Azure AD Connect:自動アップグレード

Azure AD Connect の自動アップグレードは、Azure AD Connect の新しいバージョンを定期的にチェックする機能です。 サーバーが自動アップグレードに対応していて、そのサーバーが適合している新しいバージョンが見つかった場合、その新しいバージョンへの自動アップグレードが実行されます。 セキュリティ上の理由により、自動アップグレードを実行するエージェントでは、ダウンロードされたバージョンのデジタル署名に基づいて Azure AD Connect の新しいビルドが検証されることに注意してください。

概要

Azure AD Connect のインストールを常に最新の状態に保つことは、 自動アップグレード 機能によって、これまでよりも簡単になりました。 この機能は、高速インストールと DirSync のアップグレード用に既定で有効になっています。 インストールは新しいバージョンのリリース時に自動的にアップグレードされます。 自動アップグレードは、次の場合に既定で有効です。

  • 簡単設定インストールと DirSync のアップグレード。
  • SQL Express LocalDB を使用している (簡単設定で常に使用されます)。 SQL Express を使用した DirSync でも、LocalDB が使用されます。
  • AD アカウントが、簡単設定と DirSync によって作成される既定の MSOL_ アカウントである場合。
  • メタバース内のオブジェクト数が 100,000 未満。

自動アップグレードの現在の状態は、PowerShell コマンドレット Get-ADSyncAutoUpgradeで表示できます。 次のような状態があります。

State 解説
Enabled 自動アップグレードが有効です。
Suspended システムによる設定だけが可能です。 システムは、自動アップグレードを 現在受け付けることができません
無効 自動アップグレードが無効です。

Set-ADSyncAutoUpgrade を使用して、有効無効 を切り替えることができます。 システムだけが、状態を 保留 に設定することができます。 1.1.750.0 より前は、自動アップグレードの状態が一時停止に設定されている場合に、Set-ADSyncAutoUpgrade コマンドレットによって Autoupgrade がブロックされていました。 この機能は変更されたため、AutoUpgrade はブロックされません。

自動アップグレードでは、アップグレード インフラストラクチャに Azure AD Connect Health を使用しています。 自動アップグレードを動作させるには、「 Office 365 URL および IP アドレス範囲 」に記載されているように、 Azure AD Connect Health用にプロキシ サーバーで URL を開いておく必要があります。

Synchronization Service Manager UI がサーバーで実行されている場合は、UI が閉じられるまで、アップグレードが中断されます。

注意

Azure AD Connect のすべてのリリースが自動アップグレードに対応しているわけではありません。 リリースの状態により、リリースが自動アップグレードに対応しているか、ダウンロードにのみ対応しているかが示されます。 Azure AD Connect サーバーに対して自動アップグレードが有効になっており、自動アップグレードの 適格性が構成 にある場合、そのサーバーは、自動アップグレードのためにリリースされた Azure AD Connect の最新バージョンに自動的にアップグレードされます。 詳細については、記事「Azure AD Connect: バージョンのリリース履歴」を参照してください。

自動アップグレードの適格性

自動アップグレードの適格性を得るには、次のいずれかの条件を満たしてはなりません。

結果メッセージ 説明
UpgradeNotSupportedCustomizedSyncRules ユーザーが構成に独自のカスタム ルールを追加しました。
UpgradeNotSupportedInvalidPersistedState インストールが簡単設定でも DirSync のアップグレードでもありません。
UpgradeNotSupportedNonLocalDbInstall SQL Server Express LocalDB データベースが使用されていません。
UpgradeNotSupportedLocalDbSizeExceeded ローカル DB のサイズが 8 GB 以上です。
UpgradeNotSupportedAADHealthUploadDisabled 正常性データのアップロードがポータルから無効になっています。

トラブルシューティング

インストール済みの Connect が想定されているとおりに自動的にアップグレードしない場合は、次の手順を実行して問題の原因を特定してください。

注意点として、自動アップグレードは新しいバージョンがリリースされた当日に試行されるわけではありません。 アップグレードを試行する前に意図的にランダムな時間をおくため、アップグレードがすぐに実行されなくても心配する必要はありません。

問題が生じていると思われる場合は、最初に Get-ADSyncAutoUpgrade を実行して、自動アップグレードが有効になっていることを確認してください。

状態が中断になっている場合は、Get-ADSyncAutoUpgrade -Detail を使用して理由を表示できます。 中断の理由には任意の文字列値を含めることができますが、通常は UpgradeResult の文字列値 (つまり、UpgradeNotSupportedNonLocalDbInstall または UpgradeAbortedAdSyncExeInUse) が格納されます。 UpgradeFailedRollbackSuccess-GetPasswordHashSyncStateFailed などの複合値が返される場合もあります。

また、UpgradeResult ではない結果 (つまり、"AADHealthEndpointNotDefined" または "DirSyncInPlaceUpgradeNonLocalDb") を取得する場合もあります。

その後、プロキシまたはファイアウォールで必要な URL を開いていることを確認してください。 自動更新では、「 概要」で説明されているように、Azure AD Connect Health が使用されています。 プロキシを使用する場合は、 プロキシ サーバーを使用するよう Health が構成されていることを確認します。 また、Azure AD に対する Health の接続 もテストします。

Azure AD への接続が確認されたら、イベント ログを調査します。 イベント ビューアーを起動し、 [アプリケーション] イベントログを確認します。 ソースとして [Azure AD Connect Upgrade (Azure AD Connect のアップグレード)] を選択し、イベント ID 範囲に「300-399」を指定したイベント ログ フィルターを追加します。
[現在のログをフィルター] ウィンドウで、[Event sources](イベント ソース) および [Include/Exclude Event IDs](含める/除外するイベント ID) が強調表示されているスクリーンショット。

これで、自動アップグレードの状態に関連するイベント ログが表示されます。
自動アップグレードのイベントログ フィルター

結果コードには、状態についての概要を含むプレフィックスが付加されています。

結果コードのプレフィックス 説明
Success 正常にアップグレードしました。
UpgradeAborted 一時的な状況により、アップグレードが停止しました。 後でもう一度試すと、成功することが予想されます。
UpgradeNotSupported システム内に、自動アップグレードをブロックしている構成があります。 状態が変更中であるかどうかを確認するためにもう一度試行されますが、システムを手動でアップグレードする必要があると考えられます。

特によく表示されるメッセージの一覧を次に示します。 これですべてではありませんが、結果メッセージを見ると、何が問題となっているかが把握しやすくなります。

結果メッセージ 説明
UpgradeAborted
UpgradeAbortedCouldNotSetUpgradeMarker レジストリに書き込むことができません。
UpgradeAbortedInsufficientDatabasePermissions 組み込みの Administrators グループにデータベースへのアクセス許可がありません。 これを解決するには、最新バージョンの Azure AD Connect に手動でアップグレードしてください。
UpgradeAbortedInsufficientDiskSpace アップグレードをサポートするのに十分なディスク領域がありません。
UpgradeAbortedSecurityGroupsNotPresent 同期エンジンで使用されるすべてのセキュリティ グループが見つからず、解決できません。
UpgradeAbortedServiceCanNotBeStarted NT サービス Microsoft Azure AD Sync を起動できませんでした。
UpgradeAbortedServiceCanNotBeStopped NT サービス Microsoft Azure AD Sync を停止できませんでした。
UpgradeAbortedServiceIsNotRunning NT サービス Microsoft Azure AD Sync が実行されていません。
UpgradeAbortedSyncCycleDisabled スケジューラ の SyncCycle オプションが無効になっています。
UpgradeAbortedSyncExeInUse サーバーで Sychronization Service Manager UI が開いています。
UpgradeAbortedSyncOrConfigurationInProgress インストール ウィザードが実行されているか、同期がスケジューラ以外の場所でスケジュールされました。
UpgradeNotSupported
UpgradeNotSupportedCustomizedSyncRules ユーザーが構成に独自のカスタム ルールを追加しました。
UpgradeNotSupportedInvalidPersistedState インストールが簡単設定でも DirSync のアップグレードでもありません。
UpgradeNotSupportedNonLocalDbInstall SQL Server Express LocalDB データベースが使用されていません。
UpgradeNotSupportedLocalDbSizeExceeded ローカル DB のサイズが 8 GB 以上です。
UpgradeNotSupportedAADHealthUploadDisabled 正常性データのアップロードがポータルから無効になっています。

次のステップ

オンプレミス ID と Azure Active Directory の統合」をご覧ください。