Share via

Azure Active Directory 同期のシナリオの概要

  • [アーティクル]

更新日: 2015 年 7 月 22 日

重要

このトピックは近日中にアーカイブされます。
AADSyncと DirSync を置き換える "Azure Active Directory Connect" という新しい製品があります。
Azure AD Connect には、以前 Dirsync と AAD Sync としてリリースされたコンポーネントと機能が組み込まれています。
将来のある時点で、Dirsync とAAD Syncのサポートは終了します。
これらのツールは機能改善によって個別に更新されなくなり、今後のすべての機能強化は Azure AD Connectの更新プログラムに含まれる予定です。

Azure Active Directory Connectに関する最新の情報については、「オンプレミス ID とAzure Active Directoryの統合」を参照してください

多くの組織が、複数のオンプレミス Active Directory フォレストを含む環境を使用しています。 複数のオンプレミス Active Directory フォレストがデプロイされる理由はさまざまです。 典型的な例は、アカウント リソース フォレスト、合併や買収に関連したフォレスト、またはデータの外注に使用されるフォレストを伴う設計です。

Microsoft は、単一フォレスト シナリオ向けのソリューションである DirSync、および複数フォレスト シナリオ向けのソリューションである FIM を用意しています。
ただし、FIM を構成することが課題になる場合があり、そのことにかなりの時間を費やす可能性があります。

AADSync を使用すると、この構成を大幅に簡略化でき、予想可能なものになります。

AADSync で提供される既定の構成では、次の前提が使用されます。

  1. ユーザーが持つ有効なアカウントは 1 つのみで、このアカウントが配置されているフォレストがユーザーのフェデレーションに使用されます。

  2. ユーザーのメールボックスは 1 つのみです。

  3. ユーザーのメールボックスをホストするフォレストは、Exchange のグローバル アドレス一覧 (GAL) で確認できる属性に対して最適なデータ品質を備えています。
    ユーザーにメールボックスがない場合、どのフォレストを使用してもこれらの属性値を提供できます。

このトピックの目的は、いくつかの一般的なシナリオについて、およびそれらのシナリオが AADSync の同期サービスでどのように示されるかについて説明することです。

  1. 個別のテクノロジ

  2. オプションの GALSync を使用したフル メッシュ

  3. アカウント リソース フォレスト

注意

これらのシナリオは、インストール ガイドの結合オプション ページに直接マッピングされます。
詳細については、「 アカウント参加」を参照してください。

個別のテクノロジ

この環境では、オンプレミスのすべてのフォレストは個別のエンティティとして扱われ、他のフォレストにはユーザーは存在しません。各フォレストには独自のExchange組織があり、フォレスト間に GALSync はありません。これは、合併/買収後、または各部署が互いに分離して運用されている組織の状況である可能性があります。

Separate Topologies

この図では、各フォレスト内の各オブジェクトが、メタバースにいったん表され、ターゲットの AAD ディレクトリに集約されます。
これは、1 台の DirSync サーバーを各ソース AD フォレストに接続している場合と同じ最終結果になります。

オプションの GALSync を使用したフル メッシュ

フル メッシュ トポロジでは、ユーザーとリソースを任意のフォレストに置くことができ、一般的にフォレスト間には双方向の信頼があります。

複数のフォレストに Exchange が存在する場合、必要に応じて GALSync ソリューションが存在し、1 つのフォレスト内のユーザーが互いのフォレストにおける連絡先として表されることがあります。

このシナリオでは、通常、ID オブジェクトはメール属性を使用して結合されます。 この結果、あるフォレストでメールボックスを使用するユーザーは、他のフォレストの連絡先と結合されます。 配布グループとセキュリティ グループは、各フォレストで見受けられ、ユーザー、連絡先、および FSP (Foreign Security Principal) の組み合わせを含めることができます。

次の図は、このシナリオを示しています。

Full mesh with optional GALSync

アカウント リソース フォレスト

アカウント リソース フォレスト トポロジでは、アクティブなユーザー アカウントを使用する 1 つ以上のアカウント フォレストが存在します。このシナリオは、すべてのアカウント フォレストを信頼する 1 つのフォレストを含んでいます。このフォレストには、通常、Exchange および Lync を使用する拡張 AD スキーマがあります。Exchange と Lync のすべてのサービスは、その他の共有サービスと共にこのフォレストに配置されます。ユーザーは、このフォレストに無効になったユーザー アカウントを持ち、メールボックスがこのアカウント フォレストにリンクされます。

次の図は、アカウント 1 つのみを使用するこのシナリオを示しています。

Account-Resource Forest

参照

概念

Azure Active Directory同期