オンプレミスのディレクトリと Azure Active Directory の統合Integrate your on-premises directories with Azure Active Directory

Azure AD Connect は、オンプレミスのディレクトリと Azure Active Directory を統合する機能です。Azure AD Connect will integrate your on-premises directories with Azure Active Directory. Office 365、Azure、SaaS など Azure AD と連動するアプリケーションに関して、ユーザーの ID を共通化することができます。This allows you to provide a common identity for your users for Office 365, Azure, and SaaS applications integrated with Azure AD. このトピックでは、計画、デプロイ、運用の各手順を紹介しています。This topic will guide you through the planning, deployment, and operation steps. 関連するトピックのリンク集としてご利用ください。It is a collection of links to the topics related to this area.

Azure AD Connect とは

Azure AD Connect を使用する理由Why use Azure AD Connect

オンプレミスのディレクトリと Azure AD を統合すると、クラウドとオンプレミス両方のリソースにアクセスするための共通の ID が提供されるため、ユーザーの生産性が向上します。Integrating your on-premises directories with Azure AD makes your users more productive by providing a common identity for accessing both cloud and on-premises resources. ユーザーや組織にとっては次の利点があります。Users and organizations can take advantage of the following:

  • ユーザーは、単一の ID を使ってオンプレミスのアプリケーションとクラウド サービス (Office 365 など) にアクセスできます。Users can use a single identity to access on-premises applications and cloud services such as Office 365.
  • 単一のツールにより、同期とサインインのための容易なデプロイメントを実現できます。Single tool to provide an easy deployment experience for synchronization and sign-in.
  • それぞれのシナリオに適した最新の機能が手に入ります。Provides the newest capabilities for your scenarios. Azure AD Connect は、DirSync や Azure AD Sync など、旧バージョンの ID 統合ツールの後継ツールです。詳細については、「 ハイブリッド ID ディレクトリ統合ツールの比較」を参照してください。Azure AD Connect replaces older versions of identity integration tools such as DirSync and Azure AD Sync. For more information, see Hybrid Identity directory integration tools comparison.

Azure AD Connect の動作How Azure AD Connect works

Azure Active Directory Connect は、同期サービスと Active Directory フェデレーション サービス コンポーネント (オプション)、監視コンポーネント ( Azure AD Connect Health) という主に 3 つのコンポーネントで構成されています。Azure Active Directory Connect is made up of three primary components: the synchronization services, the optional Active Directory Federation Services component, and the monitoring component named Azure AD Connect Health.

Azure AD Connect Stack
Azure AD Connect Stack

  • 同期 - ユーザーやグループなどのオブジェクトを作成するためのコンポーネントです。Synchronization - This component is responsible for creating users, groups, and other objects. さらに、オンプレミス ユーザーやオンプレミス グループの ID 情報をクラウド側と一致させる働きをします。It is also responsible for making sure identity information for your on-premises users and groups is matching the cloud.
  • AD FS - Azure AD Connect のオプション コンポーネントです。オンプレミスの AD FS インフラストラクチャと組み合わせることでハイブリッド環境を構成できます。AD FS - Federation is an optional part of Azure AD Connect and can be used to configure a hybrid environment using an on-premises AD FS infrastructure. ドメイン参加による SSO や AD サインイン ポリシーの適用、スマート カードやサード パーティの MFA など、複雑なデプロイに対応する組織で利用できます。This can be used by organizations to address complex deployments, such as domain join SSO, enforcement of AD sign-in policy, and smart card or 3rd party MFA.
  • 正常性の監視 - Azure AD Connect Health により、強力に監視し、Azure ポータルでこのアクティビティを一元的に表示できます。Health Monitoring - Azure AD Connect Health can provide robust monitoring and provide a central location in the Azure portal to view this activity. 詳細については、「 Azure Active Directory Connect Health」を参照してください。For additional information, see Azure Active Directory Connect Health.

Azure AD Connect のインストールInstall Azure AD Connect

Azure AD Connect は Microsoft ダウンロード センターからダウンロードできます。You can find the download for Azure AD Connect on Microsoft Download Center.

解決策Solution シナリオScenario
開始する前に - ハードウェアと前提条件Before you start - Hardware and prerequisites
  • Azure AD Connect のインストールを開始する前に実行する手順です。Steps to complete before you start to install Azure AD Connect.
  • 簡単設定Express settings
  • シングル フォレストの AD が存在する場合、この方法をお勧めします。If you have a single forest AD then this is the recommended option to use.
  • ユーザーは、パスワード同期により、同じパスワードを使ってサインインします。User sign in with the same password using password synchronization.
  • カスタマイズした設定Customized settings
  • 複数のフォレストがある場合に使用されます。Used when you have multiple forests. 多くのオンプレミス トポロジがサポートされます。Supports many on-premises topologies.
  • フェデレーション用の ADFS などのサインイン オプションをカスタマイズするか、サード パーティの ID プロバイダーを使います。Customize your sign-in option, such as ADFS for federation or use a 3rd party identity provider.
  • フィルター処理やライトバックなどの同期機能をカスタマイズします。Customize synchronization features, such as filtering and writeback.
  • DirSync からのアップグレードUpgrade from DirSync
  • 既存の DirSync サーバーが既に実行されている場合に使用します。Used when you have an existing DirSync server already running.
  • Azure AD Sync または Azure AD Connect からのアップグレードUpgrade from Azure AD Sync or Azure AD Connect
  • 複数の方法から自由に選択できます。There are several different methods depending on your preference.
  • インストール後に 想定どおりに動作していることをことを確認し、ユーザーにライセンスを割り当てる必要があります。After installation you should verify it is working as expected and assign licenses to the users.

    Azure AD Connect のインストールの次のステップNext steps to Install Azure AD Connect

    トピックTopic リンクLink
    Azure AD Connect のダウンロードDownload Azure AD Connect Azure AD Connect のダウンロードDownload Azure AD Connect
    Express 設定を使用したインストールInstall using Express settings Azure AD Connect の高速インストールExpress installation of Azure AD Connect
    カスタマイズした設定を使用したインストールInstall using Customized settings Azure AD Connect のカスタム インストールCustom installation of Azure AD Connect
    DirSync からのアップグレードUpgrade from DirSync Azure AD 同期ツール (DirSync) からのアップグレードUpgrade from Azure AD sync tool (DirSync)
    インストール後にAfter installation インストールの確認とライセンスの割り当て Verify the installation and assign licenses

    Azure AD Connect のインストールの詳細Learn more about Install Azure AD Connect

    運用 上の問題への備えも必要になることがあります。You also want to prepare for operational concerns. 障害が発生したときに切り替えられるように、スタンバイ サーバーを用意するという方法もあります。You might want to have a stand-by server so you easily can fall over if there is a disaster. 頻繁に構成を変更する予定がある場合は、 ステージング モード サーバーについて計画してください。If you plan to make frequent configuration changes, you should plan for a staging mode server.

    トピックTopic リンクLink
    サポートされているトポロジSupported topologies Azure AD Connect のトポロジTopologies for Azure AD Connect
    設計概念Design concepts Azure AD Connect の設計概念Azure AD Connect design concepts
    インストールで使用するアカウントAccounts used for installation Azure AD Connect の資格情報とアクセス許可の詳細More about Azure AD Connect credentials and permissions
    運用計画Operational planning Azure AD Connect Sync: 操作タスクおよび考慮事項Azure AD Connect sync: Operational tasks and considerations
    ユーザーのサインイン オプションUser sign-in options Azure AD Connect ユーザーのサインイン オプションAzure AD Connect User sign-in options

    同期機能を構成するConfigure sync features

    Azure AD Connect には、必要に応じて有効にすることができる機能や、既定で有効になっている機能があります。Azure AD Connect comes with several features you can optionally turn on or are enabled by default. ただし一部の機能は、特定のシナリオやトポロジを実現するために、特別な構成が必要となります。Some features might sometimes require more configuration in certain scenarios and topologies.

    フィルター処理 は、Azure AD に同期するオブジェクトを制限する場合に使用します。Filtering is used when you want to limit which objects are synchronized to Azure AD. 既定では、すべてのユーザー、連絡先、グループ、Windows 10 コンピューターが同期の対象となります。By default all users, contacts, groups, and Windows 10 computers are synchronized. フィルター処理は、ドメインや OU、属性に基づいて変更することができます。You can change the filtering based on domains, OUs, or attributes.

    パスワード同期 は、Active Directory のパスワード ハッシュを Azure AD と同期させる機能です。Password synchronization synchronizes the password hash in Active Directory to Azure AD. エンド ユーザーがオンプレミスとクラウドで同じパスワードを使用でき、しかもそれを 1 か所で管理することができます。The end-user can use the same password on-premises and in the cloud but only manage it in one location. オンプレミスの Active Directory が認証機関として使用されているため、独自のパスワード ポリシーを使用することもできます。Since it uses your on-premises Active Directory as the authority, you can also use your own password policy.

    パスワード ライトバック により、ユーザーはクラウドでパスワードを変更およびリセットし、オンプレミスのパスワード ポリシーを適用できます。Password writeback will allow your users to change and reset their passwords in the cloud and have your on-premises password policy applied.

    デバイスの書き戻しにより、Azure AD に登録されているデバイスをオンプレミスの Active Directory にライトバックできます。これにより、そのデバイスを条件付きアクセスに使用できるようになります。Device writeback will allow a device registered in Azure AD to be written back to on-premises Active Directory so it can be used for conditional access.

    誤って削除されないように保護する 機能は既定で有効になっており、多数のクラウド ディレクトリが同時に削除されるのを防ぐことができます。The prevent accidental deletes feature is turned on by default and protects your cloud directory from numerous deletes at the same time. 1 回の実行で削除できるディレクトリは、既定では 500 個です。By default it allows 500 deletes per run. この設定は、組織の規模に応じて変更できます。You can change this setting depending on your organization size.

    自動アップグレード は、簡単設定を使用したインストールでは既定で有効になっており、Azure AD Connect が最新のリリースで常に最新の状態になるようにします。Automatic upgrade is enabled by default for express settings installations and ensures your Azure AD Connect is always up to date with the latest release.

    同期機能を構成する次のステップNext steps to configure sync features

    トピックTopic リンクLink
    フィルター処理の構成Configure filtering Azure AD Connect Sync: フィルター処理の構成Azure AD Connect sync: Configure filtering
    パスワード同期Password synchronization Azure AD Connect Sync: パスワード同期の実装Azure AD Connect sync: Implement password synchronization
    パスワード ライトバックPassword writeback パスワード管理の概要Getting started with password management
    デバイスの書き戻しDevice writeback Azure AD Connect でのデバイスの書き戻しの有効化Enabling device writeback in Azure AD Connect
    誤って削除されないように保護するPrevent accidental deletes Azure AD Connect Sync: 誤って削除されないように保護するAzure AD Connect sync: Prevent accidental deletes
    自動アップグレードAutomatic upgrade Azure AD Connect: 自動アップグレードAzure AD Connect: Automatic upgrade

    Azure AD Connect Sync のカスタマイズCustomize Azure AD Connect sync

    Azure AD Connect Sync には、ほとんどのお客様とトポロジに対応した既定の構成が設定されています。Azure AD Connect sync comes with a default configuration that is intended to work for most customers and topologies. とはいえ、既定の構成ではうまくいかず、調整が必要な場面も必ず存在します。But there are always situations where the default configuration does not work and must be adjusted. このセクションとリンク先のトピックにまとめられているように、構成は変更できます。It is supported to make changes as documented in this section and linked topics.

    これまでに同期トポロジを扱った経験がない場合は、 技術的概念で説明されている基本情報と用語を確認してください。If you have not worked with a synchronization topology before you want to start to understand the basics and the terms used as described in the technical concepts. Azure AD Connect は、MIIS2003、ILM2007、FIM2010 が進化したものです。Azure AD Connect is the evolution of MIIS2003, ILM2007, and FIM2010. 同じ要素もあるものの、多数の変更が加えられています。Even if some things are identical, a lot has changed as well.

    この 既定の構成 は、複数のフォレストが存在する可能性があることを前提としています。The default configuration assumes there might be more than one forest in the configuration. これらのトポロジでは、ユーザー オブジェクトが別のフォレスト内の連絡先として表されることがあります。In those topologies a user object might be represented as a contact in another forest. ユーザーは、別のリソース フォレストにリンクされたメールボックスを持っている場合もあります。The user might also have a linked mailbox in another resource forest. 既定の構成の動作については、 ユーザーと連絡先に関するページを参照してください。The behavior of the default configuration is described in users and contacts.

    同期の構成モデルは、 宣言型のプロビジョニングと呼ばれています。The configuration model in sync is called declarative provisioning. 高度な属性のフローでは、 関数 を使って属性の変換を表現します。The advanced attribute flows are using functions to express attribute transformations. Azure AD Connect に付属するツールを使って、構成全体を確認、検証できます。You can see and examine the entire configuration using tools which comes with Azure AD Connect. 構成を変更する必要がある場合は、新しいリリースを採用しやすいように、 ベスト プラクティス に従ってください。If you need to make configuration changes, make sure you follow the best practices so it is easier to adopt new releases.

    Azure AD Connect Sync のカスタマイズの次のステップNext steps to customize Azure AD Connect sync

    トピックTopic リンクLink
    Azure AD Connect Sync に関するすべての記事All Azure AD Connect sync articles Azure AD Connect SyncAzure AD Connect sync
    技術的概念Technical concepts Azure AD Connect Sync: 技術的概念Azure AD Connect sync: Technical Concepts
    既定の構成についてUnderstanding the default configuration Azure AD Connect Sync: 既定の構成についてAzure AD Connect sync: Understanding the default configuration
    ユーザーと連絡先についてUnderstanding users and contacts Azure AD Connect Sync: ユーザーと連絡先についてAzure AD Connect sync: Understanding Users and Contacts
    宣言型のプロビジョニングDeclarative provisioning Azure AD Connect Sync: 宣言型のプロビジョニングの式についてAzure AD Connect Sync: Understanding Declarative Provisioning Expressions
    既定の構成の変更Change the default configuration 既定の構成の変更するためのベスト プラクティスBest practices for changing the default configuration

    フェデレーション機能を構成するConfigure federation features

    Azure AD Connect には、Azure AD との認証連携を AD FS の使用とフェデレーション信頼の管理を通じて省力化するさまざまな機能が備わっています。Azure AD Connect provides several features that simplify federating with Azure AD using AD FS and managing your federation trust. Azure AD Connect では、Windows Server 2012R2 以降の AD FS がサポートされます。Azure AD Connect supports AD FS on Windows Server 2012R2 or later.

    フェデレーション信頼の管理に Azure AD Connect を使っていない場合でも、AD FS ファームの SSL 証明書を更新することができます。Update SSL certificate of AD FS farm even if you are not using Azure AD Connect to manage your federation trust.

    ファームに AD FS サーバーを追加することで必要に応じてファームを拡張できます。Add an AD FS server to your farm to expand the farm as required.

    たった数回のクリック操作で Azure AD との信頼を修復できます。Repair the trust with Azure AD in a few simple clicks.

    ADFS は 複数のドメインをサポートするように構成できます。ADFS can be configured to support multiple domains. たとえば、フェデレーションに利用する複数の上位ドメインが必要になることがあります。For example you might have multiple top domains you need to use for federation.

    Azure AD から証明書を自動更新するように ADFS サーバーを更新していない場合、または非 ADFS ソリューションを使用している場合、 証明書の更新が必要になったときに通知されます。if your ADFS server has not been configured to automatically update certificates from Azure AD or if you use a non-ADFS solution, then you will be notified when you have to update certificates.

    フェデレーション機能を構成する次のステップNext steps to configure federation features

    トピックTopic リンクLink
    AD FS に関するすべての記事All AD FS articles Azure AD Connect とフェデレーションAzure AD Connect and federation
    サブドメインで ADFS を構成するConfigure ADFS with subdomains Azure AD とのフェデレーションに使用する複数ドメインのサポートMultiple Domain Support for Federating with Azure AD
    AD FS ファームを管理するManage AD FS farm AD FS management and customizaton with Azure AD Connect (Azure AD Connect を使用した AD FS の管理とカスタマイズ)AD FS management and customizaton with Azure AD Connect
    フェデレーション証明書を手動で更新するManually updating federation certificates Office 365 および Azure AD 用のフェデレーション証明書の更新Renewing Federation Certificates for Office 365 and Azure AD

    詳細情報とリファレンスMore information and references

    トピックTopic リンクLink
    バージョン履歴Version history バージョン履歴Version history
    DirSync、Azure ADSync、Azure AD Connect の比較Compare DirSync, Azure ADSync, and Azure AD Connect ディレクトリ統合ツールの比較Directory integration tools comparison
    Azure AD の非 ADFS 互換性リストNon-ADFS compatibility list for Azure AD Azure AD のフェデレーション互換性リストAzure AD federation compatibility list
    SAML 2.0 IdP の構成Configuring a SAML 2.0 Idp シングル サインオンでの SAML 2.0 ID プロバイダー (IdP) の使用Using a SAML 2.0 Identity Provider (IdP) for Single Sign On
    同期される属性Attributes synchronized 同期される属性Attributes synchronized
    Azure AD Connect Health を使用した監視Monitoring using Azure AD Connect Health Azure AD Connect HealthAzure AD Connect Health
    よく寄せられる質問Frequently Asked Questions Azure AD Connect の FAQAzure AD Connect FAQ

    その他のリソースAdditional Resources

    オンプレミスのディレクトリのクラウドへの拡張に関する 2015 年のプレゼンテーションをご覧ください。Ignite 2015 presentation on extending your on-premises directories to the cloud.