既存の同期済み AD フォレストを Microsoft Entra クラウド同期に移行する

このチュートリアルでは、Microsoft Entra Connect 同期を使用して同期済みのテスト用 Active Directory フォレストに対して、クラウド同期への移行を行う手順について説明します。

考慮事項

このチュートリアルを試す前に、次の点を考慮してください。

1. クラウド同期の基礎を理解しておきます。

2. Microsoft Entra Connect 同期のバージョン 1.4.32.0 以降を実行していることと、同期ルールをドキュメントどおりに構成したことを確認してください。

3. パイロット中に、Microsoft Entra Connect 同期のスコープからテスト OU またはグループを削除します。 スコープ外へオブジェクトを移動すると、Microsoft Entra ID ではそれらのオブジェクトが削除されます。

   • Microsoft Entra ID 内のオブジェクトであるユーザー オブジェクトは、論理的に削除されるので復元できます。
   • Microsoft Entra ID 内のオブジェクトであるグループ オブジェクトは、物理的に削除されるので復元できません。

   Microsoft Entra Connect 同期では、パイロット実施のシナリオ中の削除を防ぐ新しいリンクの種類が導入されました。

4. クラウド同期でオブジェクトの完全一致が実行されるように、パイロット スコープ内のオブジェクトに ms-ds-consistencyGUID が設定されていることを確認します。

5. この構成は、高度なシナリオ用です。 このチュートリアルに記載の手順に正確に従うようにします。

前提条件

このチュートリアルを完了するために必要な前提条件を次に示します。

• Microsoft Entra Connect 同期のバージョン 1.4.32.0 以降を備えたテスト環境
• 同期のスコープに含まれ、かつパイロットを使用できる OU またはグループ。 少数のオブジェクトから始めることをお勧めします。
• プロビジョニング エージェントをホストする Windows Server 2016 以降を実行するサーバー。
• Microsoft Entra Connect 同期のソース アンカーが objectGuid または ms-ds-consistencyGUID であること

Microsoft Entra Connect を更新する

少なくとも、Microsoft Entra Connect 1.4.32.0 が必要です。 Microsoft Entra Connect 同期を更新するには、「Microsoft Entra Connect: 最新バージョンへのアップグレード」の手順を実行します。

Microsoft Entra Connect 構成をバックアップする

何らかの変更を行う前に、Microsoft Entra Connect 構成をバックアップする必要があります。 これにより、以前の構成にロールバックできます。 詳細については、「Microsoft Entra Connect 構成設定のインポートとエクスポート」を参照してください。

スケジューラの停止

Microsoft Entra Connect 同期は、オンプレミス ディレクトリで発生する変更を、スケジューラを使用して同期します。 カスタム ルールを変更したり追加したりするには、変更作業中に同期が実行されないようスケジューラを無効にする必要があります。 スケジューラを停止するには、次の手順に従います。

1. Microsoft Entra Connect 同期を実行しているサーバー上で、管理特権を使用して PowerShell を開きます。
2. Stop-ADSyncSyncCycle を実行します。 Enter キーを押します。
3. Set-ADSyncScheduler -SyncCycleEnabled $false を実行します。

カスタム ユーザーの受信規則を作成する

Microsoft Entra Connect 同期ルール エディターでは、先に特定した OU 内のユーザーをフィルター除外する受信同期ルールを作成する必要があります。 受信同期規則は、cloudNoFlow のターゲット属性を持つ結合規則です。 このルールは、Microsoft Entra Connect にこれらのユーザーの属性を同期しないように指示します。 詳細については、運用環境の移行を試みる前にクラウド同期への移行に関するドキュメントを参照してください。

1. 以下に示すように、デスクトップのアプリケーション メニューから同期エディターを起動します。

   

2. [方向] のドロップダウン リストから [受信] を選択し、[新しいルールの追加] を選択します。

   

3. [説明] ページで次のように入力し、[次へ] を選択します。

   • [名前]: 規則にわかりやすい名前を付けます
   • 説明: わかりやすい説明を追加します
   • [接続先システム]: カスタム同期規則の作成対象となる AD コネクタを選択します
   • [Connected System Object Type](接続先システム オブジェクトの種類): User
   • [Metaverse Object Type](メタバース オブジェクトの種類): Person
   • [リンクの種類]: Join
   • [優先順位]: システム内で一意になる値を指定します
   • [タグ]: 空のままにします

   

4. [Scoping filter](スコープ フィルター) ページで、パイロットのベースとなる OU またはセキュリティ グループを入力します。 OU でフィルター処理するには、識別名の OU 部分を追加します。 この規則は、その OU に属しているすべてのユーザーに適用されます。 したがって、DN の末尾が "OU=CPUsers,DC=contoso,DC=com" である場合は、次のフィルターを追加することになります。 次に、[次へ] を選択します。

   ルール	属性	オペレーター	値
   スコープ OU	DN	ENDSWITH	OU の識別名。
   スコープ グループ		ISMEMBEROF	セキュリティ グループの識別名。

   

5. [結合] 規則ページで、[次へ] を選択します。

6. [変換] ページで、cloudNoFlow 属性に Constant transformation: flow True を追加します。 [追加] を選択します。

   

オブジェクトの種類すべて (ユーザー、グループ、連絡先) に対して同じ手順を実行する必要があります。 構成済みの AD コネクタごと、または AD フォレストごとに手順を繰り返します。

カスタム ユーザーの送信規則を作成する

また、リンクの種類が JoinNoFlow である送信同期規則と、cloudNoFlow 属性が True に設定されているスコープ フィルターも必要です。 このルールは、Microsoft Entra Connect にこれらのユーザーの属性を同期しないように指示します。 詳細については、運用環境の移行を試みる前にクラウド同期への移行に関するドキュメントを参照してください。

1. [方向] のドロップダウン リストから [送信] を選択し、[ルールの追加] を選択します。

   

2. [説明] ページで次のように入力し、[次へ] を選択します。

   • [名前]: 規則にわかりやすい名前を付けます
   • 説明: わかりやすい説明を追加します
   • 接続システム: カスタム同期ルールの作成対象となる Microsoft Entra コネクタを選択します
   • [Connected System Object Type](接続先システム オブジェクトの種類): User
   • [Metaverse Object Type](メタバース オブジェクトの種類): Person
   • [リンクの種類]: JoinNoFlow
   • [優先順位]: システム内で一意になる値を指定します
     
   • [タグ]: 空のままにします

   

3. [Scoping filter](スコープ フィルター) ページで、cloudNoFlow = True を選択します。 次に、[次へ] を選択します。

   

4. [結合] 規則ページで、[次へ] を選択します。

5. [変換] ページで [追加] を選択します。

オブジェクトの種類すべて (ユーザー、グループ、連絡先) に対して同じ手順を実行する必要があります。

Microsoft Entra プロビジョニング エージェントをインストールする

AD と Azure の基本的な環境に関するチュートリアルを使用している場合、これは CP1 になります。 エージェントをインストールするには、次の手順に従います。

1. Azure portal で、[Microsoft Entra ID] を選択します。
2. 左側の [Microsoft Entra Connect] を選択します。
3. 左側の [クラウド同期] を選びます。

4. 左側の [エージェント] を選びます。
5. [オンプレミス エージェントのダウンロード] を選び、[条件に同意してダウンロード] を選びます。

6. Microsoft Entra Connect プロビジョニング エージェント パッケージをダウンロードしたら、ダウンロード フォルダーから AADConnectProvisioningAgentSetup.exe インストール ファイルを実行します。

7. スプラッシュ スクリーンで [ライセンスと条件に同意する] を選んでから、[インストール] を選択します。

8. インストール操作が完了すると、構成ウィザードが起動します。 [次へ] を選択して構成を開始します。
9. [拡張機能の選択] 画面で、[人事主導のプロビジョニング (Workday や SuccessFactors) / Microsoft Entra Connect クラウド同期] を選び、[次へ] を選択します。

10. 少なくともハイブリッド ID 管理者ロールを持つアカウントでサインインします。 Internet Explorer のセキュリティ強化が有効になっている場合は、サインインがブロックされます。 その場合は、インストールを閉じ、Internet Explorer のセキュリティ強化を無効にして、Microsoft Entra Connect プロビジョニング エージェント パッケージのインストールを再開します。

11. [サービス アカウントの構成] 画面で、グループ管理サービス アカウント (gMSA) を選択します。 このアカウントはエージェント サービスの実行に使用されます。 管理サービス アカウントが別のエージェントによってドメインに既に構成されていて、2 つ目のエージェントをインストールしている場合は、[gMSA の作成] を選択します。これは、システムが既存のアカウントを検出し、新しいエージェントが gMSA アカウントを使用するために必要なアクセス許可を追加するためです。 ダイアログが表示されたら、次のいずれかを選びます。

• gMSA の作成: エージェントが provAgentgMSA$ 管理サービス アカウントを自動的に作成できるようにします。 グループ管理サービス アカウント (CONTOSO\provAgentgMSA$ など) は、ホスト サーバーが参加しているものと同じ Active Directory ドメインで作成されます。 このオプションを使用するには、Active Directory ドメイン管理者の資格情報を入力します (推奨)。
• カスタム gMSA を使用し、このタスク用に手動で作成した管理サービス アカウントの名前を指定します。

続けるには、 [次へ] を選択します。

12. [Active Directory の接続] 画面で、ドメイン名が [構成済みドメイン] の下に表示される場合は、次の手順に進みます。 それ以外の場合は、Active Directory ドメイン名を入力し、[ディレクトリの追加] を選択します。

13. Active Directory ドメイン管理者アカウントでサインインします。 ドメイン管理者アカウントには、有効期限が切れたパスワードがあってはなりません。 エージェントのインストール中にパスワードが期限切れになった場合や変更された場合は、新しい資格情報でエージェントを再構成する必要があります。 この操作によってオンプレミス ディレクトリが追加されます。 [OK] を選んでから、[次へ] を選択して続行します。

14. 次のスクリーンショットには、contoso.com 構成済みドメインの例が示されています。 [次へ] を選択して続行します。

15. [構成の完了] 画面で、 [確認] を選択します。 この操作によって、エージェントが登録されて再起動されます。

16. この操作が完了すると、[エージェントの構成が正常に検証されました] と通知されるはずです。[終了] を選択できます。

17. まだ最初のスプラッシュ スクリーンが表示される場合は、[閉じる] を選択します。

エエージェントのインストールを確認する

エージェントの確認は、Azure portal のほか、エージェントが実行されているローカル サーバーで行います。

Azure portal でのエージェントの確認

エージェントが Microsoft Entra ID で登録されていることを確認するには、以下の手順に従います。

1. Azure portal にサインインします。
2. [Microsoft Entra ID] を選びます。
3. [Microsoft Entra Connect] を選択し、[クラウド同期] を選択します。
4. [クラウド同期] ページに、インストールしたエージェントが表示されます。 エージェントが表示され、状態が正常であることを確認します。

ローカル サーバーの場合

エージェントが実行されていることを確認するには、次の手順に従います。

1. 管理者アカウントでサーバーにサインインします。
2. [サービス] を開きます。これには、そこに直接移動するか、スタート ボタンをクリックし、[ファイル名を指定して実行] で「Services.msc」と入力します。
3. [サービス] に [Microsoft Entra Connect Agent Updater] と [Microsoft Entra Connect プロビジョニング エージェント] が存在し、その状態が [実行中] になっていることを確認します。

プロビジョニング エージェントのバージョンを確認する

実行中のエージェントのバージョンを確認するには、以下の手順に従います。

1. 'C:\Program Files\Microsoft Azure AD Connect Provisioning Agent' に移動します
2. 'AADConnectProvisioningAgent.exe' を右クリックし、プロパティを選択します。
3. [詳細] タブをクリックすると、[製品バージョン] の横にバージョン番号が表示されます。

Microsoft Entra クラウド同期を構成する

プロビジョニングを構成するには、次の手順に従います。

1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
2. [ID]、[ハイブリッド管理]、[Microsoft Entra Connect]、[クラウド同期] の順に移動します。

3. [新しい構成] を選択します。
4. 構成画面で、ドメインと、パスワード ハッシュ同期を有効にするかどうかを選択します。[作成] をクリックしてください。

5. [作業の開始] 画面が開きます。

6. [概要] スクリーンで [スコープ フィルターの追加] アイコンの横の [スコープ フィルターの追加] をクリックするか、左側で [管理] の下の [スコープ フィルター] をクリックします。

7. スコープ フィルターを選択します。 このチュートリアルでは次の通り選択します。
   • 選択した組織単位: 特定の組織単位に適用するように構成のスコープを設定します。
8. ボックスに "OU=CPUsers,DC=contoso,DC=com" と入力します。

9. [追加] をクリックします。 [保存] をクリックします。

スケジューラの開始

Microsoft Entra Connect 同期は、オンプレミス ディレクトリで発生する変更を、スケジューラを使用して同期します。 規則の編集が完了したので、スケジューラを再起動してください。 次の手順に従います。

1. Microsoft Entra Connect 同期を実行しているサーバー上で、管理特権を使用して PowerShell を開きます
2. Set-ADSyncScheduler -SyncCycleEnabled $true を実行します。
3. Start-ADSyncSyncCycle を実行し、Enter キーを押します。

スケジューラが有効になると、何らかの参照属性 (manager など) が更新されない限り、Microsoft Entra Connect は、メタバースで cloudNoFlow=true が設定されたオブジェクトに対するすべての変更のエクスポートを停止します。 オブジェクトで何らかの参照属性の更新がある場合、Microsoft Entra Connect は cloudNoFlow シグナルを無視し、オブジェクトのすべての更新をエクスポートします。

問題が発生した場合

パイロットが期待通りに動作しない場合は、以下の手順に従って Microsoft Entra Connect 同期の設定に戻ることができます。

1. ポータルでプロビジョニング構成を無効にします。
2. 同期規則エディター ツールを使用してクラウド プロビジョニング用に作成されたカスタム同期規則をすべて無効にします。 無効にすると、すべてのコネクタで完全同期が実行されます。

次のステップ

• プロビジョニングとは
• Microsoft Entra クラウド同期とは?