Microsoft Entra 統合を計画する

  • 13 分

Contoso の IT スタッフがクラウド サービスまたはアプリケーションを IT 環境に実装する場合、通常は、ローカル アプリケーションとクラウドベースのアプリケーションに対して単一の ID ストアを使用したいと考えます。 ディレクトリ同期を使用することで、オンプレミスの AD DS を Microsoft Entra ID と接続できます。

ディレクトリ同期とは

ディレクトリ同期は、オンプレミスの AD DS と Microsoft Entra ID の間のユーザー、グループ、連絡先の同期を可能にします。 最も単純な形式では、ディレクトリ同期コンポーネントをオンプレミス ドメインのサーバーにインストールします。 その後、オンプレミス AD DS に対するドメイン管理者とエンタープライズ管理者のアクセス権を持つアカウントと、Microsoft Entra ID に対する管理者アクセス権を持つ別のアカウントを指定して実行します。

その後、AD DS から選択したユーザー アカウント、グループ、および連絡先が Microsoft Entra ID にレプリケートされます。 その後、ユーザーはそれらのアカウントを使用して、認証に Microsoft Entra ID を利用する Azure サービスにサインインしてアクセスできます。

パスワード同期をアクティブ化しない限り、ユーザーはオンプレミス環境とは別のパスワードを使用して Azure リソースにサインインします。 パスワード同期を実装した場合でも、ドメインに参加しているコンピューター上の Azure リソースにアクセスするときは、ユーザーは資格情報の入力を求められます。 パスワード同期の利点は、Azure リソースにサインインするときに、ユーザーがドメイン ログインと同じユーザー名とパスワードを使用できることです。 これを SSO と混同しないようにしてください。 パスワード同期で提供される動作は、"同じサインイン" と呼ばれます。

Azure では、同期フローはローカル AD DS から Azure への一方向です。 ただし、Microsoft Entra ID P1 または P2 の機能では、一部の属性が逆の方向にレプリケートされます。 たとえば、Microsoft Entra ID からオンプレミスの AD DS、およびグループとデバイスにパスワードを書き戻すように Azure を構成できます。 オンプレミスの AD DS の全体を同期したくない場合のために、Microsoft Entra ID のディレクトリ同期では、以下の値に基づく属性フローの限定的なフィルター処理とカスタマイズがサポートされています。

  • OU
  • Domain
  • ユーザー属性
  • アプリケーション

Microsoft Entra Connect

Microsoft Entra Connect (Microsoft Entra Connect) を使用して、オンプレミスの AD DS と Microsoft Entra ID の間の同期を実行できます。 Microsoft Entra Connect はウィザードベースのツールであり、オンプレミスの ID インフラストラクチャと Azure の間の接続を可能とするように設計されています。 ウィザードを使用してトポロジと要件を選択すると、必要なすべてのコンポーネントがウィザードでデプロイおよび構成されます。 選択された要件に応じて、次のものが含まれる場合があります。

  • Azure Active Directory Sync (Azure AD Sync)
  • Exchange ハイブリッドのデプロイメント
  • パスワード変更の書き戻し
  • AD FS および AD FS のプロキシ サーバーまたは Web アプリケーション プロキシ
  • Microsoft Graph PowerShell モジュール

Note

ほとんどの組織は、Microsoft Entra Connect をホストする専用の同期サーバーをデプロイしています。

Microsoft Entra Connect を実行すると、以下のことが起きます。

  • オンプレミスの AD DS の新しいユーザー、グループ、連絡先オブジェクトが、Microsoft Entra ID に追加されます。 ただし、Microsoft 365 などのクラウド サービスのライセンスは、これらのオブジェクトに自動的には割り当てられません。
  • オンプレミスの AD DS で変更された既存のユーザー、グループ、連絡先オブジェクトの属性が、Microsoft Entra ID で変更されます。 ただし、オンプレミスの AD DS のすべての属性が、Microsoft Entra ID に同期されるわけではありません。 Microsoft Entra Connect の同期マネージャー コンポーネントを使用することで、Microsoft Entra ID に同期する属性のセットを構成できます。
  • オンプレミスの AD DS から削除された既存のユーザー、グループ、連絡先オブジェクトが、Microsoft Entra ID から削除されます。
  • オンプレミスで無効になっている既存のユーザー オブジェクトは、Azure で無効になっています。 ただし、ライセンスは自動的には割り当て解除されません。

Microsoft Entra ID では、オブジェクトごとに単一の権限ソースがあることが必要です。 したがって、Microsoft Entra Connect のシナリオでは、Active Directory 同期を実行している際には、Active Directory のユーザーとコンピューターや Windows PowerShell などのツールを使用して、オンプレミスの AD DS 内からオブジェクトの大元を操作していることを理解しておくことが重要です。 ただし、権限ソースはオンプレミスの AD DS です。 最初の同期サイクルが完了すると、権限ソースはクラウドからオンプレミスの AD DS に転送されます。 その後のクラウド オブジェクトへの変更 (ライセンスを除く) はすべて、オンプレミスの AD DS ツールから行われます。 対応するクラウド オブジェクトは読み取り専用であり、権限ソースがオンプレミス AD DS の場合は、書き戻しを可能にする一部のテクノロジを実装していない限り、Microsoft Entra 管理者はクラウド オブジェクトを編集できません。

Microsoft Entra Connect の実行に必要なアクセス許可とアカウント

Microsoft Entra Connect を実装するには、ローカル AD DS と Microsoft Entra ID の両方で必要なアクセス許可が割り当てられたアカウントが必要です。 Microsoft Entra Connect のインストールと構成には、以下のアカウントが必要です。

  • Azure テナント (組織アカウントなど) のグローバル管理者アクセス許可を持つ Azure アカウント。これは、アカウント自体の設定に使用されたアカウントではありません。
  • オンプレミスの AD DS でエンタープライズ管理者のアクセス許可を持つオンプレミスのアカウント。 Microsoft Entra Connect ウィザードでは、この目的のために既存のアカウントを使用するか、ウィザードにアカウントを作成させるかを選択できます。

Microsoft Entra Connect では、Azure の全体管理者アカウントを使用して、Microsoft Entra Connect 構成ウィザードの実行時にオブジェクトのプロビジョニングと更新を行います。 Azure テナント管理者アカウントは使用できないため、ディレクトリ同期で使用するために、Azure で専用のサービス アカウントを作成する必要があります。 この制限は、Azure の設定に使用したアカウントのドメイン名サフィックスがドメイン名と一致していない可能性があるためです。 アカウントは、グローバル管理者ロール グループのメンバーである必要があります。

オンプレミス環境では、Microsoft Entra Connect のインストールと構成に使用するアカウントには、以下のアクセス許可が必要です。

  • AD DS でのエンタープライズ管理者のアクセス許可。 このアクセス許可は、Active Directory で同期ユーザー アカウントを作成するために必要です。
  • ローカル コンピューターの管理者のアクセス許可。 このアクセス許可は、Microsoft Entra Connect ソフトウェアをインストールするために必要です。

Microsoft Entra Connect の構成と、構成ウィザードの実行に使用するアカウントは、ローカル コンピューターの ADSyncAdmins グループに属している必要があります。 既定では、Microsoft Entra Connect のインストールに使用するアカウントは、このグループに自動的に追加されます。

Note

AD Connect のインストールに使用するアカウントは、製品のインストール時に ADSyncAdmins グループに自動的に追加されます。 アカウントが次回サインインに使用されるまでグループ セキュリティ識別子 (SID) を取得しないため、Sychronization Service Manager インターフェイスを使用するには、サインアウトしてからもう一度サインインする必要があります。

Active Directory ユーザーとコンピューターのスクリーンショット。管理者は、MSOL_c778af008d92 と AAD_c778af008d92 の 2 つのアカウントを開いています。両方のアカウントで [全般] タブが選択されています。

エンタープライズ管理者アカウントは Microsoft Entra Connect をインストールして構成するときに必要なだけですが、その資格情報は、構成ウィザードによって格納されたり保存されたりはしません。 そのため、Microsoft Entra Connect のインストールと構成用の特別な Microsoft Entra Connect 管理者アカウントを作成し、Microsoft Entra Connect 設定時に、このアカウントをエンタープライズ管理者グループに割り当てる必要があります。 ただし、この Microsoft Entra Connect 管理者アカウントは、Microsoft Entra Connect のセットアップの完了後に、エンタープライズ管理者グループから削除する必要があります。 次の表に、Microsoft Entra Connect の構成中に作成されるアカウントの詳細を示します。

Account 説明
MSOL_<id> このアカウントは Microsoft Entra Connect のインストール中に作成され、Azure テナントと同期するように構成されます。 このアカウントには、オンプレミスの AD DS でのディレクトリレプリケーションのアクセス許可と、ハイブリッド デプロイを有効にするための特定の属性に対する書き込みアクセス許可があります。
AAD_<id> これは同期エンジンのサービス アカウントです。 期限切れにならないように自動的に構成された、ランダムに生成された複雑なパスワードを使用して作成されます。 ディレクトリ同期サービスが実行されると、サービス アカウントの資格情報を使用してローカル Active Directory から読み取りが行われ、同期データベースの内容が Azure に書き込まれます。 これは、Microsoft Entra Connect 構成ウィザードで入力したテナント管理者の資格情報を使用して行われます。

注意事項

Microsoft Entra Connect は、セットアップ中に作成されたアカウントを使用して常に実行を試みるため、Microsoft Entra Connect をインストールした後は、Microsoft Entra Connect のサービス アカウントを変更するべきではありません。 アカウントを変更すると、Microsoft Entra Connect は実行を停止し、スケジュールされた同期は行われなくなります。

追加の参考資料

さらに学習するには、次のドキュメントを参照してください。