Microsoft Entra Connect: 自動アップグレード
Microsoft Entra Connect の自動アップグレードは、Microsoft Entra Connect の新しいバージョンを定期的にチェックする機能です。 サーバーが自動アップグレードに対応していて、そのサーバーが適合している新しいバージョンが見つかった場合、その新しいバージョンへの自動アップグレードが実行されます。 セキュリティ上の理由により、自動アップグレードを実行するエージェントでは、ダウンロードされたバージョンのデジタル署名に基づいて Microsoft Entra Connect の新しいビルドが検証されることに注意してください。
Note
Microsoft Entra Connect はモダン ライフサイクル ポリシーに従います。 モダン ライフサイクル ポリシーに基づく製品とサービスの変更は、より頻繁に行われる可能性があり、顧客に対して製品またはサービスに対する今後の変更に関する通知が必要です。
モダン ポリシーによって管理される製品は、継続的なサポートとサービス モデルに従います。 サポートを維持するには、最新の更新プログラムを使用する必要があります。
モダン ライフサイクル ポリシーによって管理される製品とサービスの場合、Microsoft のポリシーでは、顧客がアクションを実行する必要があるときに、製品またはサービスの通常の効用が大幅に低下しないように、少なくとも 30 日前に通知を提供します。
概要
Microsoft Entra Connect のインストールを常に最新の状態に保つことは、自動アップグレード 機能によって、これまでよりも簡単になりました。 この機能は、高速インストールと DirSync のアップグレード用に既定で有効になっています。 インストールは新しいバージョンのリリース時に自動的にアップグレードされます。 自動アップグレードは、次の場合に既定で有効です。
- 簡単設定インストールと DirSync のアップグレード。
- SQL Express LocalDB を使用している (簡単設定で常に使用されます)。 SQL Express を使用した DirSync でも、LocalDB が使用されます。
- AD アカウントが、簡単設定と DirSync によって作成される既定の MSOL_ アカウントである場合。
- メタバース内のオブジェクト数が 100,000 未満。
自動アップグレードの現在の状態は、PowerShell コマンドレット Get-ADSyncAutoUpgradeで表示できます。 次のような状態があります。
| State | 解説 |
|---|---|
| Enabled | 自動アップグレードが有効です。 |
| Suspended | システムによる設定だけが可能です。 システムは、自動アップグレードを現在受け付けることができません。 |
| 無効 | 自動アップグレードが無効です。 |
Set-ADSyncAutoUpgrade を使用して、有効と無効を切り替えることができます。 システムだけが、状態を 保留に設定することができます。 1\.1.750.0 より前は、自動アップグレードの状態が一時停止に設定されている場合に、Set-ADSyncAutoUpgrade コマンドレットによって Autoupgrade がブロックされていました。 この機能は変更されたため、AutoUpgrade はブロックされません。
自動アップグレードでは、アップグレード インフラストラクチャに Microsoft Entra Connect Health を使用しています。 自動アップグレードを動作させるには、「Office 365 URL および IP アドレス範囲」に記載されているように、 Microsoft Entra Connect Health用にプロキシ サーバーで URL を開いておく必要があります。
Synchronization Service Manager UI がサーバーで実行されている場合は、UI が閉じられるまで、アップグレードが中断されます。
Note
Microsoft Entra Connect のすべてのリリースが自動アップグレードに対応しているわけではありません。 リリースの状態により、リリースが自動アップグレードに対応しているか、ダウンロードにのみ対応しているかが示されます。 Microsoft Entra Connect サーバーに対して自動アップグレードが有効になっており、自動アップグレードの適格性が構成にある場合、そのサーバーは、自動アップグレードのためにリリースされた Microsoft Entra Connect の最新バージョンに自動的にアップグレードされます。 詳細については、記事「Microsoft Entra Connect: バージョンのリリース履歴」を参照してください。
自動アップグレードの適格性
自動アップグレードの適格性を得るには、次のいずれかの条件を満たしてはなりません。
| 結果メッセージ | 説明 |
|---|---|
| UpgradeNotSupportedCustomizedSyncRules | ユーザーが構成に独自のカスタム ルールを追加しました。 |
| UpgradeNotSupportedInvalidPersistedState | インストールが簡単設定でも DirSync のアップグレードでもありません。 |
| UpgradeNotSupportedNonLocalDbInstall | SQL Server Express LocalDB データベースが使用されていません。 |
| UpgradeNotSupportedLocalDbSizeExceeded | ローカル DB のサイズが 8 GB 以上です。 |
| UpgradeNotSupportedAADHealthUploadDisabled | 正常性データのアップロードがポータルから無効になっています。 |
トラブルシューティング
インストール済みの Connect が想定されているとおりに自動的にアップグレードしない場合は、次の手順を実行して問題の原因を特定してください。
注意点として、自動アップグレードは新しいバージョンがリリースされた当日に試行されるわけではありません。 アップグレードを試行する前に意図的にランダムな時間をおくため、アップグレードがすぐに実行されなくても心配する必要はありません。
問題が生じていると思われる場合は、最初に Get-ADSyncAutoUpgrade を実行して、自動アップグレードが有効になっていることを確認してください。
状態が中断になっている場合は、Get-ADSyncAutoUpgrade -Detail を使用して理由を表示できます。 中断の理由には任意の文字列値を含めることができますが、通常は UpgradeResult の文字列値 (つまり、UpgradeNotSupportedNonLocalDbInstall または UpgradeAbortedAdSyncExeInUse) が格納されます。 UpgradeFailedRollbackSuccess-GetPasswordHashSyncStateFailed などの複合値が返される場合もあります。
また、UpgradeResult ではない結果 (つまり、"AADHealthEndpointNotDefined" または "DirSyncInPlaceUpgradeNonLocalDb") を取得する場合もあります。
その後、プロキシまたはファイアウォールで必要な URL を開いていることを確認してください。 自動更新は、「概要」で説明されているように、Microsoft Entra Connect Health が使用されています。 プロキシを使用する場合は、 プロキシ サーバーを使用するよう Health が構成されていることを確認します。 また、Microsoft Entra ID への正常性接続もテストします。
Microsoft Entra ID への接続が確認されたら、イベント ログを調査します。 イベント ビューアーを起動し、 [アプリケーション] イベントログを確認します。 ソースとして [Microsoft Entra Connect のアップグレード] を選択し、イベント ID 範囲に [300-399] を指定したイベント ログ フィルターを追加します。
これで、自動アップグレードの状態に関連するイベント ログが表示されます。
結果コードには、状態についての概要を含むプレフィックスが付加されています。
| 結果コードのプレフィックス | 説明 |
|---|---|
| Success | 正常にアップグレードしました。 |
| UpgradeAborted | 一時的な状況により、アップグレードが停止しました。 後でもう一度試すと、成功することが予想されます。 |
| UpgradeNotSupported | システム内に、自動アップグレードをブロックしている構成があります。 状態が変更中であるかどうかを確認するためにもう一度試行されますが、システムを手動でアップグレードする必要があると考えられます。 |
特によく表示されるメッセージの一覧を次に示します。 これですべてではありませんが、結果メッセージを見ると、何が問題となっているかが把握しやすくなります。
| 結果メッセージ | 説明 |
|---|---|
| UpgradeAborted | |
| UpgradeAbortedCouldNotSetUpgradeMarker | レジストリに書き込むことができません。 |
| UpgradeAbortedInsufficientDatabasePermissions | 組み込みの Administrators グループにデータベースへのアクセス許可がありません。 これを解決するには、最新バージョンの Microsoft Entra Connect に手動でアップグレードしてください。 |
| UpgradeAbortedInsufficientDiskSpace | アップグレードをサポートするのに十分なディスク領域がありません。 |
| UpgradeAbortedSecurityGroupsNotPresent | 同期エンジンで使用されるすべてのセキュリティ グループが見つからず、解決できません。 |
| UpgradeAbortedServiceCanNotBeStarted | NT サービス Microsoft Entra Sync を起動できませんでした。 |
| UpgradeAbortedServiceCanNotBeStopped | NT サービス Microsoft Entra Sync を停止できませんでした。 |
| UpgradeAbortedServiceIsNotRunning | NT サービス Microsoft Entra Sync が実行されていません。 |
| UpgradeAbortedSyncCycleDisabled | スケジューラ の SyncCycle オプションが無効になっています。 |
| UpgradeAbortedSyncExeInUse | サーバーで Sychronization Service Manager UI が開いています。 |
| UpgradeAbortedSyncOrConfigurationInProgress | インストール ウィザードが実行されているか、同期がスケジューラ以外の場所でスケジュールされました。 |
| UpgradeNotSupported | |
| UpgradeNotSupportedCustomizedSyncRules | ユーザーが構成に独自のカスタム ルールを追加しました。 |
| UpgradeNotSupportedInvalidPersistedState | インストールが簡単設定でも DirSync のアップグレードでもありません。 |
| UpgradeNotSupportedNonLocalDbInstall | SQL Server Express LocalDB データベースが使用されていません。 |
| UpgradeNotSupportedLocalDbSizeExceeded | ローカル DB のサイズが 8 GB 以上です。 |
| UpgradeNotSupportedAADHealthUploadDisabled | 正常性データのアップロードがポータルから無効になっています。 |
次のステップ
オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。