Azure AD Connect クラウド プロビジョニングの前提条件Prerequisites for Azure AD Connect cloud provisioning

この記事では、ID ソリューションとして Azure Active Directory (Azure AD) クラウド プロビジョニングを選択して使用する方法に関するガイダンスを示します。This article provides guidance on how to choose and use Azure Active Directory (Azure AD) Connect cloud provisioning as your identity solution.

クラウド プロビジョニング エージェントの要件Cloud provisioning agent requirements

Azure AD Connect クラウド プロビジョニングを使用するには、次のものが必要です。You need the following to use Azure AD Connect cloud provisioning:

  • ゲスト ユーザーではない、Azure AD テナントの全体管理者アカウント。A global administrator account for your Azure AD tenant that is not a guest user.
  • Windows 2012 R2 以降を搭載した、プロビジョニング エージェント用のオンプレミス サーバーAn on-premises server for the provisioning agent with Windows 2012 R2 or later.
  • オンプレミスのファイアウォールの構成On-premises firewall configurations.

注意

現在、プロビジョニング エージェントは、英語の言語サーバーにのみインストールできます。The provisioning agent can currently only be installed on English language servers. 英語以外のサーバーに英語の言語パックをインストールすることは有効な回避策ではなく、エージェントのインストールが失敗します。Installing an English language pack on a non-English server is not a valid workaround and will result in the agent failing to install.

ここからは、これらの前提条件に関する詳細な手順について説明します。The rest of the document provides step-by-step instructions for these prerequisites.

Azure Active Directory 管理センターIn the Azure Active Directory admin center

  1. Azure AD テナントで、クラウド専用のグローバル管理者アカウントを作成します。Create a cloud-only global administrator account on your Azure AD tenant. その方法を採用すると、オンプレミス サービスが利用できなくなった場合にテナントの構成を管理できます。This way, you can manage the configuration of your tenant if your on-premises services fail or become unavailable. クラウド専用のグローバル管理者アカウントを追加する方法については、こちらをご覧ください。Learn about how to add a cloud-only global administrator account. テナントからロックアウトされないようにするには、この手順を実行する必要があります。Finishing this step is critical to ensure that you don't get locked out of your tenant.
  2. 1 つ以上のカスタム ドメイン名を Azure AD テナントに追加します。Add one or more custom domain names to your Azure AD tenant. ユーザーは、このドメイン名のいずれかを使用してサインインできます。Your users can sign in with one of these domain names.

Active Directory のディレクトリ内In your directory in Active Directory

IdFix ツールを実行して、同期用にディレクトリ属性を準備します。Run the IdFix tool to prepare the directory attributes for synchronization.

オンプレミスの環境の場合In your on-premises environment

  1. 4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを搭載した、Windows Server 2012 R2 以降が実行されているドメイン参加済みホスト サーバーを特定します。Identify a domain-joined host server running Windows Server 2012 R2 or greater with a minimum of 4-GB RAM and .NET 4.7.1+ runtime.

  2. サーバーと Azure AD の間にファイアウォールがある場合は、次の項目を構成します。If there's a firewall between your servers and Azure AD, configure the following items:

    • エージェントが次のポートを介して Azure AD に "送信" 要求を発行できるようにします。Ensure that agents can make outbound requests to Azure AD over the following ports:

      ポート番号Port number 用途How it's used
      8080 TLS/SSL 証明書を検証する際に、証明書失効リスト (CRL) をダウンロードします。Downloads the certificate revocation lists (CRLs) while validating the TLS/SSL certificate.
      443443 サービスを使用したすべての送信方向の通信を処理します。Handles all outbound communication with the service.
      8080 (省略可能)8080 (optional) ポート 443 が使用できない場合、エージェントは、ポート 8080 経由で 10 分おきにその状態をレポートします。Agents report their status every 10 minutes over port 8080, if port 443 is unavailable. この状態は Azure AD ポータルに表示されます。This status is displayed in the Azure AD portal.
    • ご利用のファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスを送信元とするトラフィックに対してこれらのポートを開放します。If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • ファイアウォールまたはプロキシで安全なサフィックスの指定が許可されている場合は、*.msappproxy.net および *.servicebus.windows.net への接続を追加します。If your firewall or proxy allows you to specify safe suffixes, add connections to *.msappproxy.net and *.servicebus.windows.net. そうでない場合は、毎週更新される Azure データセンターの IP 範囲へのアクセスを許可します。If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • エージェントは、初期登録のために login.windows.net と login.microsoftonline.com にアクセスする必要があります。Your agents need access to login.windows.net and login.microsoftonline.com for initial registration. これらの URL にもファイアウォールを開きます。Open your firewall for those URLs as well.

    • 証明書の検証のために、URL mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80、www.microsoft.com:80 のブロックを解除します。For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. 他の Microsoft 製品でもこれらの URL を証明書の検証に使用しているので、URL のブロックを既に解除している可能性もあります。These URLs are used for certificate validation with other Microsoft products, so you might already have these URLs unblocked.

ポートを確認するVerify the port

Azure によってポート 443 がリッスンされていて、エージェントとこのポートとの通信が可能であることを確認するには、次の URL を使用します。To verify that Azure is listening on port 443 and that your agent can communicate with it, use the following URL:

https://aadap-portcheck.connectorporttest.msappproxy.net/

このテストでは、ポート 443 を介してエージェントと Azure との通信が可能であることを確認します。This test verifies that your agents can communicate with Azure over port 443. ブラウザーを開き、エージェントがインストールされているサーバーから前の URL に移動します。Open a browser, and go to the previous URL from the server where the agent is installed.

ポートの到達可能性の確認

その他の要件Additional requirements

TLS の要件TLS requirements

注意

トランスポート層セキュリティ (TLS) は、セキュリティで保護された通信を規定するプロトコルです。Transport Layer Security (TLS) is a protocol that provides for secure communications. TLS 設定を変更すると、フォレスト全体に影響します。Changing the TLS settings affects the entire forest. 詳細については、「Windows の WinHTTP における既定の安全なプロトコルとして TLS 1.1 および TLS 1.2 を有効化する更新プログラム」を参照してください。For more information, see Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows.

Azure AD Connect クラウド プロビジョニング エージェントをホストする Windows サーバーでは、インストールする前に TLS 1.2 を有効にする必要があります。The Windows server that hosts the Azure AD Connect cloud provisioning agent must have TLS 1.2 enabled before you install it.

TLS 1.2 を有効にするには、次の手順に従います。To enable TLS 1.2, follow these steps.

  1. 次のレジストリ キーを設定します。Set the following registry keys:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. サーバーを再起動します。Restart the server.

次のステップNext steps