Azure AD Connect の前提条件Prerequisites for Azure AD Connect

このトピックでは、Azure AD Connect を使用するための前提条件とハードウェア要件について説明します。This topic describes the pre-requisites and the hardware requirements for Azure AD Connect.

Azure AD Connect をインストールする前にBefore you install Azure AD Connect

Azure AD Connect をインストールする前に、いくつか必要な項目があります。Before you install Azure AD Connect, there are a few things that you need.

Azure ADAzure AD

  • Azure サブスクリプションまたは Azure 試用版サブスクリプション。An Azure subscription or an Azure trial subscription. このサブスクリプションは、Azure Portal へのアクセスにのみ必要です。Azure AD Connect の使用には不要です。This subscription is only required for accessing the Azure portal and not for using Azure AD Connect. PowerShell または Office 365 を使用している場合は、Azure サブスクリプションがなくても Azure AD Connect を使用できます。If you are using PowerShell or Office 365, then you do not need an Azure subscription to use Azure AD Connect. Office 365 ライセンスを持っている場合は、Office 365 ポータルも使用できます。If you have an Office 365 license, then you can also use the Office 365 portal. 有料の Office 365 ライセンスを使用して、Office 365 ポータルから Azure Portal にアクセスすることもできます。With a paid Office 365 license, you can also get into the Azure portal from the Office 365 portal.
    • Azure Portal を使用することもできます。You can also use the Azure portal. このポータルでは、Azure AD ライセンスは必要ありません。This portal does not require an Azure AD license.
  • ドメインを追加して検証 します。Add and verify the domain you plan to use in Azure AD. たとえば、ユーザー向けに contoso.com を使用する予定の場合は、そのドメインが検証されていることと、使用しているドメインが既定のドメインである contoso.onmicrosoft.com だけではないことを確認します。For example, if you plan to use contoso.com for your users then make sure this domain has been verified and you are not only using the contoso.onmicrosoft.com default domain.
  • Azure AD テナントでは、既定では 50,000 個のオブジェクトを使用できます。An Azure AD tenant allows by default 50k objects. ドメインを検証すると、制限が 300,000 個のオブジェクトに増加します。When you verify your domain, the limit is increased to 300k objects. Azure AD でさらに多くのオブジェクトが必要な場合は、制限を緩和するサポート ケースを開く必要があります。If you need even more objects in Azure AD, then you need to open a support case to have the limit increased even further. 500,000 個を超えるオブジェクトが必要な場合は、Office 365、Azure AD Basic、Azure AD Premium、Enterprise Mobility and Security などのライセンスが必要です。If you need more than 500k objects, then you need a license, such as Office 365, Azure AD Basic, Azure AD Premium, or Enterprise Mobility and Security.

オンプレミスのデータの準備Prepare your on-premises data

オンプレミスの Active DirectoryOn-premises Active Directory

  • AD スキーマのバージョンとフォレストの機能レベルは、Windows Server 2003 以降である必要があります。The AD schema version and forest functional level must be Windows Server 2003 or later. ドメイン コントローラーは、スキーマとフォレスト レベルの要件を満たしていれば、任意のバージョンを実行できます。The domain controllers can run any version as long as the schema and forest level requirements are met.
  • パスワード ライトバック機能を使用する場合、ドメイン コントローラーが (最新の SP が適用された) Windows Server 2008 以降にインストールされている必要があります。If you plan to use the feature password writeback, then the Domain Controllers must be on Windows Server 2008 (with latest SP) or later. ドメイン コントローラーが 2008 (R2 より前のバージョン) にインストールされている場合は、修正プログラム KB2386717 も適用する必要があります。If your DCs are on 2008 (pre-R2), then you must also apply hotfix KB2386717.
  • Azure AD で使用されるドメイン コントローラーは、書き込み可能である必要があります。The domain controller used by Azure AD must be writable. RODC (読み取り専用ドメイン コントローラー) は使用できません。Azure AD Connect では、書き込みのリダイレクトを行いません。It is not supported to use a RODC (read-only domain controller) and Azure AD Connect does not follow any write redirects.
  • SLD (シングル ラベル ドメイン) を使用するオンプレミスのフォレスト/ドメインは使用できませんIt is not supported to use on-premises forests/domains using SLDs (Single Label Domains).
  • "ドット形式" (名前にピリオド "." が含まれる) の NetBios 名を使用するオンプレミスのフォレスト/ドメインは使用できませんIt is not supported to use on-premises forests/domains using "dotted" (name contains a period ".") NetBios names.
  • Active Directory のごみ箱を有効にすることをお勧めします。It is recommended to enable the Active Directory recycle bin.

Azure AD Connect サーバーAzure AD Connect server

  • Small Business Server または Windows Server Essentials には、Azure AD Connect をインストールできません。Azure AD Connect cannot be installed on Small Business Server or Windows Server Essentials. サーバーは Windows Server Standard 以上を使用する必要があります。The server must be using Windows Server standard or better.
  • Azure AD Connect サーバーには、完全な GUI がインストールされている必要があります。The Azure AD Connect server must have a full GUI installed. サーバー コアにインストールすることはできませんIt is not supported to install on server core.
  • Azure AD Connect は、Windows Server 2008 以降にインストールする必要があります。Azure AD Connect must be installed on Windows Server 2008 or later. このサーバーをドメイン コントローラーにすることができます。Express 設定を使用する場合はメンバー サーバーにすることもできます。This server may be a domain controller or a member server when using express settings. カスタム設定を使用する場合、サーバーはスタンドアロンにすることもでき、ドメインに参加する必要はありません。If you use custom settings, then the server can also be stand-alone and does not have to be joined to a domain.
  • Azure AD Connect を Windows Server 2008 または Windows Server 2008 R2 にインストールする場合は、Windows Update から最新の修正プログラムが適用されていることを確認してください。If you install Azure AD Connect on Windows Server 2008 or Windows Server 2008 R2, then make sure to apply the latest hotfixes from Windows Update. 修正プログラムが適用されていないサーバーでインストールを開始することはできません。The installation is not able to start with an unpatched server.
  • パスワード同期機能を使用する場合、Azure AD Connect サーバーが Windows Server 2008 R2 SP1 以降にインストールされている必要があります。If you plan to use the feature password synchronization, then the Azure AD Connect server must be on Windows Server 2008 R2 SP1 or later.
  • グループ管理サービス アカウントを使用する場合、Azure AD Connect サーバーが Windows Server 2012 以降にインストールされている必要があります。If you plan to use a group managed service account, then the Azure AD Connect server must be on Windows Server 2012 or later.
  • Azure AD Connect サーバーには、.NET Framework 4.5.1 以降と Microsoft PowerShell 3.0 以降がインストールされている必要があります。The Azure AD Connect server must have .NET Framework 4.5.1 or later and Microsoft PowerShell 3.0 or later installed.
  • Azure AD Connect サーバーの PowerShell トランスクリプション グループ ポリシーは有効にしないでください。The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled.
  • Active Directory Federation Services をデプロイする場合、AD FS または Web アプリケーション プロキシがインストールされるサーバーは、Windows Server 2012 R2 以降である必要があります。If Active Directory Federation Services is being deployed, the servers where AD FS or Web Application Proxy are installed must be Windows Server 2012 R2 or later. Windows リモート管理 を有効にする必要があります。Windows remote management must be enabled on these servers for remote installation.
  • Active Directory フェデレーション サービスがデプロイされている場合は、 SSL 証明書が必要です。If Active Directory Federation Services is being deployed, you need SSL Certificates.
  • Active Directory フェデレーション サービス (AD FS) がデプロイされている場合は、 名前解決を構成する必要があります。If Active Directory Federation Services is being deployed, then you need to configure name resolution.
  • 全体管理者が MFA を有効にしている場合は、URL https://secure.aadcdn.microsoftonline-p.com が信頼済みサイトの一覧に追加されている必要があります。If your global administrators have MFA enabled, then the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. MFA チャレンジを求められたときに、この URL がまだ追加されていない場合は、信頼済みサイトの一覧に追加するように促されます。You are prompted to add this site to the trusted sites list when you are prompted for an MFA challenge and it has not added before. 信頼済みサイトへの追加には、Internet Explorer を使用できます。You can use Internet Explorer to add it to your trusted sites.

Azure AD Connect で使用される SQL ServerSQL Server used by Azure AD Connect

  • Azure AD Connect には、ID データを格納する SQL Server データベースが必要です。Azure AD Connect requires a SQL Server database to store identity data. 既定では、SQL Server 2012 Express LocalDB (SQL Server Express の簡易バージョン) がインストールされています。By default a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. SQL Server Express のサイズ制限は 10 GB で、約 100,000 オブジェクトを管理できます。SQL Server Express has a 10GB size limit that enables you to manage approximately 100,000 objects. さらに多くのディレクトリ オブジェクトを管理する必要がある場合は、インストール ウィザードで別の SQL Server インストール済み環境を指定する必要があります。If you need to manage a higher volume of directory objects, you need to point the installation wizard to a different installation of SQL Server.
  • 別の SQL Server を使用する場合は、次の要件が適用されます。If you use a separate SQL Server, then these requirements apply:
    • Azure AD Connect では、SQL Server 2008 (最新の Service Pack) から SQL Server 2016 SP1 まで、すべてのエディションの Microsoft SQL Server がサポートされています。Azure AD Connect supports all flavors of Microsoft SQL Server from SQL Server 2008 (with latest Service Pack) to SQL Server 2016 SP1. Microsoft Azure SQL Database は、データベースとして サポートされていませんMicrosoft Azure SQL Database is not supported as a database.
    • 大文字と小文字が区別されない SQL 照合順序を使用する必要があります。You must use a case-insensitive SQL collation. これらの照合順序は、名前に含まれる _CI_ で識別します。These collations are identified with a _CI_ in their name. 大文字と小文字が区別される照合順序 (名前に含まれる _CS_ で識別) はサポートされていませんIt is not supported to use a case-sensitive collation, identified by _CS_ in their name.
    • 1 つの SQL インスタンスにつき保持できる同期エンジンは 1 つだけです。You can only have one sync engine per SQL instance. FIM/MIM Sync、DirSync、または Azure AD Sync との SQL インスタンスの共有はサポートされていませんIt is not supported to share a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync.

アカウントAccounts

  • 統合する Azure AD テナントの Azure AD 全体管理者アカウント。An Azure AD Global Administrator account for the Azure AD tenant you wish to integrate with. このアカウントには学校または組織のアカウントを使用する必要があり、Microsoft アカウントを使用することはできません。This account must be a school or organization account and cannot be a Microsoft account.
  • 簡単設定を使用するか、DirSync からアップグレードする場合は、ローカルの Active Directory のエンタープライズ管理者アカウント。If you use express settings or upgrade from DirSync, then you must have an Enterprise Administrator account for your local Active Directory.
  • カスタム設定のインストール パスを使用する場合は、Active Directory 内のアカウントAccounts in Active Directory if you use the custom settings installation path.

接続Connectivity

  • Azure AD Connect サーバーには、イントラネット用とインターネット用の両方の DNS 解決が必要です。The Azure AD Connect server needs DNS resolution for both intranet and internet. DNS サーバーは、オンプレミス Active Directory と Azure AD エンドポイントの両方の名前を解決できる必要があります。The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.
  • お使いのイントラネット環境でファイアウォールを使用していて、Azure AD Connect サーバーとドメイン コントローラーの間でポートを開く必要がある場合の詳細については、Azure AD Connect のポートに関する記事を参照してください。If you have firewalls on your Intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, then see Azure AD Connect Ports for more information.
  • アクセスできる URL をプロキシまたはファイアウォールが制限している場合は、「Office 365 URL および IP アドレス範囲」に記載されている URL を開く必要があります。If your proxy or firewall limit which URLs can be accessed, then the URLs documented in Office 365 URLs and IP address ranges must be opened.
  • Azure AD Connect (バージョン 1.1.614.0 以降) では、同期エンジンと Azure AD との間の通信の暗号化に既定で TLS 1.2 が使用されます。Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. 基盤となるオペレーティング システムで TLS 1.2 が使用できない場合は、1 つ前のプロトコル (TLS 1.1 と TLS 1.0) に段階的にフォールバックされます。If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0). たとえば Windows Server 2008 では TLS 1.1 も TLS 1.2 もサポートされないため、Windows Server 2008 上で動作する Azure AD Connect では TLS 1.0 が使用されます。For example, Azure AD Connect running on Windows Server 2008 uses TLS 1.0 because Windows Server 2008 does not support TLS 1.1 or TLS 1.2.
  • バージョン 1.1.614.0 未満の Azure AD Connect では、同期エンジンと Azure AD との間の通信の暗号化に既定で TLS 1.0 が使用されます。Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. TLS 1.2 に変更するには、「Azure AD Connect 用に TLS 1.2 を有効にする」の手順に従います。To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.
  • 送信プロキシを使用してインターネットに接続する場合は、次の設定を C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config ファイルに追加して、インストール ウィザードと Azure AD Connect 同期がインターネットと Azure AD に接続できるようにする必要があります。If you are using an outbound proxy for connecting to the Internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the Internet and Azure AD. このテキストは、ファイルの末尾に入力する必要があります。This text must be entered at the bottom of the file. このコードの <PROXYADRESS> は実際のプロキシ IP アドレスまたはホスト名を表します。In this code, <PROXYADRESS> represents the actual proxy IP address or host name.
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • プロキシ サーバーで認証が必要な場合は、サービス アカウントをドメイン内に配置する必要があり、カスタマイズした設定のインストール パスを使用して、カスタム サービス アカウントを指定する必要があります。If your proxy server requires authentication, then the service account must be located in the domain and you must use the customized settings installation path to specify a custom service account. machine.config に別の変更も必要です。この machine.config の変更によって、インストール ウィザードと同期エンジンは、プロキシ サーバーからの認証要求に応答します。You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. [構成] ページを除くインストール ウィザードのすべてのページで、サインインしたユーザーの資格情報を使用します。In all installation wizard pages, excluding the Configure page, the signed in user's credentials are used. インストール ウィザードの最後の [構成] ページで、コンテキストが、自分で作成したサービス アカウントに切り替わります。On the Configure page at the end of the installation wizard, the context is switched to the service account that was created by you. machine.config のセクションは、次のようになるはずです。The machine.config section should look like this.
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Azure AD Connect がディレクトリ同期の過程で Web 要求を Azure AD に送信するとき、Azure AD から応答が返されるまでに長くて 5 分程度かかる場合があります。When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. 一般に、プロキシ サーバーには、接続アイドル タイムアウトの構成を適用します。It is common for proxy servers to have connection idle timeout configuration. この構成は 6 分以上に設定してください。Please ensure the configuration is set to at least 6 minutes or more.

詳細については、既定のプロキシ要素に関する MSDN を参照してください。For more information, see MSDN about the default proxy Element.
接続に問題が発生した場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

その他Other

  • 省略可能: 同期を検証するテスト ユーザー アカウント。Optional: A test user account to verify synchronization.

コンポーネントの前提条件Component prerequisites

PowerShell と .NET FrameworkPowerShell and .Net Framework

Azure AD Connect は、Microsoft PowerShell と .NET 4.5.1 に依存しています。Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. これ以降のバージョンがサーバーにインストールされている必要があります。You need this version or a later version installed on your server. Windows Server のバージョンに応じて、次の操作を行います。Depending on your Windows Server version, do the following:

  • Windows Server 2012R2Windows Server 2012R2
    • Microsoft PowerShell は既定でインストールされています。Microsoft PowerShell is installed by default. 操作は必要ありません。No action is required.
    • .NET Framework 4.5.1 以降のリリースは、Windows Update によって提供されます。.NET Framework 4.5.1 and later releases are offered through Windows Update. コントロール パネルで、Windows Server に最新の更新プログラムがインストールされていることを確認します。Make sure you have installed the latest updates to Windows Server in the Control Panel.
  • Windows Server 2008R2 と Windows Server 2012Windows Server 2008R2 and Windows Server 2012
  • Windows Server 2008Windows Server 2008

Azure AD Connect 用に TLS 1.2 を有効にするEnable TLS 1.2 for Azure AD Connect

バージョン 1.1.614.0 未満の Azure AD Connect では、同期エンジン サーバーと Azure AD との間の通信の暗号化に既定で TLS 1.0 が使用されます。Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. これを変更するには、サーバーで TLS 1.2 を既定で使用するように .NET アプリケーションを構成します。You can change this by configuring .Net applications to use TLS 1.2 by default on the server. TLS 1.2 の詳細については、「Microsoft セキュリティ アドバイザリ 2960358」を参照してください。More information about TLS 1.2 can be found in Microsoft Security Advisory 2960358.

  1. Windows Server 2008 で TLS 1.2 を有効にすることはできません。TLS 1.2 cannot be enabled on Windows Server 2008. 有効にするには、Windows Server 2008 R2 以降が必要です。You need Windows Server 2008R2 or later. オペレーティング システムに .NET 4.5.1 修正プログラムがインストールされていることを確認してください。詳細については、「Microsoft セキュリティ アドバイザリ 2960358」を参照してください。Make sure you have the .Net 4.5.1 hotfix installed for your operating system, see Microsoft Security Advisory 2960358. 既にこの修正プログラムやこれ以降のリリースをサーバーにインストールしている可能性があります。You might have this hotfix or a later release installed on your server already.
  2. Windows Server 2008 R2 を使用している場合は、TLS 1.2 が有効になっていることを確認してください。If you use Windows Server 2008R2, then make sure TLS 1.2 is enabled. Windows Server 2012 以降のバージョンのサーバーでは、TLS 1.2 が既に有効になっています。On Windows Server 2012 server and later versions, TLS 1.2 should already be enabled. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
  3. すべてのオペレーティング システムに対して、次のレジストリ キーを設定してサーバーを再起動します。For all operating systems, set this registry key and restart the server. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
  4. 同期エンジン サーバーとリモート SQL Server の間でも TLS 1.2 を有効にする場合は、 Microsoft SQL Server 用の TLS 1.2 のサポートに必要なバージョンがインストールされていることを確認してください。If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, then make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

フェデレーションのインストールと構成の前提条件Prerequisites for federation installation and configuration

Windows リモート管理Windows Remote Management

Azure AD Connect を使用して Active Directory フェデレーション サービスまたは Web アプリケーション プロキシをデプロイする場合、以下の要件を確認します。When using Azure AD Connect to deploy Active Directory Federation Services or the Web Application Proxy, check these requirements:

  • 対象サーバーがドメインに参加している場合は、Windows リモート管理が有効であることを確認します。If the target server is domain joined, then ensure that Windows Remote Managed is enabled
    • 管理者特権の PSH コマンド ウィンドウで、 Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
  • 対象サーバーが、ドメインに参加していない WAP コンピューターである場合は、いくつかの追加の要件があります。If the target server is a non-domain joined WAP machine, then there are a couple of additional requirements
    • ターゲット コンピューター (WAP コンピューター) での要件On the target machine (WAP machine):
      • サービス スナップインから winrm (Windows Remote Management / WS-Management) サービスが実行されていることを確認します。Ensure the winrm (Windows Remote Management / WS-Management) service is running via the Services snap-in
      • 管理者特権の PSH コマンド ウィンドウで、 Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
    • ウィザードを実行しているコンピューターでの要件 (ターゲット コンピューターがドメインに参加していないか、信頼されていないドメインにある場合)On the machine on which the wizard is running (if the target machine is non-domain joined or untrusted domain):
      • 管理者特権の PSH コマンド ウィンドウで、 Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –ConcatenateIn an elevated PSH command window, use the command Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • サーバー マネージャーでの要件In Server Manager:
        • DMZ WAP ホストをコンピューターのプールに追加します ([サーバー マネージャー]、[管理]、[サーバーの追加] の順にクリックし、[DNS] タブを使用)。add DMZ WAP host to machine pool (server manager -> Manage -> Add Servers...use DNS tab)
        • サーバー マネージャーの [すべてのサーバー] タブで、 WAP サーバーを右クリックし、[管理に使用する資格情報] を選択し、WAP コンピューターのローカルの資格情報 (ドメインの資格情報ではない) を入力します。Server Manager All Servers tab: right click WAP server and choose Manage As..., enter local (not domain) creds for the WAP machine
        • リモートの PSH 接続を検証するには、サーバー マネージャーの [すべてのサーバー] タブで WAP サーバーを右クリックし、[Windows PowerShell] を選択します。To validate remote PSH connectivity, in the Server Manager All Servers tab: right click WAP server and choose Windows PowerShell. リモート PSH セッションが開き、リモート PowerShell セッションを確立できます。A remote PSH session should open to ensure remote PowerShell sessions can be established.

SSL 証明書の要件SSL Certificate Requirements

  • AD FS ファームのすべてのノードとすべての Web アプリケーション プロキシ サーバーで同じ SSL 証明書を使用することを強くお勧めします。It’s strongly recommended to use the same SSL certificate across all nodes of your AD FS farm and all Web Application proxy servers.
  • この証明書は x509 証明書である必要があります。The certificate must be an X509 certificate.
  • テスト ラボ環境では、フェデレーション サーバーで自己署名証明書を使用できます。You can use a self-signed certificate on federation servers in a test lab environment. ただし、運用環境では、パブリック CA から証明書を取得することを勧めします。However, for a production environment, we recommend that you obtain the certificate from a public CA.
    • 公的に信頼されていない証明書を使用する場合は、各 Web アプリケーション プロキシ サーバーにインストールされている証明書がローカル サーバーとすべてのフェデレーション サーバーで信頼されていることを確認します。If using a certificate that is not publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers
  • 証明書の ID は、フェデレーション サービス名 (sts.contoso.com など) と一致する必要があります。The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • ID は、dNSName タイプのサブジェクト代替名 (SAN) 拡張、または SAN エントリがない場合は共通名として指定されたサブジェクト名のどちらかになります。The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name specified as a common name.
    • 複数の SAN エントリを証明書に表示できますが、そのうちの 1 つはフェデレーション サービス名に一致させます。Multiple SAN entries can be present in the certificate, provided one of them matches the federation service name.
    • 社内参加を使用する場合は、値 enterpriseregistration If you are planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. の後に組織のユーザー プリンシパル名 (UPN) サフィックス (enterpriseregistration.contoso.com など) が続く追加の SAN が必要です。followed by the User Principal Name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • CryptoAPI Next Generation (CNG) キーとキー記憶域プロバイダーに基づく証明書はサポートされません。Certificates based on CryptoAPI next generation (CNG) keys and key storage providers are not supported. つまり、KSP (キー記憶域プロバイダー) ではなく CSP (暗号化サービス プロバイダー) に基づく証明書を使用する必要があります。This means you must use a certificate based on a CSP (cryptographic service provider) and not a KSP (key storage provider).
  • ワイルドカード証明書がサポートされます。Wild-card certificates are supported.

フェデレーション サーバーの名前解決Name resolution for federation servers

  • イントラネット (内部 DNS サーバー) とエクストラネット (ドメイン レジストラー経由のパブリック DNS) の両方の AD FS フェデレーション サービス名 (sts.contoso.com など) の DNS レコードを設定します。Set up DNS records for the AD FS federation service name (for example sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). イントラネットの DNS レコードの場合は、A レコードを使用し、CNAME レコードは使用しないようにします。For the intranet DNS record, ensure that you use A records and not CNAME records. これは、windows 認証をドメイン参加しているマシンから正常に動作するために必要なことです。This is required for windows authentication to work correctly from your domain joined machine.
  • 複数の AD FS サーバーまたは Web アプリケーション プロキシ サーバーをデプロイする場合は、必ずロード バランサーを構成し、AD FS フェデレーション サービス名 (sts.contoso.com など) の DNS レコードでロード バランサーを指定してください。If you are deploying more than one AD FS server or Web Application Proxy server, then ensure that you have configured your load balancer and that the DNS records for the AD FS federation service name (for example sts.contoso.com) point to the load balancer.
  • イントラネットで Internet Explorer を使用するブラウザー アプリケーションに対して動作する windows 統合認証の場合は、必ず AD FS フェデレーション サービス名 (sts.contoso.com など) を、IE のイントラネット ゾーンに追加してください。For windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS federation service name (for example sts.contoso.com) is added to the intranet zone in IE. これは、グループ ポリシーを使用して制御し、ドメインに参加しているすべてのコンピューターにデプロイすることができます。This can be controlled via group policy and deployed to all your domain joined computers.

Azure AD Connect でサポートされるコンポーネントAzure AD Connect supporting components

Azure AD Connect によって Azure AD Connect のインストール先にインストールされるコンポーネントの一覧を次に示します。The following is a list of components that Azure AD Connect installs on the server where Azure AD Connect is installed. この一覧は、基本的な高速インストール用です。This list is for a basic Express installation. [同期サービスのインストール] ページで異なる SQL Server を使用することを選択した場合、SQL Express LocalDB はローカルにインストールされません。If you choose to use a different SQL Server on the Install synchronization services page, then SQL Express LocalDB is not installed locally.

  • Azure AD Connect HealthAzure AD Connect Health
  • IT プロフェッショナル用 Microsoft Online Services サインイン アシスタント (インストール済みではあるものの、依存されてはいない)Microsoft Online Services Sign-In Assistant for IT Professionals (installed but no dependency on it)
  • Microsoft SQL Server 2012 のコマンド ライン ユーティリティMicrosoft SQL Server 2012 Command Line Utilities
  • Microsoft SQL Server 2012 Express LocalDBMicrosoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native ClientMicrosoft SQL Server 2012 Native Client
  • Microsoft Visual C++ 2013 再配布パッケージMicrosoft Visual C++ 2013 Redistribution Package

Azure AD Connect のハードウェア要件Hardware requirements for Azure AD Connect

次の表は、Azure AD Connect Sync コンピューターの最小要件を示しています。The table below shows the minimum requirements for the Azure AD Connect sync computer.

Active Directory 内のオブジェクトの数Number of objects in Active Directory CPUCPU メモリMemory ハード ドライブのサイズHard drive size
10,000 未満Fewer than 10,000 1.6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
10,000 ~ 50,00010,000–50,000 1.6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
50,000 ~ 100,00050,000–100,000 1.6 GHz1.6 GHz 16 GB16 GB 100 GB100 GB
オブジェクトが 100,000 個以上の場合は完全バージョンの SQL Server が必要For 100,000 or more objects the full version of SQL Server is required
100,000 ~ 300,000100,000–300,000 1.6 GHz1.6 GHz 32 GB32 GB 300 GB300 GB
300,000 ~ 600,000300,000–600,000 1.6 GHz1.6 GHz 32 GB32 GB 450 GB450 GB
600,000 を超過More than 600,000 1.6 GHz1.6 GHz 32 GB32 GB 500 GB500 GB

AD FS または Web アプリケーション サーバーを実行するコンピューターの最小要件を次に示します。The minimum requirements for computers running AD FS or Web Application Servers is the following:

  • CPU: デュアル コア 1.6 GHz 以上CPU: Dual core 1.6 GHz or higher
  • メモリ: 2 GB 以上MEMORY: 2 GB or higher
  • Azure VM: A2 構成またはそれ以上Azure VM: A2 configuration or higher

次のステップNext steps

オンプレミス ID と Azure Active Directory の統合」をご覧ください。Learn more about Integrating your on-premises identities with Azure Active Directory.