Azure AD Connect: DirSync からのアップグレード

Azure AD Connect は DirSync の後継のツールです。 このトピックでは、DirSync からアップグレードする方法について説明します。 以下の手順は、Azure AD Connect の別のリリースまたは Azure AD Sync からのアップグレードには使用できません。

Azure AD Connect のインストールを始める前に、必ず Azure AD Connect をダウンロードし、Azure AD Connect のハードウェアと前提条件に関するページに記載されている前提条件の手順を完了してください。 特に、以下の領域は DirSync とは異なるため、確認が必要です。

  • .NET と PowerShell の必須バージョン。 DirSync での必須バージョンよりも新しいバージョンがサーバーにインストールされている必要があります。
  • プロキシ サーバーの構成。 プロキシ サーバーを使用してインターネットに接続する場合は、アップグレードする前にこの設定を構成する必要があります。 DirSync では、インストールしたユーザー向けに構成されたプロキシ サーバーが常に使用されていましたが、Azure AD Connect では、コンピューターの設定が使用されます。
  • プロキシ サーバーで開く必要がある URL。 基本的なシナリオでは、これらのシナリオは DirSync でもサポートされるため、要件は同じです。 Azure AD Connect で導入された新機能のいずれかを使用する場合は、いくつかの新しい URL を開く必要があります。

注意

Azure AD に対する変更の同期を新しい Azure AD Connect サーバーが開始できるようにした後は、DirSync または Azure AD Sync を使用してロールバックしないでください。Azure AD Connect から DirSync、Azure AD Sync などの従来のクライアントへのダウングレードはサポートされておらず、Azure AD のデータ損失などの問題につながる場合があります。

DirSync からアップグレードしない場合は、「 関連ドキュメント 」でその他のシナリオを確認してください。

DirSync からのアップグレード

現在の DirSync のデプロイに応じて、アップグレードにはさまざまなオプションがあります。 予想されるアップグレード時間が 3 時間未満の場合は、インプレース アップグレードを実行することをお勧めします。 予想されるアップグレード時間が 3 時間を超える場合は、別のサーバーで並列デプロイを行うことをお勧めします。 オブジェクトの数が 50,000 を超える場合は、アップグレードに要する時間が 3 時間を超えることが予想されます。

シナリオ
インプレース アップグレード
並列デプロイ

注意

DirSync から Azure AD Connect へのアップグレードを計画している場合は、アップグレードより前に DirSync を自分でアンインストールしないでください。 Azure AD Connect が DirSync から構成を読み取って移行し、サーバーを検査した後に、アンインストールします。

インプレース アップグレード
アップグレードが完了する予定時刻がウィザードに表示されます。 この推定値は、50,000 のオブジェクト (ユーザー、連絡先、グループ) を含むデータベースのアップグレードが完了するまでに 3 時間かかるという前提に基づいています。 データベース内のオブジェクトの数が 50,000 未満である場合は、Azure AD Connect ではインプレース アップグレードが推奨されています。 続行すると、現在の設定がアップグレード中に自動的に適用され、サーバーが自動的にアクティブな同期を再開します。

構成の移行を実行し、並列デプロイを実行する場合は、インプレース アップグレードに関する推奨事項を無視してもかまいません。 たとえば、ハードウェアとオペレーティング システムを更新することができます。 詳細については、「並列デプロイ」セクションを参照してください。

並列デプロイ
オブジェクトの数が 50,000 を超える場合は、並列デプロイをお勧めします。 このデプロイでは、ユーザーに対して操作時の遅延が発生しません。 Azure AD Connect のインストールでは、アップグレードのためのダウンタイムを予測しますが、過去に DirSync をアップグレードしたことがある場合は、その経験が最善の指標となります。

アップグレード対象の、サポートされている DirSync の構成

アップグレードされた DirSync では、次の構成の変更がサポートされています。

  • ドメインと OU のフィルター処理
  • 別の ID (UPN)
  • パスワード同期と Exchange ハイブリッドの設定
  • フォレスト/ドメインと Azure AD の設定
  • ユーザー属性に基づくフィルター処理

次の変更をアップグレードすることはできません。 これが構成されている場合は、アップグレードがブロックされます。

  • サポートされていない DirSync の変更 (属性の削除やカスタム拡張 DLL の使用など)

アップグレードのブロック

そのような場合、ステージング モードで新しい Azure AD Connect サーバーをインストールし、古い DirSync と新しい Azure AD Connect の構成を確認することが推奨されます。 カスタム構成を使用して変更をもう一度適用する場合は、Azure AD Connect Sync のカスタム構成に関するページを参照してください。

DirSync がサービス アカウントで使用したパスワードは取得できず、移行されません。 これらのパスワードはアップグレード中にリセットされます。

DirSync から Azure AD Connect へのアップグレードの大まかな手順

  1. Azure AD Connect へようこそ
  2. 現在の DirSync 構成の分析
  3. Azure AD のグローバル管理者のパスワードの収集
  4. エンタープライズ管理者アカウントの資格情報の収集 (Azure AD Connect のインストール時にのみ使用)
  5. Azure AD Connect のインストール
    • DirSync のアンインストール (または一時的な無効化)
    • Azure AD Connect のインストール
    • 必要に応じて、同期を開始します。

次の場合、追加の手順が必要になります。

  • 完全バージョンの SQL Server を現在使用している場合 - ローカルまたはリモート
  • 同期するオブジェクトが 50,000 以上ある場合

インプレース アップグレード

  1. Azure AD Connect インストーラー (MSI) を起動します。
  2. ライセンス条項とプライバシーに関する声明を確認し、同意します。
    Azure AD へようこそ
  3. [次へ] をクリックして、既存の DirSync インストールを分析します。
    既存のディレクトリ同期のインストールの分析
  4. 分析が完了すると、続行方法に関する推奨事項が提示されます。
    • SQL Server Express を使用しており、オブジェクトの数が 50,000 未満である場合は、次の画面が表示されます。
      分析が完了し、DirSync からアップグレードする準備が整いました。
    • DirSync に完全バージョンの SQL Server を使用する場合、次のページが表示されます。
      分析が完了し、DirSync からアップグレードする準備が整いました。
      DirSync によって使用されている既存の SQL Server データベース サーバーに関する情報が表示されます。 必要に応じて、適切に調整を行います。 [次へ] をクリックしてインストールを続行します。
    • 50,000 個を超えるオブジェクトがある場合は、代わりにこの画面が表示されます。
      分析が完了し、DirSync からアップグレードする準備が整いました。
      インプレース アップグレードを続行するには、"このコンピューターの DirSync のアップグレードを続行します。" の横のチェック ボックスをオンにします。 代わりに並列デプロイを行うには、DirSync の構成設定をエクスポートして新しいサーバーに移します。
  5. Azure AD への接続に現在使用しているアカウントのパスワードを入力します。 これは、DirSync によって現在使用されているアカウントでなければなりません。
    Azure ADの資格情報を入力します。
    接続に問題があり、エラーが発生する場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。
  6. Active Directory のエンタープライズ管理者アカウントを指定します。
    ADDS の資格情報を入力する
  7. 構成する準備が整いました。 [アップグレード]をクリックすると、DirSync がアンインストールされ、Azure AD Connect が構成されて、同期が開始されます。
    構成の準備完了
  8. インストールが完了した後、Synchronization Service Manager または同期規則エディターを使用する前に、サインアウトしてもう一度 Windows にサインインするか、他の構成の変更を試します。

並列デプロイ

DirSync の構成をエクスポートする

並列デプロイメント - 50,000 以上のオブジェクト

オブジェクトの数が 50,000 を超える場合、Azure AD Connect のインストールでは並列デプロイが推奨されます。

次のような画面が表示されます。
分析完了

並列デプロイを開始する場合は、次の手順を実行する必要があります。

  • [設定のエクスポート] をクリックします。 Azure AD Connect を別のサーバーにインストールすると、これらの設定が現在の DirSync から新しい Azure AD Connect のインストールに移行されます。

設定が正常にエクスポートされたら、DirSync サーバーで、Azure AD Connect ウィザードを終了できます。 次の手順に進み、 別のサーバーに Azure AD Connect をインストール

並列デプロイメント - 50,000 未満のオブジェクト

オブジェクトの数が 50,000 未満の場合に並列デプロイメントを実行するには、次の手順を実行します。

  1. Azure AD Connect インストーラー (MSI) を実行します。
  2. [Azure AD Connect へようこそ] 画面が表示されたら、ウィンドウの右上隅にある [X] をクリックしてインストール ウィザードを終了します。
  3. コマンド プロンプトを開きます。
  4. Azure AD Connect のインストール場所 (既定: C:\Program Files\Microsoft Azure Active Directory Connect) から、次のコマンドを実行します。AzureADConnect.exe /ForceExport
  5. [設定のエクスポート] をクリックします。 Azure AD Connect を別のサーバーにインストールすると、これらの設定が現在の DirSync から新しい Azure AD Connect のインストールに移行されます。

分析完了

設定が正常にエクスポートされたら、DirSync サーバーで、Azure AD Connect ウィザードを終了できます。 次の手順に進み、別のサーバーに Azure AD Connect をインストールします。

別のサーバーに Azure AD Connect をインストールする

Azure AD Connect を新しいサーバーにインストールする場合、Azure AD Connect のクリーン インストールを実行するものと見なされます。 DirSync の構成を使用する必要があるため、実行する手順が増えます。

  1. Azure AD Connect インストーラー (MSI) を実行します。
  2. [Azure AD Connect へようこそ] 画面が表示されたら、ウィンドウの右上隅にある [X] をクリックしてインストール ウィザードを終了します。
  3. コマンド プロンプトを開きます。
  4. Azure AD Connect のインストール場所 (既定: C:\Program Files\Microsoft Azure Active Directory Connect) から、次のコマンドを実行します。AzureADConnect.exe /migrate Azure AD Connect のインストール ウィザードが起動し、次の画面が表示されます。
    Azure ADの資格情報を入力します。
  5. DirSync インストールからエクスポートされた設定ファイルを選択します。
  6. 次の高度なオプションを構成します。
    • Azure AD Connect のカスタムのインストール場所。
    • SQL Server の既存のインスタンス (既定: Azure AD Connect は、SQL Server 2012 Express をインストールします)。 DirSync サーバーと同じデータベース インスタンスは使用しないでください。
    • SQL Server への接続に使用するサービス アカウント (SQL Server データベースがリモートの場合、このアカウントはドメイン サービス アカウントにする必要があります)。 これらのオプションは、次の画面で表示されます。
      Azure ADの資格情報を入力します。
  7. [次へ] をクリックします。
  8. [構成の準備完了] ページで [構成が完了したら、同期処理を開始してください。] チェック ボックスをオンのままにします。 サーバーはステージング モードになっているため、変更は Azure AD にエクスポートされません。
  9. [インストール]をクリックします。
  10. インストールが完了した後、Synchronization Service Manager または同期規則エディターを使用する前に、サインアウトしてもう一度 Windows にサインインするか、他の構成の変更を試します。

注意

Windows Server Active Directory と Azure Active Directory の間で同期が開始されますが、変更は Azure AD にエクスポートされません。 一度にアクティブにし変更をエクスポートできる同期ツールは 1 つだけです。 この状態はステージング モードと呼ばれます。

Azure AD Connect の同期を開始する準備が完了していることを確認する

Azure AD Connect で DirSync からの引き継ぎの準備ができていることを確認するために、[スタート] メニューから [Azure AD Connect] グループの Synchronization Service Manager を開く必要があります。

アプリケーションで、 [操作] タブに移動します。このタブで、次の操作が完了していることを確認します。

  • AD コネクタへのインポート
  • Azure AD コネクタへのインポート
  • AD コネクタへの完全な同期
  • Azure AD コネクタへの完全な同期

インポートと同期の完了

これらの操作の結果を確認し、エラーが発生しないことを確認します。

どの変更が Azure AD にエクスポートされるのかを調べるには、ステージング モードで構成を確認する方法をお読みください。 予期しない内容が表示されなくなるまで構成の変更を行ってください。

これらの手順が完了し、結果に問題がなければ、DirSync から Azure AD に切り替える準備ができています。

DirSync (古いサーバー) をアンインストールする

  • [プログラムと機能][Windows Azure Active Directory 同期ツール] を見つけます。
  • [Windows Azure Active Directory 同期ツール]
  • アンインストールが完了するまで最大で 15 分かかる場合があります。

後で DirSync をアンインストールする場合は、一時的にサーバーをシャットダウンするか、サービスを無効にしておくこともできます。 問題が生じた場合は、この方法で再び有効にすることができます。 ただし、次の手順は失敗しないものと思われますので、必ずしも必要になるとは限りません。

DirSync がアンインストールされているか、無効になっている場合は、Azure AD へのエクスポートが行われるアクティブなサーバーは存在しません。 オンプレミスの Active Directory のすべての変更が引き続き Azure AD に同期されるようにするには、次の手順を完了して Azure AD Connect を有効にする必要があります。

Azure AD Connect (新しいサーバー) を有効化する

インストール後に Azure AD Connect をもう一度開くと、追加の構成変更ができるようになります。 [スタート] メニューから、またはデスクトップのショートカットから [Azure AD Connect] を開始します。 MSI のインストールをもう一度実行しようとしないでください。

次のように表示されます。
追加のタスク

  • [ステージング モードの構成]を選択します。
  • [ステージング モードを有効にする] チェックボックスをオフにして、ステージングを停止します。

Azure ADの資格情報を入力します。

  • [次へ] をクリックします。
  • [確認] ページで [インストール] ボタンをクリックします。

これで Azure AD Connect がアクティブなサーバーとなったため、今後は既存の DirSync サーバーは使用しないでください。

次のステップ

Azure AD Connect がインストールされたので、インストールを確認し、ライセンスを割り当てることができます。

インストールの結果有効になった新しい機能については、自動アップグレード誤った削除操作を防止する機能Azure AD Connect Health に関する各ページを参照してください。

一般的なトピックについては、スケジューラの使用と同期のトリガー方法に関するページを参照してください。

オンプレミス ID と Azure Active Directory の統合」をご覧ください。