Microsoft Entra Connect のトポロジ

この記事では、主要な統合ソリューションとして Microsoft Entra Connect 同期を使用する、さまざまなオンプレミス トポロジおよび Microsoft Entra トポロジについて説明します。 この記事には、サポートされている構成とサポートされていない構成の両方が含まれています。

以下に、この記事での図の凡例を示します。

説明 Symbol
オンプレミスの Active Directory フォレスト On-premises Active Directory forest
オンプレミス Active Directory とフィルター処理されたインポート Active Directory with filtered import
Microsoft Entra Connect 同期サーバー Microsoft Entra Connect Sync server
Microsoft Entra Connect 同期サーバー "ステージング モード" Microsoft Entra Connect Sync server “staging mode”
GALSync(Microsoft Identity Manager (MIM) 2016 適用) GALSync with MIM 2016
Microsoft Entra Connect 同期サーバーの詳細 Microsoft Entra Connect Sync server, detailed
Microsoft Entra ID Microsoft Entra ID
サポートされていないシナリオ Unsupported scenario

重要

公式に文書化されている構成やアクションを除き、Microsoft では Microsoft Entra Connect 同期の変更や操作はサポートされていません。 このような構成やアクションにより、Microsoft Entra Connect 同期が整合性のない、またはサポートされていない状態になる場合があります。その結果として、Microsoft はこのようなデプロイに対してテクニカル サポートを提供することはできません。

シングル フォレスト、シングル Microsoft Entra テナント

Topology for a single forest and a single tenant

最も一般的なトポロジは、(1 つ以上のドメインを含む) 1 つのオンプレミス フォレストと、1 つの Microsoft Entra テナントです。 Microsoft Entra 認証では、パスワード ハッシュ同期が使用されます。 Microsoft Entra Connect の高速インストールでは、このトポロジのみがサポートされます。

シングル フォレスト、複数の同期サーバー、1 つの Microsoft Entra テナント

Unsupported, filtered topology for a single forest

同じ Microsoft Entra テナントに接続される複数の Microsoft Entra Connect 同期サーバーはサポートされていません (ステージング サーバーは除きます)。 これらのサーバーが相互に排他的な一連のオブジェクトと同期するように構成されている場合でもサポートされません。 1 台のサーバーからフォレスト内のすべてのドメインに到達できない場合や、複数のサーバー間で負荷を分散したい場合に、このトポロジを検討したことがあるかもしれません。 (新しい Azure AD Sync Server が新しい Microsoft Entra フォレストおよび新しい検証済み子ドメイン用に構成されている場合、エラーは発生しません。)

複数のフォレスト、シングル Microsoft Entra テナント

Topology for multiple forests and a single tenant

多くの組織の環境には、オンプレミス Active Directory フォレストが複数存在します。 複数のオンプレミス Active Directory フォレストが使用される理由はさまざまです。 一般的な例として、アカウント リソース フォレストのある設計や、合併や買収の結果としての状況があります。

複数のフォレストがある場合は、1 つの Microsoft Entra Connect 同期サーバーが、すべてのフォレストにアクセスできる必要があります。 サーバーをドメインに参加させる必要があります。 すべてのフォレストに到達する必要がある場合は、境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) にサーバーを配置できます。

Microsoft Entra Connect のインストール ウィザードには、複数のフォレスト内で定義されるユーザーを統合するための、いくつかのオプションが用意されています。 その目的は、ユーザーが Microsoft Entra 内で 1 回だけ定義されるようにすることです。 インストール ウィザードのカスタム インストール パスで構成できる一般的なトポロジはいくつかあります。 [ユーザーを一意に識別] ページで、トポロジを表す対応するオプションを選択します。 統合は、ユーザーに対してのみ構成されます。 重複しているグループは既定の構成に統合されません。

一般的なトポロジについては、分離トポロジ、フル メッシュ、およびアカウントリソース トポロジに関するセクションで説明しています。

Microsoft Entra Connect 同期内の既定の構成では、次のことを前提としています。

  • 各ユーザーが持つ有効なアカウントは 1 つのみで、このアカウントが配置されているフォレストがユーザーの認証に使用されます。 これは、パスワード ハッシュ同期、パススルー認証、およびフェデレーションを前提としています。 UserPrincipalName と sourceAnchor/immutableID は、このフォレストから取得されます。
  • 各ユーザーは、メールボックスを 1 つだけ持っています。
  • ユーザーのメールボックスをホストするフォレストは、Exchange のグローバル アドレス一覧 (GAL) で確認できる属性に対して最適なデータ品質を備えています。 ユーザーにメールボックスがない場合、どのフォレストを使用してもこれらの属性値を提供できます。
  • リンクされたメールボックスがある場合は、別のフォレストに、サインインに使用されるアカウントもあります。

環境がこれらの前提と一致しない場合は、次のようになります。

  • アクティブなアカウントまたはメールボックスが複数ある場合、同期エンジンは 1 つを選び、他は無視します。
  • 他のアクティブなアカウントを持たないリンクされたメールボックスは、Microsoft Entra ID にはエクスポートされません。 ユーザー アカウントは、どのグループのメンバーとしても表されません。 DirSync のリンクされたメールボックスは、常に通常のメールボックスとして表されます。 この変更は、マルチフォレスト シナリオをより適切にサポートするための意図的に異なる動作です。

詳細については、既定の構成に関するページを参照してください。

複数のフォレスト、複数の同期サーバー、1 つの Microsoft Entra テナント

Unsupported topology for multiple forests and multiple sync servers

複数の Microsoft Entra Connect 同期サーバーを 1 つの Microsoft Entra テナントに接続することはサポートされていません。 例外として、 ステージング サーバーの使用があります。

このトポロジは、1 つの Microsoft Entra テナントに接続された複数の同期サーバーがサポートされていない点で、以下のトポロジとは異なります。 (サポートはされていませんが、これは引き続き機能します。)

複数のフォレスト、単一の同期サーバー、ユーザーは 1 つのディレクトリだけで表される

Option for representing users only once across all directories

Depiction of multiple forests and separate topologies

この環境では、すべてのオンプレミス フォレストが個別のエンティティとして扱われます。 他のどのフォレストにもユーザーは存在しません。 各フォレストには独自の Exchange 組織があり、フォレスト間に GALSync はありません。 このトポロジは、合併や買収後の組織や、各部署が独立して運営されている組織で見られます。 これらのフォレストは Microsoft Entra ID 内では同じ組織内にあり、統合された GAL で表示されます。 前の画像では、すべてのフォレスト内の各オブジェクトが、メタバース内に一度定義され、ターゲットの Microsoft Entra テナントに集約されます。

複数のフォレスト: ユーザーの一致

これらのすべてのシナリオで共通しているのは、配布グループとセキュリティ グループにユーザー、連絡先、および外部セキュリティ プリンシパル (FSP) を組み合わせて含めることができることです。 FSP は、セキュリティ グループ内の他のフォレストのメンバーを表すために、Active Directory Domain Services (ADDS) で使用されます。 すべての FSP は、Microsoft Entra ID 内の実際のオブジェクトに解決されます。

複数のフォレスト - オプションの GALSync を使用したフル メッシュ

Option for using the mail attribute for matching when user identities exist across multiple directories

Full mesh topology for multiple forests

フル メッシュ トポロジでは、ユーザーおよびリソースを任意のフォレストに配置することができます。 一般的には、フォレスト間に双方向の信頼があります。

複数のフォレストに Exchange が存在する場合は、オンプレミス GALSync ソリューションが (オプションで) 存在することがあります。 その場合、すべてのユーザーが他のすべてのフォレストにおける連絡先として表されます。 GALSync は、通常、Microsoft Identity Manager によって実装されます。 Microsoft Entra Connect は、オンプレミスの GALSync には使用できません。

このシナリオでは、ID オブジェクトはメール属性を通じて結合されます。 あるフォレストのメールボックスを持つユーザーが、他のフォレストの連絡先と結合されます。

複数のフォレスト: アカウント リソース フォレスト

Option for using the ObjectSID and msExchMasterAccountSID attributes for matching when identities exist across multiple directories

Account-resource forest topology for multiple forests

アカウント リソース フォレスト トポロジでは、アクティブなユーザー アカウントを持つ 1 つ以上の "アカウント" フォレストが存在します。 また、アカウントが無効になった 1 つ以上の "リソース" フォレストも存在します。

このシナリオでは、1 つ (以上) のリソース フォレストがすべてのアカウント フォレストを信頼します。 リソース フォレストには、通常、Exchange および Lync を使用する拡張 Active Directory スキーマがあります。 すべての Exchange および Lync サービスと、他の共有サービスは、このフォレストに配置されます。 ユーザーのユーザー アカウントはこのフォレストで無効になり、メールボックスはアカウント フォレストにリンクされます。

Microsoft 365 とトポロジの考慮事項

Microsoft 365 の一部のワークロードでは、サポートされるトポロジに一定の制限が生じます。

ワークロード 制限
Exchange Online Exchange Online でサポートされているハイブリッド トポロジの詳細については、「Hybrid deployments with multiple Active Directory forests (複数の Active Directory フォレストを伴うハイブリッド展開)」を参照してください。
Skype for Business 複数のオンプレミス フォレストを使用している場合は、アカウント リソース フォレスト トポロジのみがサポートされます。 詳細については、「Skype for Business Server 2015 の環境要件」を参照してください。

大規模な組織の場合は、Microsoft 365 PreferredDataLocation 機能を使用することを検討してください。 これにより、ユーザーのリソースが配置されているデータ センターのリージョンを定義できます。

ステージング サーバー

Staging server in a topology

Microsoft Entra Connect では、"ステージング モード" での 2 台目のサーバーのインストールがサポートされています。 このモードのサーバーは、接続されたすべてのディレクトリからデータを読み取りますが、接続されたディレクトリへの書き込みは行いません。 通常の同期サイクルを使用するため、ID データの更新されたコピーを保持します。

プライマリ サーバーで障害が発生した場合は、ステージング サーバーにフェールオーバーできます。 これは、Microsoft Entra Connect ウィザード内で行います。 このセカンド サーバーは、インフラストラクチャをプライマリ サーバーと共有していないため、別のデータ センターに配置することができます。 プライマリ サーバーで行われたすべての構成の変更をセカンド サーバーに手動でコピーする必要があります。

ステージング サーバーは、新しいカスタム構成と、それがデータに与える影響をテストする場合に使用できます。 変化をプレビューし、構成を調整できます。 新しい構成に問題がなければ、ステージング サーバーをアクティブ サーバーにし、元のアクティブ サーバーをステージング モードに設定できます。

この方法は、アクティブな同期サーバーを交換する場合にも使用できます。 新しいサーバーを準備し、ステージング モードに設定してください。 サーバーが良好な状態であることを確認し、ステージング モードを無効 (アクティブ) にしたら、現在アクティブなサーバーをシャットダウンします。

異なるデータ センターに複数のバックアップを用意する場合は、複数のステージング サーバーを持つことができます。

複数の Microsoft Entra テナント

組織の Microsoft Entra ID 内では、1 つのテナントを使用することをお勧めします。 複数の Microsoft Entra テナントの使用を計画する前に、「Microsoft Entra ID の管理単位」の記事をご参照ください。 単一のテナントを使用できる一般的なシナリオを説明しています。

AD オブジェクトを複数の Microsoft Entra テナントと同期する

Diagram that shows a topology of multiple Microsoft Entra tenants.

このトポロジは、次のユース ケースを実現します。

  • AADConnect は 1 つの Active Directory から複数の Microsoft Entra テナントにユーザー、グループ、連絡先を同期することができます。 これらのテナントが置かれる Azure 環境は、たとえば 21Vianet が運営する Microsoft Azure 環境と Azure Government 環境など、それぞれが異なっていることもあり得ますが、2 つのテナントが、どちらも同じ Azure Commercial の Azure 環境に存在するという場合もあります。 オプションの詳細については、「Azure Government アプリケーションの ID の計画を参照してください」。
  • 別々のテナントに存在する単一のオブジェクトに対して同じソース アンカーを使用できます (ただし、同じテナント内の複数のオブジェクトに対しては使用できません)。 (検証済みドメインを 2 つのテナントで同じにすることはできません。同じオブジェクトに 2 つの UPN を設定できるようにするには、追加の詳細が必要です。)
  • 同期したい Microsoft Entra テナントごとに、AADConnect サーバーをデプロイする必要があります。1 つの AADConnect サーバーは、複数の Microsoft Entra テナントに対して同期することはできません。
  • テナントごとに異なる同期スコープおよび異なる同期規則を使用することがサポートされています。
  • 同じオブジェクトを Active Directory に書き戻すように構成できる Microsoft Entra テナント同期は 1 つだけです。 これには、デバイス ライトバックとグループ ライトバック、ハイブリッド Exchange 構成が含まれます。つまり、これらの機能は 1 つのテナントにしか構成できません。 ただし、パスワード ライトバックだけは例外です。この点については後述します。
  • 同じユーザー オブジェクトに対して、Active Directory から複数の Microsoft Entra テナントへのパスワード ハッシュ同期を構成することがサポートされています。 テナントに対してパスワード ハッシュ同期を有効にした場合、パスワード ライトバックも有効になります。この場合、複数のテナントでパスワード ライトバックを実行できます。つまり、あるテナントでパスワードを変更した場合、パスワード ライトバックによって Active Directory 側でもパスワードが更新され、さらに、パスワード ハッシュ同期によって他のテナントのパスワードも更新されます。
  • 複数の Microsoft Entra テナント内に同じカスタム ドメイン名を追加および検証することは (これらのテナントが異なる Azure 環境内に存在する場合でも) サポートされていません。
  • 複数のテナントを使用したシームレス SSO および Microsoft Entra ハイブリッド参加 (ターゲットではないアプローチ) など、AD 内でフォレスト レベルの構成を利用するハイブリッド エクスペリエンスを構成することはサポートされていません。 この構成を利用すると、他のテナントの構成が上書きされ、使用できなくなってしまいます。 その他の情報については、Microsoft Entra ハイブリッド参加のデプロイを計画するをご参照ください。
  • デバイス オブジェクトを複数のテナントに同期することができますが、1 つのデバイスは 1 つのテナントにのみ Microsoft Entra ハイブリッド参加を使用できます。
  • 各 Microsoft Entra Connect インスタンスは、ドメイン参加済みのマシン上で実行されている必要があります。

Note

グローバル アドレス一覧同期 (GalSync) は、このトポロジでは自動的に行われず、各テナントの Exchange Online と Skype for Business Online に完全なグローバル アドレス一覧 (GAL) が含まれるようにするには、カスタム MIM の追加実装が必要です。

書き戻しの使用による GALSync

Unsupported topology for multiple forests and multiple directories, with GALSync focusing on Microsoft Entra IDUnsupported topology for multiple forests and multiple directories, with GALSync focusing on on-premises Active Directory

GALSync とオンプレミスの同期サーバー

GALSync in a topology for multiple forests and multiple directories

オンプレミスの Microsoft Identity Manager を使用し、2 つの Exchange 組織間でユーザーを (GALSync 経由で) 同期することができます。 1 つの組織内のユーザーは、他の組織では外部ユーザーおよび連絡先として表示されます。 これらの異なるオンプレミス Active Directory インスタンスは、独自の Microsoft Entra テナントと同期することができます。

承認されていないクライアントを使用した Microsoft Entra Connect バックエンドへのアクセス

Using unauthorized clients to access the Microsoft Entra Connect backend

Microsoft Entra Connect サーバーは、Microsoft Entra Connect バックエンドを介して Microsoft Entra ID と通信します。 このバックエンドとの通信に使用できるソフトウェアは Microsoft Entra Connect のみです。 その他のソフトウェアや方法を使用して Microsoft Entra Connect バックエンドと通信することはサポートされていません。

次のステップ

これらのシナリオに対して Microsoft Entra Connect をインストールする方法については、「Microsoft Entra Connect のカスタム インストール」をご参照ください。

Microsoft Entra Connect Sync の構成の詳細をご確認ください。

詳細については、オンプレミス ID と Microsoft Entra ID の統合に関する記事を参照してください。