Microsoft Entra Connect のカスタム インストール

インストールに関してさらに多くのオプションが必要な場合は、Microsoft Entra Connect の "カスタム設定" を使用します。 これらの設定は、たとえば複数のフォレストがある場合、またはオプションの機能を構成する場合に使用します。 高速インストールでは対象のデプロイまたはトポロジのニーズに対応できないすべての場合に、カスタム設定を使用します。

前提条件:

カスタム インストールの設定

Microsoft Entra Connect のカスタム インストールのセットアップは、以下のセクションで説明するウィザードのページに従って行います。

簡単設定

[簡単設定] ページで [カスタマイズ] をクリックして、カスタム設定を使用したインストールを開始します。 この記事の残りの部分では、カスタム インストール プロセスについて説明します。 次のリンクを使用して、特定のページの情報にすばやくアクセスします。

必須コンポーネントのインストール

同期サービスをインストールするとき、オプションの構成セクションをオフのままにすることができます。 Microsoft Entra Connect によってすべてが自動的に設定されます。 これにより、SQL Server 2019 Express LocalDB インスタンスの設定、適切なグループの作成、アクセス許可の割り当てが行われます。 既定値を変更する場合は、該当するボックスを選択します。 次の表は、これらのオプションの概要を示し、追加情報へのリンクを示しています。

Screenshot showing optional selections for the required installation components in Microsoft Entra Connect.

オプションの構成 説明
カスタム インストール先を指定する Microsoft Entra Connect の既定のインストール パスを変更できます。
既存の SQL Server を使用する SQL Server 名とインスタンス名を指定することができます。 使用するデータベース サーバーが既にある場合は、このオプションを選択します。 SQL Server インスタンスで参照が有効になっていない場合は、 [インスタンス名] に、インスタンス名、コンマ、ポート番号の順に入力してください。 次に、Microsoft Entra Connect のデータベースの名前を指定します。 SQL 権限によって、新しいデータベースが作成されるか、SQL 管理者が事前にデータベースを作成する必要があるかどうかが決まります。 SQL Server 管理者 (SA) のアクセス許可がある場合は、既存のデータベースを使用した Microsoft Entra Connect のインストールに関する記事をご覧ください。 委任されたアクセス許可 (DBO) がある場合は、「SQL によって委任された管理者のアクセス許可を使用した Microsoft Entra Connect のインストール」をご覧ください。
既存のサービス アカウントを使用する 既定では、同期サービス用の仮想サービス アカウントが Microsoft Entra Connect によって提供されます。 SQL Server のリモート インスタンスを使用する場合、または認証が必要なプロキシを使用する場合は、ドメイン内のマネージド サービス アカウントまたはパスワードで保護されたサービス アカウントを使用することができます。 このような場合は、使用するアカウントを入力します。 インストールを実行するには、サービス アカウントのサインイン資格情報を作成できるように、SQL の SA である必要があります。 詳しくは、「Microsoft Entra Connect: アカウントとアクセス許可」をご覧ください。

最新のビルドを使用することで、SQL 管理者は帯域外でデータベースをプロビジョニングできるようになりました。 その後、Microsoft Entra Connect 管理者は、データベース所有者権限を使ってそれをインストールできます。 詳しくは、「SQL によって委任された管理者のアクセス許可を使用した Microsoft Entra Connect のインストール」をご覧ください。
カスタム同期グループを指定する 既定では、同期サービスのインストール時に、サーバーに対してローカルな 4 つのグループが Microsoft Entra Connect によって作成されます。 これらのグループは、管理者、オペレーター、参照、およびパスワード リセットです。 ここでは独自のグループを指定できます。 グループはサーバー上でローカルである必要があります。 ドメイン内に配置することはできません。
同期設定をインポート 別のバージョンの Microsoft Entra Connect から設定をインポートできます。 詳しくは、「Microsoft Entra Connect 構成設定をインポートおよびエクスポートする」をご覧ください。

ユーザーのサインイン

必要なコンポーネントがインストールされると、ユーザーによるシングル サインオンの方法を選択します。 次の表で、使用可能なオプションについて簡単に説明します。 サインイン方法の詳細については、ユーザーのサインインに関するページを参照してください。

Screenshot that shows the

シングル サインオン オプション 説明
パスワード ハッシュの同期 ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。 ユーザーのパスワードは、パスワード ハッシュとして Microsoft Entra ID に同期されます。 認証はクラウドで行われます。 詳細については、パスワード ハッシュの同期に関するページを参照してください。
パススルー認証 ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。 ユーザー パスワードはオンプレミスの Active Directory ドメイン コントローラーにパススルーされて検証されます。
AD FS とのフェデレーション ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。 ユーザーはサインインのためにオンプレミスの Azure Directory Federation Services (AD FS) インスタンスにリダイレクトされます。 認証はオンプレミスで行われます。
PingFederate によるフェデレーション ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。 ユーザーはサインインのためにオンプレミスの PingFederate インスタンスにリダイレクトされます。 認証はオンプレミスで行われます。
構成しない ユーザー サインイン機能はインストールおよび構成されません。 サード パーティのフェデレーション サーバーまたは別のソリューションが既に設置されている場合は、このオプションを選択します。
シングル サインオンの有効化 このオプションは、パスワード ハッシュの同期とパススルー認証の両方で使用できます。 企業ネットワーク上のデスクトップ ユーザーにシングル サインオン エクスペリエンスを提供します。 詳細については、シングル サインオンに関するページを参照してください。

注: AD FS のお客様の場合、このオプションは使用できません。 AD FS には、同じレベルのシングル サインオンが既に用意されています。

Microsoft Entra ID に接続する

[Connect to Microsoft Entra ID] (Microsoft Entra ID に接続) ページで、ハイブリッド ID 管理者のアカウントとパスワードを入力します。 前のページで [AD FS とのフェデレーション] を選択した場合、フェデレーション用に有効にする予定があるドメイン内のアカウントでサインインしないようにしてください。

Microsoft Entra テナントに付属する既定の onmicrosoft.com ドメイン内のアカウントを使用することもできます。 このアカウントは、Microsoft Entra ID でサービス アカウントを作成するためにのみ使われます。 インストールの完了後は使用されません。

Note

ベスト プラクティスは、Microsoft Entra のロールの割り当てには、オンプレミスの同期されたアカウントを使わないことです。 オンプレミスのアカウントが侵害された場合、これを利用して Microsoft Entra のリソースも侵害される可能性があります。 すべてのベスト プラクティスの一覧については、「Microsoft Entra ロールのベスト プラクティス」をご覧ください

Screenshot showing the

グローバル管理者アカウントで多要素認証が有効になっている場合は、サインイン ウィンドウにもう一度パスワードを入力し、多要素認証チャレンジを完了する必要があります。 チャレンジは確認コードか音声通話によって行うことができます。

Screenshot showing the

グローバル管理者アカウントは、Privileged Identity Management も有効になっている可能性があります。

フェデレーション アカウント、スマート カード、MFA のシナリオなど、パスワードを使わないシナリオに対して認証サポートを使用するには、ウィザードの起動時にスイッチ /interactiveauth を指定します。 このスイッチを使用すると、ウィザードの認証ユーザー インターフェイスがバイパスされ、MSAL ライブラリの UI を使用して認証が行われます。

エラーが表示されるか、接続に問題がある場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。

ページの同期

以降では、 [同期] セクションの各ウィンドウについて説明します。

ディレクトリの接続

Microsoft Entra Connect で Active Directory Domain Services (AD DS) に接続するには、フォレスト名と、十分なアクセス許可を持つアカウントの資格情報が必要です。

Screenshot that shows the

フォレスト名を入力して [ディレクトリの追加] を選択すると、ウィンドウが表示されます。 次の表では、オプションについて説明します。

オプション 説明
新しいアカウントを作成します ディレクトリ同期の間に Microsoft Entra Connect が Active Directory フォレストに接続するために必要な AD DS アカウントを作成します。 このオプションを選択した後、エンタープライズ管理者アカウントのユーザー名とパスワードを入力します。 Microsoft Entra Connect は、指定されたエンタープライズ管理者アカウントを使って、必要な AD DS アカウントを作成します。 ドメイン部分は、NetBIOS 形式または FQDN 形式で入力できます。 つまり、FABRIKAM\administrator または fabrikam.com\administrator と入力します。
既存のアカウントを使用します ディレクトリ同期の間に Microsoft Entra Connect が Active Directory フォレストに接続するために使用できる、既存の AD DS アカウントを指定します。 ドメイン部分は、NetBIOS 形式または FQDN 形式で入力できます。 つまり、FABRIKAM\syncuser または fabrikam.com\syncuser と入力します。 このアカウントには既定の読み取りアクセス許可が必要なだけなので、通常のユーザー アカウントを指定できます。 ただし、シナリオによっては、アクセス許可がさらに必要になることがあります。 詳しくは、「Microsoft Entra Connect: アカウントとアクセス許可」をご覧ください。

Screenshot showing the

Note

ビルド 1.4.18.0 以降では、エンタープライズ管理者またはドメイン管理者のアカウントを AD DS コネクタ アカウントとして使用することはできません。 [既存アカウントを使用] を選択した場合は、エンタープライズ管理者アカウントまたはドメイン管理者アカウントを入力しようとすると、次のエラーが表示されます。"AD フォレスト アカウントにエンタープライズまたはドメインの管理者アカウントを使用することはできません。 Microsoft Entra Connect でアカウントを自動的に作成するか、適切なアクセス許可を持つ同期アカウントを指定します。

Microsoft Entra のサインイン構成

[Microsoft Entra sign-in configuration] (Microsoft Entra サインインの構成) ページで、オンプレミス AD DS のユーザー プリンシパル名 (UPN) ドメインを確認します。 これらの UPN ドメインは、Microsoft Entra ID で検証されています。 このページで、userPrincipalName に使用する属性を構成できます。

Screenshot showing unverified domains on the

[追加されていません] または [未確認] としてマークされているすべてのドメインを確認します。 使用するドメインが Microsoft Entra ID で検証されていることを確認します。 ドメインを確認したら、循環更新アイコンを選択します。 詳細については、ドメインの追加と検証に関するページを参照してください。

ユーザーは、Microsoft Entra ID と Microsoft 365 にサインインするときに、userPrincipalName 属性を使います。 ユーザーが同期される前に、Microsoft Entra ID は UPN サフィックスとも呼ばれるドメインを検証する必要があります。 既定の userPrincipalName 属性のままにしておくことをお勧めします。

userPrincipalName 属性がルーティング不可能で、検証できない場合は、別の属性を選択できます。 たとえば、サインイン ID を保持する属性として電子メールを選択することができます。 userPrincipalName 以外の属性を使用する場合、これは "代替 ID" と呼ばれます。

代替 ID の属性値は、RFC822 標準に従う必要があります。 代替 ID は、パスワード ハッシュの同期、パススルー認証、およびフェデレーションで使用できます。 Active Directory では、値が 1 つのみであってもこの属性を複数値として定義できません。 代替 ID の詳細については、「パススルー認証:よく寄せられる質問」をご覧ください。

注意

パススルー認証を有効にする場合、カスタム インストール プロセスを続行するために少なくとも 1 つの検証済みドメインが必要になります。

警告

代替 ID は、すべての Microsoft 365 ワークロードに対応しているわけではありません。 詳しくは、代替サインイン ID の構成に関する記事をご覧ください。

ドメインと OU のフィルター処理

既定では、すべてのドメインと組織単位 (OU) が同期されます。 一部のドメインまたは OU を Microsoft Entra ID に同期したくない場合は、適切な選択肢をオフにできます。

Screenshot showing the Domain and O U filtering page.

このページでは、ドメインベースおよび OU ベースのフィルター処理を構成します。 変更を予定している場合は、ドメイン ベースのフィルター処理に関するトピックと OU ベースのフィルター処理に関するトピックを参照してください。 一部の OU は機能に不可欠であるため、選択したままにしておく必要があります。

1.1.524.0 より前のバージョンの Microsoft Entra Connect で OU ベースのフィルター処理を使用している場合、新しい OU は既定で同期されます。 新しい OU が同期されないようにするには、「OU ベースのフィルター処理」手順の後に既定の動作を調整します。 Microsoft Entra Connect 1.1.524.0 以降では、新しい OU を同期するかどうかを指定できます。

グループベースのフィルター処理を使用する予定の場合は、そのグループが属する OU が含まれ、OU フィルタリングを使用してフィルター処理されていないことを確認してください。 OU ベースのフィルター処理は、グループベースのフィルター処理が評価される前に評価されます。

さらに、一部のドメインは、ファイアウォールの制限のために到達できないこともあります。 このようなドメインは既定で選択が解除されており、警告が表示されます。

Screenshot showing unreachable domains.

この警告が表示された場合は、これらのドメインが実際に到達不能であり、警告の表示が予期されたものであることに注意してください。

ユーザーを一意に識別

[ユーザーの識別] ページで、オンプレミスのディレクトリでユーザーを識別する方法と、sourceAnchor 属性を使用してそれらを識別する方法を選択します。

オンプレミスのディレクトリでのユーザーの識別方法を選択する

"フォレスト間の一致" 機能を使うと、AD DS フォレストのユーザーを Microsoft Entra ID で表す方法を定義できます。 ユーザーは、すべてのフォレストで 1 回だけ表すか、有効アカウントと無効アカウントを組み合わせることができます。 一部のフォレストでは、ユーザーを連絡先として表すこともできます。

Screenshot showing the page where you can uniquely identify your users.

設定 説明
ユーザーはフォレスト全体で 1 回だけ表されます すべてのユーザーは、Microsoft Entra ID で個別のオブジェクトとして作成されます。 オブジェクトはメタバースに結合されません。
メール属性 このオプションは、異なるフォレスト間でメール属性が同じ値である場合に、ユーザーと連絡先を結合します。 連絡先が GALSync を使用して作成されている場合に、このオプションを使用してください。 このオプションを選んだ場合、メール属性が設定されていないユーザー オブジェクトは、Microsoft Entra ID に同期されません。
ObjectSID 属性および msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID 属性 このオプションでは、アカウント フォレスト内の有効なユーザーと、リソース フォレスト内の無効なユーザーが結合されます。 Exchange では、この構成はリンクされたメールボックスと呼ばれています。 このオプションは、Lync のみを使用し、リソース フォレストに Exchange が存在しない場合に使用できます。
SAMAccountName 属性および MailNickName 属性 このオプションは、ユーザーのサインイン ID が見つかると予想される属性を結合します。
特定の属性を選択する このオプションでは、独自の属性を選択することができます。 このオプションを選んだ場合、(選択された) 属性が設定されていないユーザー オブジェクトは、Microsoft Entra ID に同期されません。 制限: このオプションでは、既にメタバースに存在する属性のみを使用できます。

ソース アンカーを使用してユーザーの識別方法を選択する

sourceAnchor 属性は、ユーザー オブジェクトの有効期間中に変更できない属性です。 オンプレミスのユーザーと Microsoft Entra ID のユーザーをリンクする主キーです。

設定 説明
ソース アンカーの管理を Azure に任せる Microsoft Entra ID で属性を自動的に選択する場合は、このオプションを選びます。 このオプションを選ぶと、「sourceAnchor としての ms-DS-ConsistencyGuid の使用」で説明されている sourceAnchor 属性選択ロジックが、Microsoft Entra Connect によって適用されます。 カスタム インストールが完了すると、sourceAnchor 属性として選択された属性が表示されます。
特定の属性を選択する sourceAnchor 属性として既存の AD 属性を指定する場合は、このオプションを選択します。

SourceAnchor 属性は変更できないため、適切な属性を選択する必要があります。 適切な属性として考えられるのは objectGUID です。 この属性は、ユーザー アカウントをフォレストまたはドメイン間で移動しなければ、変更されません。 ユーザーが結婚したり割り当てが変更されたりした場合に変化する可能性のある属性は、使用しないようにしてください。

アットマーク (@) を含む属性は使用できないため、電子メールと userPrincipalName は使用できません。 属性では大文字と小文字も区別されるため、フォレスト間でオブジェクトを移動する場合は、大文字と小文字をそのままの状態に維持するようにしてください。 バイナリ属性は Base64 でエンコードされますが、他の種類の属性はエンコードされない状態のままになります。

フェデレーション シナリオと一部の Microsoft Entra ID インターフェイスでは、sourceAnchor 属性は immutableID とも呼ばれます。

ソース アンカーの詳細については、設計概念に関するページを参照してください。

グループに基づく同期フィルタリング

グループに基づくフィルタリング機能では、パイロット用にごく一部のオブジェクトのみを同期することができます。 この機能を使用するには、この目的のグループを Active Directory のオンプレミス インスタンスに作成します。 次に、直接のメンバーとして Microsoft Entra ID に同期される必要があるユーザーとグループを追加します。 後でこのグループのユーザーを追加または削除して、Microsoft Entra ID に存在する必要があるオブジェクトの一覧を管理できます。

同期するオブジェクトはすべて、グループの直接のメンバーである必要があります。 ユーザー、グループ、連絡先、およびコンピューターまたはデバイスは、すべて直接のメンバーにする必要があります。 入れ子になったグループのメンバーシップは解決されません。 グループをメンバーとして追加すると、グループ自体のみが追加されます。 そのメンバーは追加されません。

Screenshot showing the page where you can choose how to filter users and devices.

警告

この機能は、パイロット デプロイのみのサポートを目的としています。 完全な運用環境のデプロイでは使用しないでください。

完全な運用環境のデプロイでは、単一のグループを維持しながらすべてのオブジェクトを同期することは困難になります。 グループに基づくフィルタリング機能の代わりに、「フィルター処理の構成」で説明されているいずれかの方法を使用します。

オプション機能

次のページで、シナリオのオプション機能を選択できます。

警告

1.0.8641.0 以前のバージョンの Microsoft Entra Connect は、パスワード ライトバックを Azure Access Control Service に依存しています。 このサービスは 2018 年 11 月 7 日に廃止されました。 これらのいずれかのバージョンの Microsoft Entra Connect を使用しており、パスワード ライトバックを有効にしている場合、サービスが廃止されたときに、ユーザーはパスワードを変更またはリセットできなくなる可能性があります。 これらのバージョンの Microsoft Entra Connect では、パスワード ライトバックはサポートされていません。

パスワード ライトバックを使う場合は、Microsoft Entra Connect の最新バージョンをダウンロードしてください。

Screenshot showing the

警告

Azure AD Sync または直接同期 (DirSync) がアクティブになっている場合は、Microsoft Entra Connect でライトバック機能をアクティブにしないでください。

オプション機能 説明
Exchange ハイブリッドのデプロイメント Exchange ハイブリッドのデプロイ機能を利用すると、オンプレミスと Microsoft 365 の Exchange メールボックスが共存できるようになります。 Microsoft Entra Connect により、特定の属性のセットが、Microsoft Entra からオンプレミスのディレクトリに同期されます。
Exchange メールのパブリック フォルダー Exchange メールのパブリック フォルダー機能を使うと、メール対応のパブリック フォルダー オブジェクトを、Active Directory のオンプレミス インスタンスから Microsoft Entra ID に同期できます。 パブリック フォルダーをメンバーとして含むグループの同期はサポートされておらず、同期しようとすると、同期エラーが発生することに注意してください。
Microsoft Entra アプリと属性フィルター Microsoft Entra アプリと属性フィルターを有効にすると、同期される属性セットを調整できます。 このオプションにより、2 つの構成ページがウィザードに追加されます。 詳しくは、「Microsoft Entra アプリと属性フィルター」をご覧ください。
パスワード ハッシュの同期 サインイン ソリューションとしてフェデレーションを選択した場合は、パスワード ハッシュの同期を有効にすることができます。 その後、バックアップ オプションとして使用できます。

パススルー認証を選択した場合、このオプションを有効にして、レガシ クライアントをサポートしバックアップを提供できます。

詳細については、パスワード ハッシュの同期に関するページを参照してください。
パスワードの書き戻し Microsoft Entra ID で行われたパスワードの変更を、オンプレミスのディレクトリに確実に書き戻すには、このオプションを使います。 詳細については、「パスワード管理の概要」を参照してください。
グループの書き戻し Microsoft 365 グループを使用する場合は、Active Directory のオンプレミス インスタンスのグループを表すことができます。 このオプションが使用できるのは、Active Directory のオンプレミス インスタンスに Exchange が存在する場合のみです。 詳しくは、Microsoft Entra Connect グループの書き戻しに関する記事をご覧ください。
デバイスの書き戻し 条件付きアクセスのシナリオの場合に、Microsoft Entra ID のデバイス オブジェクトを Active Directory のオンプレミス インスタンスに書き戻すには、このオプションを使います。 詳しくは、Microsoft Entra Connect でのデバイスの書き戻しの有効化に関する記事をご覧ください。
ディレクトリ拡張属性の同期 指定した属性を Microsoft Entra ID に同期するには、このオプションを選びます。 詳細については、ディレクトリ拡張機能に関するページを参照してください。

Microsoft Entra アプリと属性フィルター

Microsoft Entra ID に同期する属性を制限する場合は、最初に使用するサービスを選びます。 このページで選択を変更する場合は、インストール ウィザードを再実行して新しいサービスを明示的に選択する必要があります。

Screenshot showing optional Microsoft Entra apps features.

前の手順で選択したサービスに基づいて、次のページに、同期対象となるすべての属性が表示されます。 この一覧は、同期されるすべてのオブジェクトの種類の組み合わせです。 一部の属性を非同期のままにする必要がある場合、それらの属性の選択を解除できます。

Screenshot showing optional Microsoft Entra attributes features.

警告

属性の選択を解除すると、機能に影響が生じる場合があります。 ベスト プラクティスと推奨事項については、同期する属性に関するページを参照してください。

ディレクトリ拡張属性の同期

Microsoft Entra ID のスキーマは、組織によって追加されたカスタム属性や Active Directory の他の属性を使って拡張できます。 この機能を使用するには、 [オプション機能] ページの [ディレクトリ拡張属性の同期] を選択します。 [ディレクトリ拡張機能] ページで、同期する属性をさらに選択できます。

注意

[使用可能な属性] フィールドでは大文字と小文字は区別されます。

Screenshot showing the

詳細については、ディレクトリ拡張機能に関するページを参照してください。

シングル サインオンの有効化

[シングル サインオン] ページで、パスワード同期またはパススルー認証で使用するシングル サインオンを構成します。 このステップは、Microsoft Entra ID に同期されているフォレストごとに 1 回行います。 構成には、次の 2 つの手順が含まれます。

  1. Active Directory のオンプレミス インスタンスでの必要なコンピューター アカウントの作成。
  2. シングル サインオンをサポートするクライアント コンピューターのイントラネット ゾーンの構成。

Active Directory でのコンピューター アカウントの作成

Microsoft Entra Connect で追加されたフォレストごとに、ドメイン管理者の資格情報を入力する必要があります。そうすることで、フォレストごとにコンピューター アカウントを作成できます。 資格情報は、アカウントの作成にのみ使用されます。 他の操作のために保存されたり使用されたりしません。 次の図に示すように、 [シングル サインオンを有効にする] ページで資格情報を追加します。

Screenshot showing the

Note

シングル サインオンを使用しないフォレストはスキップできます。

クライアント コンピューターのイントラネット ゾーンの構成

クライアントがイントラネット ゾーンで自動的にサインインするように、その URL をイントラネット ゾーンに含めるようにします。 このステップにより、ドメイン参加済みのコンピューターは、企業ネットワークに接続されるとき、Kerberos チケットを Microsoft Entra ID に自動的に送信するようになります。

グループ ポリシー管理ツールがあるコンピューターで次の手順を実行します。

  1. グループ ポリシー管理ツールを開きます。

  2. すべてのユーザーに適用されるグループ ポリシーを編集します。 既定のドメイン ポリシーなどです。

  3. [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Internet Explorer]>[インターネット コントロール パネル]>[セキュリティ ページ] の順に移動します。 次に [サイトとゾーンの割り当て一覧] を選択します。

  4. ポリシーを有効にします。 次に、ダイアログ ボックスで、値の名前として https://autologon.microsoftazuread-sso.comhttps://aadg.windows.net.nsatc.net を、両方の URL の値として 1 を入力します。 設定は次の図のようになります。

    Screenshot showing intranet zones.

  5. [OK] を 2 回選びます。

AD FS とのフェデレーションの構成

Microsoft Entra Connect で数クリックするだけで、AD FS を構成できます。 開始する前に、次のことを行う必要があります。

  • フェデレーション サーバー用の Windows Server 2012 R2 以降。 リモート管理を有効にする必要があります。
  • Web アプリケーション プロキシ サーバー用の Windows Server 2012 R2 以降。 リモート管理を有効にする必要があります。
  • 使用する予定のフェデレーション サービス名の TLS/SSL 証明書 (sts.contoso.com など)。

Note

フェデレーション信頼の管理に使っていない場合でも、Microsoft Entra Connect を使って、AD FS ファームの TLS/SSL 証明書を更新できます。

AD FS の構成の前提条件

Microsoft Entra Connect を使って AD FS ファームを構成するには、リモート サーバー上で WinRM が有効になっていることを確認します。 フェデレーションの前提条件の他のタスクを完了したことを確認します。 また、Microsoft Entra Connect とフェデレーション/WAP サーバーの表に記載されているポートの要件に従っていることを確認します。

新しい AD FS ファームの作成または既存の AD FS ファームの使用

既存の AD FS ファームを使用するか、新しく作成することができます。 新しく作成する場合は、TLS/SSL 証明書を提供する必要があります。 TLS/SSL 証明書がパスワードで保護されている場合は、パスワードを入力するように求められます。

Screenshot showing the

既存の AD FS ファームの使用を選ぶと、AD FS と Microsoft Entra ID の間の信頼関係を構成できるページが表示されます。

Note

Microsoft Entra Connect を使って管理できる AD FS ファームは 1 つだけです。 選択した AD FS ファームで Microsoft Entra ID が構成されている、既存のフェデレーション信頼がある場合、Microsoft Entra Connect は信頼を最初から作成し直します。

AD FS サーバーの指定

AD FS をインストールするサーバーを指定します。 容量ニーズに基づいて 1 つまたは複数のサーバーを追加することができます。 この構成を設定する前に、すべての AD FS サーバーを Active Directory に参加させてください。 Web アプリケーション プロキシ サーバーでは、この手順は必要ありません。

テスト デプロイとパイロット デプロイ用に単一の AD FS サーバーをインストールすることをお勧めします。 初期構成の後、Microsoft Entra Connect をもう一度実行することで、スケーリングのニーズを満たすようにサーバーをさらに追加してデプロイできます。

Note

この構成を設定する前に、すべてのサーバーが 1 つの Microsoft Entra ドメインに参加していることを確認してください。

Screenshot showing the

Web アプリケーション プロキシ サーバーの指定

Web アプリケーション プロキシ サーバーを指定します。 Web アプリケーション プロキシ サーバーは、エクストラネットに接続している境界ネットワークにデプロイされます。 エクストラネットからの認証要求をサポートします。 容量ニーズに基づいて 1 つまたは複数のサーバーを追加することができます。

テストとパイロットのデプロイ用に単一の Web アプリケーション プロキシ サーバーをインストールすることをお勧めします。 初期構成の後、Microsoft Entra Connect をもう一度実行することで、スケーリングのニーズを満たすようにサーバーをさらに追加してデプロイできます。 イントラネットからの認証を処理するための同数のプロキシ サーバーを設定することをお勧めします。

注意

  • 使用しているアカウントが Web アプリケーション プロキシ サーバーのローカル管理者ではない場合、管理者の資格情報を入力するように求められます。
  • Web アプリケーション プロキシ サーバーを指定する前に、Microsoft Entra Connect サーバーと Web アプリケーション プロキシ サーバーの間に HTTP/HTTPS 接続が確立されていることを確認してください。
  • 認証要求の通信ができるように、Web アプリケーション サーバーと AD FS サーバーの間に HTTP/HTTPS 接続が確立されていることを確認してください。

Screenshot showing the Web Application Proxy servers page.

Web アプリケーション サーバーが AD FS サーバーとの間にセキュリティで保護された接続を確立できるように、資格情報を入力するよう求められます。 これらの資格情報は、AD FS サーバーのローカル管理者アカウントのものである必要があります。

Screenshot showing the

AD FS サービスのサービス アカウントの指定

AD FS サービスには、ユーザーを認証し Active Directory のユーザー情報を参照するドメイン サービス アカウントが必要です。 次の 2 種類のサービス アカウントがサポートされます。

  • グループ管理サービス アカウント: このアカウントの種類は、Windows Server 2012 によって AD DS に導入されました。 この種類のアカウントは、AD FS などのサービスを提供します。 1 つのアカウントであり、パスワードを定期的に更新する必要はありません。 AD FS サーバーが所属するドメインに Windows Server 2012 ドメイン コントローラーが既にある場合は、このオプションを使用してください。
  • ドメイン ユーザー アカウント: この種類のアカウントでは、パスワードを入力し、期限が切れたときに定期的に更新する必要があります。 このオプションは、AD FS サーバーが所属するドメインに Windows Server 2012 ドメイン コントローラーがない場合にのみ使用してください。

グループ管理サービス アカウントの使用を選択し、Active Directory でこの機能を使用したことがない場合、エンタープライズ管理者の資格情報を入力します。 入力した資格情報は、キー ストアを開始し、Active Directory でこの機能を有効にするために使用されます。

Note

Microsoft Entra Connect は、AD FS サービスがサービス プリンシパル名 (SPN) としてドメインに既に登録されているかどうかをチェックします。 AD DS では、重複する SPN を同時に登録することはできません。 重複する SPN が見つかった場合、その SPN を削除するまで先に進むことができません。

Screenshot showing the

フェデレーションする Microsoft Entra ドメインを選択する

[Microsoft Entra ドメイン] ページを使って、AD FS と Microsoft Entra ID の間のフェデレーション関係を設定します。 ここでは、Microsoft Entra ID にセキュリティ トークンを提供するように AD FS を構成します。 また、この AD FS インスタンスからのトークンを信頼するように Microsoft Entra ID を構成します。

このページでは、初期インストールで 1 つのドメインしか構成できません。 後で Microsoft Entra Connect をもう一度実行することで、さらにドメインを構成できます。

Screenshot that shows the

フェデレーション用に選択された Microsoft Entra ドメインを検証する

フェデレーションするドメインを選ぶと、Microsoft Entra Connect によって、検証されていないドメインを検証するために使用できる情報が提供されます。 詳細については、ドメインの追加と検証に関するページを参照してください。

Screenshot showing the

Note

Microsoft Entra Connect は、構成ステージの間にドメインの検証を試みます。 必要なドメイン ネーム システム (DNS) レコードを追加しないと、構成を完了できません。

PingFederate とのフェデレーションの構成

Microsoft Entra Connect で数クリックするだけで、PingFederate を構成できます。 以下の前提条件が必要です。

ドメインの検証

PingFederate を使用してフェデレーションを設定することを選択すると、フェデレーションするドメインを検証するように求められます。 ドロップダウン メニューでドメインを選択します。

Screenshot that shows the

PingFederate 設定のエクスポート

各フェデレーション Azure ドメインのフェデレーション サーバーとして、PingFederate を構成します。 [設定のエクスポート] を選択し、この情報を PingFederate 管理者と共有します。 フェデレーション サーバーの管理者は、構成を更新してから、PingFederate サーバーの URL とポート番号を指定して、Microsoft Entra Connect がメタデータの設定を検証できるようにします。

Screenshot showing the

検証の問題を解決するには、PingFederate 管理者に問い合わせてください。 次の図は、Azure との有効な信頼関係がない PingFederate サーバーに関する情報を示しています。

Screenshot showing server information: The PingFederate server was found, but the service provider connection for Azure is missing or disabled.

フェデレーションの接続性の検証

Microsoft Entra Connect は、前のステップで PingFederate のメタデータから取得した認証エンドポイントの検証を試みます。 Microsoft Entra Connect は、最初に、ローカル DNS サーバーを使ってエンドポイントの解決を試みます。 次に、外部 DNS プロバイダーを使用してエンドポイントを解決しようとします。 検証の問題を解決するには、PingFederate 管理者に問い合わせてください。

Screenshot showing the

フェデレーション サインインの検証

最後に、フェデレーション ドメインにサインインして、新しく構成されたフェデレーション ログイン フローを検証できます。 サインインが成功した場合、PingFederate とのフェデレーションは正常に構成されています。

Screenshot showing the

ページの構成および確認

構成は [構成] ページで行われます。

注意

フェデレーションを構成している場合は、インストールを続行する前に、フェデレーション サーバーの名前解決も構成済みであることを確認してください。

Screenshot showing the

ステージング モードの使用

ステージング モードと並行して新しい同期サーバーをセットアップすることができます。 このセットアップを使用する場合、クラウド内の 1 つのディレクトリにエクスポートできる同期サーバーは 1 つだけです。 ただし、別のサーバー (DirSync を実行するサーバーなど) から移動したい場合は、ステージング モードで Microsoft Entra Connect を有効にできます。

ステージング設定を有効にすると、同期エンジンはデータを通常どおりにインポートおよび同期します。 ただし、Microsoft Entra ID または Active Directory にデータをエクスポートすることはありません。 ステージング モード中は、パスワード同期機能とパスワード ライトバック機能が無効になります。

Screenshot showing the

ステージング モード中は、同期エンジンに必要な変更を加え、エクスポートされる内容を確認することができます。 構成が適切な状態になったら、インストール ウィザードをもう一度実行し、ステージング モードを無効にします。

データはサーバーから Microsoft Entra ID にエクスポートされるようになります。 1 つのサーバーのみをアクティブにしてエクスポートするために、このとき他のサーバーは無効にしてください。

詳細については、「ステージング モード」を参照してください。

フェデレーション構成の確認

[検証] ボタンを選ぶと、Microsoft Entra Connect によって DNS の設定が検証されます。 以下の設定が検査されます。

  • イントラネット接続
    • フェデレーションの FQDN の解決: 接続を確保するために、DNS でフェデレーションの FQDN を解決できるかどうかが、Microsoft Entra Connect によって検査されます。 Microsoft Entra Connect が FQDN を解決できない場合、検証は失敗します。 検証を実行するために、フェデレーション サービス FQDN の DNS レコードを設定してください。
    • DNS A レコード: フェデレーション サービスに A レコードがあるかどうかが、Microsoft Entra Connect によって検査されます。 A レコードがない場合、検証は失敗します。 検証を実行するために、フェデレーション FQDN の A レコードを作成してください (CNAME レコードではありません)。
  • エクストラネット接続
    • フェデレーションの FQDN の解決: 接続を確保するために、DNS でフェデレーションの FQDN を解決できるかどうかが、Microsoft Entra Connect によって検査されます。

      Screenshot showing the

      Screenshot showing the

エンド ツー エンド認証を検証するには、以下の 1 つ以上のテストを手動で実行します。

  • 同期が完了したら、Microsoft Entra Connect で [フェデレーション ログインの検証] 追加タスクを使って、選択したオンプレミス ユーザー アカウントの認証を検証します。
  • イントラネット上のドメイン参加済みマシンで、ブラウザーからサインインできることを確認します。 https://myapps.microsoft.comに接続します。 次に、ログオン アカウントを使用してサインインを確認します。 あらかじめ登録された AD DS 管理者アカウントは同期されないため、検証には使用できません。
  • エクストラネット上のデバイスからサインインできることを確認します。 自宅にあるマシンまたはモバイル デバイスで https://myapps.microsoft.com に接続します。 次に、資格情報を入力します。
  • リッチ クライアントのサインインを検証します。 https://testconnectivity.microsoft.comに接続します。 次に、 [Office 365]>[Office 365 シングル サインオン テスト] の順に選択します。

トラブルシューティング

このセクションには、Microsoft Entra Connect のインストール時に問題が発生する場合に使用できるトラブルシューティング情報が含まれています。

Microsoft Entra Connect のインストールをカスタマイズする場合は、[必要なコンポーネントのインストール] ページで、[既存の SQL Server を使用する] を選択できます。 次のエラーが表示されることがあります。"ADSync データベースには既にデータが含まれていて、上書きすることはできません。 既存のデータベースを削除してからやり直してください。"

Screenshot that shows the

このエラーが表示されるのは、指定した SQL Server の SQL インスタンスに ADSync という名前のデータベースが既に存在するためです。

このエラーは通常、Microsoft Entra Connect をアンインストールした後で発生します。 Microsoft Entra Connect をアンインストールしても、SQL Server を実行しているコンピューターからデータベースは削除されません。

この問題の解決方法

  1. アンインストールする前に Microsoft Entra Connect で使われていた ADSync データベースを確認します。 データベースが使用されなくなっていることを確認します。

  2. データベースをバックアップします。

  3. データベースを削除します。

    1. Microsoft SQL Server Management Studio を使用して、SQL インスタンスに接続します。
    2. ADSync データベースを見つけて右クリックします。
    3. コンテキスト メニューで、 [削除] を選択します。
    4. [OK] を選択して、データベースを削除します。

Screenshot showing Microsoft SQL Server Management Studio. A D Sync is selected.

ADSync データベースの削除後、 [インストール] を選択してインストールを再試行します。

次の手順

インストールが完了したら、Windows からサインアウトします。 次に、Synchronization Service Manager またはSynchronization Rule Editorを使用する前に、もう一度サインインします。

Microsoft Entra Connect をインストールしたので、インストールを検証してライセンスを割り当てることができます。

インストールの間に有効にした機能について詳しくは、誤った削除からの保護および Microsoft Entra Connect Health に関する記事をご覧ください。

その他の一般的なトピックについて詳しくは、「Microsoft Entra Connect Sync: スケジューラ」およびオンプレミスの ID と Microsoft Entra ID の統合に関する記事をご覧ください。