既存の同期済み AD フォレストに対してクラウド同期のパイロットを実施する

このチュートリアルでは、Azure Active Directory (Azure AD) Connect 同期を使用して既に同期されているテスト用 Active Directory フォレストに対して、クラウド同期のパイロットを実施する手順について説明します。

Create

考慮事項

このチュートリアルを試す前に、次の点を考慮してください。

  1. クラウド同期の基礎を理解しておきます。

  2. Azure AD Connect 同期バージョン 1.4.32.0 以降が実行されていることと、同期ルールが説明どおりに構成されていることを確認します。 パイロットを実施する際に、Azure AD Connect 同期のスコープからテスト OU またはグループを削除します。 スコープからオブジェクトを移動すると、それらのオブジェクトが Azure AD から削除されます。 ユーザー オブジェクトの場合、Azure AD 内のオブジェクトは論理的に削除されるので、復元できます。 グループ オブジェクトの場合は、Azure AD 内のオブジェクトが物理的に削除されるので、復元することはできません。 パイロット実施中の削除を防ぐ新しいリンク タイプが Azure AD Connect 同期に導入されました。

  3. クラウド同期でオブジェクトの完全一致が実行されるように、パイロット スコープ内のオブジェクトに ms-ds-consistencyGUID が設定されていることを確認します。

    注意

    Azure AD Connect 同期では、グループ オブジェクトの ms-ds-consistencyGUID が既定では設定されません。

  4. これは高度なシナリオです。 このチュートリアルに記載の手順に正確に従うようにします。

前提条件

このチュートリアルを完了するために必要な前提条件を次に示します。

  • Azure AD Connect 同期バージョン 1.4.32.0 以降がインストールされたテスト環境
  • 同期のスコープに含まれ、かつパイロットを使用できる OU またはグループ。 少数のオブジェクトから始めることをお勧めします。
  • プロビジョニング エージェントのホストとなる Windows Server 2012 R2 以降を実行するサーバー。
  • Azure AD Connect 同期のソース アンカーが objectGuid または ms-ds-consistencyGUID であること。

Azure AD Connect を更新する

Azure AD Connect バージョン 1.4.32.0 以上を使用している必要があります。 Azure AD Connect 同期を更新するには、「Azure AD Connect: 旧バージョンから最新バージョンにアップグレードする」の手順を完了してください。

スケジューラの停止

Azure AD Connect 同期は、オンプレミス ディレクトリで発生した変更を、スケジューラを使用して同期します。 カスタム ルールを変更したり追加したりするには、その作業を行っている間に同期が実行されないようスケジューラを無効にする必要があります。 次の手順に従います。

  1. Azure AD Connect 同期が実行されているサーバー上で、管理特権を使用して PowerShell を開きます。
  2. Stop-ADSyncSyncCycle を実行します。 Enter キーを押します。
  3. Set-ADSyncScheduler -SyncCycleEnabled $false を実行します。

注意

Azure AD Connect 同期用に独自のカスタム スケジューラを実行している場合は、スケジューラを無効にしてください。

カスタム ユーザーの受信規則を作成する

  1. 以下に示すように、デスクトップのアプリケーション メニューから同期エディターを起動します。
    Synchronization Rule Editor Menu

  2. [方向] のドロップダウン リストから [受信] を選択し、 [新しいルールの追加] をクリックします。 。Screenshot that shows the

  3. [説明] ページで次のように入力し、 [次へ] をクリックします。

    [名前]: 規則にわかりやすい名前を付けます
    説明: わかりやすい説明を追加します
    [Connected System](接続先システム): カスタム同期規則の作成対象となる AD コネクタを選択します
    [Connected System Object Type](接続先システム オブジェクトの種類): User
    [Metaverse Object Type](メタバース オブジェクトの種類): Person
    [リンクの種類]: Join
    [優先順位]: システム内で一意になる値を指定します
    [タグ]: 空のままにします
    Screenshot that shows the

  4. [Scoping filter](スコープ フィルター) ページで、パイロットのベースとなる OU またはセキュリティ グループを入力します。 OU でフィルター処理するには、識別名の OU 部分を追加します。 この規則は、その OU に属しているすべてのユーザーに適用されます。 したがって、DN の末尾が "OU=CPUsers,DC=contoso,DC=com" である場合は、次のフィルターを追加することになります。 続けて、 [次へ] をクリックします。

    ルール 属性 演算子
    スコープ OU DN ENDSWITH OU の識別名。
    スコープ グループ ISMEMBEROF セキュリティ グループの識別名。

    Screenshot that shows the Create inbound synchronization rule - Scoping filter page with a scoping filter value entered.

  5. [Join rules](結合規則) ページで、 [次へ] をクリックします。

  6. [変換] ページで、cloudNoFlow 属性に Constant transformation: flow True を追加します。 [追加] をクリックします。 。Screenshot that shows the Create inbound synchronization rule - Transformations page with a Constant transformation flow added.

オブジェクトの種類すべて (ユーザー、グループ、連絡先) に対して同じ手順を実行する必要があります。 構成済みの AD コネクタごと、または AD フォレストごとに手順を繰り返します。

カスタム ユーザーの送信規則を作成する

  1. [方向] のドロップダウン リストから [送信] を選択し、 [ルールの追加] をクリックします。 。Screenshot that shows the Outbound Direction selected and the Add new rule button highlighted.

  2. [説明] ページで次のように入力し、 [次へ] をクリックします。

    [名前]: 規則にわかりやすい名前を付けます
    説明: わかりやすい説明を追加します
    [Connected System](接続先システム): カスタム同期規則の作成対象となる Azure AD コネクタを選択します
    [Connected System Object Type](接続先システム オブジェクトの種類): User
    [Metaverse Object Type](メタバース オブジェクトの種類): Person
    [リンクの種類]: JoinNoFlow
    [優先順位]: システム内で一意になる値を指定します
    [タグ]: 空のままにします

    Screenshot that shows the Description page with properties entered.

  3. [Scoping filter](スコープ フィルター) ページで、cloudNoFlow = True を選択します。 続けて、 [次へ] をクリックします。 。Custom rule

  4. [Join rules](結合規則) ページで、 [次へ] をクリックします。

  5. [変換] ページで [追加] をクリックします。

オブジェクトの種類すべて (ユーザー、グループ、連絡先) に対して同じ手順を実行する必要があります。

Azure AD Connect プロビジョニング エージェントをインストールする

  1. 使用するサーバーにエンタープライズ管理者のアクセス許可でサインインします。 AD と Azure の基本的な環境に関するチュートリアルを使用している場合、これは CP1 になります。

  2. こちらに記載されている手順を使用して、Azure AD Connect クラウド プロビジョニング エージェントをダウンロードします。

  3. Azure AD Connect クラウド同期 (AADConnectProvisioningAgent.Installer) 1 を実行します。 スプラッシュ スクリーンでライセンス条項に同意し、 [インストール] をクリックします。

    Screenshot that shows the Microsoft Azure A D Connect Provisioning Agent splash screen.

  4. この操作が完了すると、構成ウィザードが起動します。 Azure AD 全体管理者アカウントでサインインします。

  5. [Connect Active Directory](Active Directory の接続) 画面で [ディレクトリの追加] をクリックし、Active Directory 管理者アカウントを使用してサインインします。 この操作によってオンプレミス ディレクトリが追加されます。 [次へ] をクリックします。

    Screenshot that shows the Connect Active Directory screen with a directory value entered.

  6. [構成が完了しました] 画面で、 [Confirm](確認) をクリックします。 この操作によって、エージェントが登録されて再起動されます。

    Screenshot that shows the Configuration complete screen with the Confirm button selected.

  7. この操作が完了すると、"正常に検証されました。" という通知が表示されます。[終了] を選択できます。

    Welcome screen

  8. まだ最初のスプラッシュ スクリーンが表示されている場合は、 [閉じる] をクリックします。

エエージェントのインストールを確認する

エージェントの確認は、Azure portal のほか、エージェントが実行されているローカル サーバーで行います。

Azure portal でのエージェントの確認

エージェントが Azure で表示されていることを確認するには、次の手順を実行します。

  1. Azure portal にサインインします。

  2. 左側の [Azure Active Directory] を選択して [Azure AD Connect] をクリックし、中央の [クラウド同期の管理] を選択します。
    Azure portal

  3. [Azure AD Connect cloud sync](Azure AD Connect クラウド同期) 画面で、 [すべてのエージェントの確認] をクリックします。 。Azure AD Provisioning

  4. [On-premises provisioning agents](オンプレミス プロビジョニング エージェント) 画面に、インストールしたエージェントが表示されます。 該当するエージェントが存在し、 [無効] としてマークされていることを確認します。 既定では、エージェントが無効になっています。Provisioning agents

ローカル サーバーの場合

エージェントが実行されていることを確認するには、次の手順に従います。

  1. 管理者アカウントでサーバーにログオンします。

  2. [サービス] を開きます。これには、そこに直接移動するか、スタート ボタンをクリックし、[ファイル名を指定して実行] で「Services.msc」と入力します。

  3. [サービス][Microsoft Azure AD Connect Agent Updater][Microsoft Azure AD Connect Provisioning Agent] が存在することと、その状態が [実行中] になっていることを確認します。

    Services

Azure AD Connect クラウド同期を構成する

プロビジョニングを構成するには、次の手順に従います。

  1. Azure AD ポータルにサインインします。
  2. [Azure Active Directory] をクリックします。
  3. [Azure AD Connect] をクリックします。
  4. [クラウド同期の管理] を選択します。Screenshot showing
  5. [新しい構成] をクリックします。Screenshot of Azure AD Connect cloud sync screen with
  6. 構成画面で、通知用メール アドレスを入力し、セレクターを [有効] に移動して、 [保存] をクリックします。 。Screenshot of Configure screen with Notification email filled in and Enable selected.
  7. [構成][すべてのユーザー] を選択して、構成規則のスコープを変更します。 。Screenshot of Configure screen with
  8. 右側で、先ほど作成した特定の OU "OU=CPUsers,DC=contoso,DC=com" が含まれるようにスコープを変更します。 。Screenshot of the Scope users screen highlighting the scope changed to the OU you created.
  9. [完了][保存] の順にクリックします。
  10. この時点でスコープは、1 つの組織単位に設定されている必要があります。 。Screenshot of Configure screen with

クラウド同期によってユーザーがプロビジョニングされていることを確認する

オンプレミスのディレクトリに存在していたユーザーが同期され、現在は Azure AD テナントに存在することを確認します。 これが完了するまでに数時間かかる場合があることに注意してください。 クラウド同期によってユーザーがプロビジョニングされていることを確認するには、次の手順に従います。

  1. Azure portal に移動し、Azure サブスクリプションがあるアカウントを使ってサインインします。
  2. 左側の [Azure Active Directory] を選択します。
  3. [Azure AD Connect] をクリックします。
  4. [Manage cloud sync](クラウド同期の管理) をクリックします。
  5. [ログ] ボタンをクリックします。
  6. ユーザー名を検索して、そのユーザーがクラウド同期によってプロビジョニングされていることを確認します。

さらに、ユーザーとグループが Azure AD に存在することを確認できます。

スケジューラの開始

Azure AD Connect 同期は、オンプレミス ディレクトリで発生した変更を、スケジューラを使用して同期します。 規則の編集が完了したので、スケジューラを再起動してください。 次の手順に従います。

  1. Azure AD Connect 同期が実行されているサーバー上で、管理特権を使用して PowerShell を開きます。
  2. Set-ADSyncScheduler -SyncCycleEnabled $true を実行します。
  3. Start-ADSyncSyncCycle を実行し、Enter キーを押します。

注意

Azure AD Connect 同期用に独自のカスタム スケジューラを実行している場合は、スケジューラを有効にしてください。

スケジューラが有効になると、参照属性 (manager など) が更新されていない限り、Azure AD Connect によって、メタバースで cloudNoFlow=true が設定されたオブジェクトに対する変更のエクスポートが停止されます。 オブジェクトに参照属性の更新がある場合、Azure AD Connect では cloudNoFlow シグナルを無視し、オブジェクトのすべての更新をエクスポートします。

問題が発生した場合

パイロットが正しく機能しない場合は、次の手順に従って Azure AD Connect 同期の設定に戻ることができます。

  1. Azure portal でプロビジョニング構成を無効にします。
  2. 同期規則エディター ツールを使用してクラウド プロビジョニング用に作成されたカスタム同期規則をすべて無効にします。 無効にすると、すべてのコネクタで完全同期が実行されます。

次のステップ