Microsoft 365 サブスクリプションがある。 Microsoft 365 サブスクリプションの詳細については、「 Microsoft 365 サブスクリプション」ページを参照してください。

  • Microsoft Entra Connect を実行する 1 つの Azure Virtual Machine をプロビジョニングして、オンプレミスの AD DS フォレストを Microsoft 365 と同期します。

    AD DS エンタープライズ管理者アカウントとMicrosoft Entra管理者アカウントの資格情報 (名前とパスワード) が必要です。

ソリューション アーキテクチャ設計の前提条件

次の一覧では、このソリューションで採用された設計方針について説明します。

  • このソリューションでは、サイト間 VPN 接続を伴う 1 つの Azure Virtual Network を使用します。 Azure 仮想ネットワークは、1 つのサーバーを持つ単一のサブネット (Connect Microsoft Entra実行されているディレクトリ同期サーバー) をホストします。

  • オンプレミス ネットワークには、ドメイン コントローラーと DNS サーバーが存在します。

  • Microsoft Entra Connect では、シングル サインオンではなくパスワード ハッシュ同期が実行されます。 Active Directory フェデレーション サービス (AD FS) (AD FS) インフラストラクチャをデプロイする必要はありません。 パスワード ハッシュ同期とシングル サインオン オプションの詳細については、「Microsoft Entra ハイブリッド ID ソリューションに適した認証方法を選択する」を参照してください。

このソリューションを環境内にデプロイするときに考慮する可能性がある他の設計上の選択肢があります。 これらには次のコマンドレットがあります。

  • 既存の Azure Virtual Network 内に既存の DNS サーバーがある場合、オンプレミス ネットワークの DNS サーバーではなく、それらをディレクトリ同期サーバーで使用して名前解決を行うかどうかを決定します。

  • 既存の Azure 仮想ネットワークにドメイン コントローラーがある場合は、Active Directory サイトとサービスの構成が最適なオプションであるかどうかを判断します。 ディレクトリ同期サーバーは、オンプレミス ネットワーク上のドメイン コントローラーではなく、Azure 仮想ネットワーク内のドメイン コントローラーに対してアカウントとパスワードの変更を照会できます。

展開のロードマップ

Azure の仮想マシンに Microsoft Entra Connect をデプロイする方法は、次の 3 つのフェーズで構成されます。

  • フェーズ 1:Azure 仮想ネットワークを作成および構成する

  • フェーズ 2:Azure 仮想マシンを作成および構成する

  • フェーズ 3: Microsoft Entra Connect をインストールして構成する

展開後は、Microsoft 365 の新しいユーザー アカウントの場所とライセンスも割り当てる必要があります。

フェーズ 1: Azure Virtual Network を作成および構成する

Azure 仮想ネットワークを作成および構成するには、「オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する」の展開ロードマップにある「フェーズ 1: オンプレミス ネットワークの準備」および「フェーズ 2: Azure でのクロスプレミスの仮想ネットワークの作成」を完了してください。

以下が最終的な構成です。

Azure でホストされている Microsoft 365 用ディレクトリ同期サーバーのフェーズ 1。

この図は、サイト間 VPN や ExpressRoute 接続を介してAzure 仮想ネットワークに接続しているオンプレミスネットワークを示しています。

フェーズ 2:Azure 仮想マシンを作成および構成する

Azure ポータルで最初の Windows 仮想マシンを作成する」の説明に従い、Azure に仮想マシンを作成します。 以下の設定を使用します。

  1. [基本] ウィンドウで、仮想ネットワークと同じサブスクリプション、場所およびリソース グループを選択します。 ユーザー名とパスワードを安全な場所に記録します。 仮想マシンに接続するには、後でこれらが必要になります。

  2. [サイズの選択] ウィンドウで、 A2 標準 サイズを選択します。

  3. [設定] ウィンドウの [ストレージ] セクションで、 [標準] ストレージ タイプを選択します。 [ ネットワーク ] セクションで、仮想ネットワークの名前とディレクトリ同期サーバーをホストするためのサブネット (GatewaySubnet ではなく) を選択します。 他のすべての設定は、既定値のままにします。

内部 DNS をチェックして、ディレクトリ同期サーバーが DNS を正しく使用していることを検証し、仮想マシンに IP アドレスのアドレス (A) レコードが追加されたことを確認します。

「仮想マシンに接続してサインオンする」の手順に従って、リモート デスクトップ接続を使用してディレクトリ同期サーバーに接続します。 サインインした後、仮想マシンをオンプレミスの AD DS ドメインに参加させます。

Microsoft Entra接続してインターネット リソースにアクセスするには、オンプレミス ネットワークのプロキシ サーバーを使用するようにディレクトリ同期サーバーを構成する必要があります。 実行する追加の構成手順は、ネットワーク管理者に問い合わせてください。

以下が最終的な構成です。

Azure でホストされている Microsoft 365 用ディレクトリ同期サーバーのフェーズ 2。

この図に、クロスプレミス Azure 仮想ネットワーク内のディレクトリ同期サーバーとしての仮想マシンを示します。

フェーズ 3: Microsoft Entra Connect をインストールして構成する

次の手順を実行します。

  1. ローカル管理者特権を持つ AD DS ドメイン アカウントを使用して、リモート デスクトップ接続を使用してディレクトリ同期サーバーに接続します。 「仮想マシンへの接続とサインオン」を参照してください。

  2. ディレクトリ同期サーバーから、 Microsoft 365 のディレクトリ同期のセットアップに関する 記事を開き、パスワード ハッシュ同期を使用したディレクトリ同期の指示に従います。

注意

セットアップにより、 ローカル ユーザー組織単位 (OU) にAAD_xxxxxxxxxxxx アカウントが作成されます。 このアカウントを移動または削除しないでください。同期は失敗します。

以下が最終的な構成です。

Azure でホストされている Microsoft 365 用ディレクトリ同期サーバーのフェーズ 3。

この図は、クロスプレミス Azure 仮想ネットワーク内の Microsoft Entra Connect を使用したディレクトリ同期サーバーを示しています。

Microsoft 365 のユーザーに場所とライセンスを割り当てる

Microsoft Entra Connect は、オンプレミスの AD DS から Microsoft 365 サブスクリプションにアカウントを追加しますが、ユーザーが Microsoft 365 にサインインしてそのサービスを使用するには、アカウントを場所とライセンスで構成する必要があります。 次の手順で、適切なユーザーアカウントに場所を追加し、ライセンス認証を行います。

  1. Microsoft 365 管理センターにサインインし、[管理] をクリックします。

  2. 左側のナビゲーションで、[ユーザー] [アクティブ な>ユーザー] をクリックします。

  3. ユーザーアカウントのリストで、アクティブにするユーザー名の隣にあるチェック ボックスをオンにします。

  4. ユーザーのページで、[製品ライセンス][編集] をクリックします。

  5. [製品ライセンス] ページの [場所] でユーザーの場所を選択し、ユーザーの適切なライセンスを有効にします。

  6. 完了したら、[保存] をクリックし、2 回 [閉じる] をクリックします。

  7. 別のユーザーについては、手順 3 に戻ります。

関連項目

Microsoft 365 ソリューションおよびアーキテクチャ センター

オンプレミス ネットワークを Microsoft Azure 仮想ネットワークに接続する

Microsoft Entra Connect をダウンロードする

Microsoft 365 のディレクトリ同期を設定する