Azure AD Connect のカスタム インストールCustom installation of Azure AD Connect

Azure AD Connect カスタム設定 は、より多くのインストール オプションが必要な場合に使用します。Azure AD Connect Custom settings is used when you want more options for the installation. この設定を使用するのは、複数のフォレストがある場合や、高速インストールの対象でないオプション機能を構成する必要がある場合です。It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. 高速インストール オプションで対象のデプロイまたはトポロジに対応できない場合は、常にこの設定を使用します。It is used in all cases where the express installation option does not satisfy your deployment or topology.

Azure AD Connect のインストールを始める前に、必ず Azure AD Connect をダウンロードし、Azure AD Connect のハードウェアと前提条件に関するページに記載されている前提条件の手順を完了してください。Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. また、「 Azure AD Connect: アカウントとアクセス許可」で説明されているとおりに必要なアカウントが利用できることを確認してください。Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

カスタマイズした設定が対象のトポロジに適さない場合は (DirSync をアップグレードする場合など)、関連ドキュメントでその他のシナリオを確認してください。If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Azure AD Connect のカスタム設定を使用したインストールCustom settings installation of Azure AD Connect

簡単設定Express Settings

このページで [カスタマイズ] をクリックして、カスタム設定を使用したインストールを開始します。On this page, click Customize to start a customized settings installation.

必須コンポーネントのインストールInstall required components

同期サービスをインストールするとき、オプションの構成セクションをオフのままにすると、Azure AD Connect によってすべてが自動的に設定されます。When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. これにより、SQL Server 2012 Express LocalDB インスタンスの設定、適切なグループの作成、アクセス許可の割り当てが行われます。It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. 既定値を変更する場合は、次の表を利用すると、任意で使用できる構成オプションについて把握することができます。If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.


オプションの構成Optional Configuration 説明Description
既存の SQL Server を使用するUse an existing SQL Server SQL Server 名とインスタンス名を指定することができます。Allows you to specify the SQL Server name and the instance name. 使用するデータベース サーバーが既にある場合は、このオプションを選択します。Choose this option if you already have a database server that you would like to use. SQL Server で参照が有効になっていない場合は、 [インスタンス名] に、インスタンス名、コンマ、ポート番号の順に入力してください。Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. 次に、Azure AD Connect データベースの名前を指定します。Then specify the name of the Azure AD Connect database. SQL 権限によって、新しいデータベースが作成されるか、SQL 管理者が事前にデータベースを作成する必要があるかどうかが決まります。Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. SQL SA 権限がある場合は、既存のデータベースを使用したインストール方法に関するページをご覧ください。If you have SQL SA permissions see How to install using an existing database. 権限 (DBO) が委任されている場合は、「SQL によって委任された管理者のアクセス許可を使用した Azure AD Connect のインストール」をご覧ください。If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
既存のサービス アカウントを使用するUse an existing service account 既定では、同期サービスで使用する仮想サービス アカウントが Azure AD Connect によって使用されます。By default Azure AD Connect uses a virtual service account for the synchronization services to use. リモート SQL サーバーを使用する場合、または認証が必要なプロキシを使用する場合は、管理されたサービス アカウントか、ドメイン内のサービス アカウントとパスワードが必要です。If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. このような場合は、使用するアカウントを入力します。In those cases, enter the account to use. サービス アカウントのログインを作成するには、SQL の SA がインストールを実行してください。Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Azure AD Connect: アカウントとアクセス許可」を参照してください。See Azure AD Connect accounts and permissions.
最新のビルドでは、SQL 管理者が帯域外でデータベースのプロビジョニングを実行し、データベース所有者権限を持つ Azure AD Connect 管理者がインストールできます。With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. 詳細については、「Install Azure AD Connect using SQL delegated administrator permissions (SQL によって委任された管理者の権限を使用した Azure AD Connect のインストール)」を参照してください。For more information see Install Azure AD Connect using SQL delegated administrator permissions.
カスタム同期グループを指定するSpecify custom sync groups 既定では、同期サービスのインストール時に、Azure AD Connect によってサーバーに対してローカルな 4 つのグループが作成されます。By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. これらのグループは、管理者グループ、オペレーター グループ、参照グループ、パスワード再設定グループです。These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. ここでは独自のグループを指定できます。You can specify your own groups here. グループは、サーバー上にローカルに存在する必要があり、ドメイン内に置くことはできません。The groups must be local on the server and cannot be located in the domain.

ユーザーのサインインUser sign-in

必要なコンポーネントがインストールされると、ユーザーによるシングル サインオンの方法を選択するように求められます。After installing the required components, you are asked to select your users single sign-on method. 次の表に、指定できるオプションの簡単な説明を示します。The following table provides a brief description of the available options. サインイン方法の詳細については、ユーザーのサインインに関するページを参照してください。For a full description of the sign-in methods, see User sign-in.

User Sign in

シングル サインオン オプションSingle Sign On option 説明Description
パスワード ハッシュの同期Password Hash Sync ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Office 365 などの Microsoft クラウド サービスにサインインできます。Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. ユーザーのパスワードはパスワード ハッシュとして Azure AD に同期され、クラウドで認証が行われます。The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. 詳細については、パスワード ハッシュの同期に関するページを参照してください。See Password hash synchronization for more information.
パススルー認証Pass-through Authentication ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Office 365 などの Microsoft クラウド サービスにサインインできます。Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. ユーザー パスワードはオンプレミスの Active Directory ドメイン コントローラーにパススルーされて検証されます。The users password is passed through to the on-premises Active Directory domain controller to be validated.
AD FS とのフェデレーションFederation with AD FS ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Office 365 などの Microsoft クラウド サービスにサインインできます。Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. ユーザーはサインインのためにオンプレミスの AD FS インスタンスにリダイレクトされ、認証はオンプレミスで行われます。The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
PingFederate によるフェデレーションFederation with PingFederate ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Office 365 などの Microsoft クラウド サービスにサインインできます。Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. ユーザーはサインインのためにオンプレミスの PingFederate インスタンスにリダイレクトされ、認証はオンプレミスで行われます。The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
構成しないDo not configure ユーザー サインイン機能はインストールおよび構成されません。No user sign-in feature is installed and configured. サード パーティのフェデレーション サーバーまたは別の既存のソリューションが既に設置されている場合は、このオプションを選択します。Choose this option if you already have a 3rd party federation server or another existing solution in place.
シングル サインオンを有効にするEnable Single Sign on このオプションは、パスワード ハッシュの同期とパススルー認証の両方で使用でき、企業ネットワーク上のデスクトップ ユーザーにシングル サインオン エクスペリエンスを提供します。This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. 詳細については、シングル サインオンに関するページをご覧ください。See Single sign-on for more information.
AD FS ユーザーはこのオプションを使用できません。AD FS によって同レベルのシングル サインオンが既に提供されているためです。Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Azure への接続Connect to Azure AD

[Azure AD に接続] 画面で、グローバル管理者のアカウントとパスワードを入力します。On the Connect to Azure AD screen, enter a global admin account and password. 前のページで [AD FS とのフェデレーション] を選択した場合、フェデレーション用に有効にする予定があるドメイン内のアカウントでサインインしないようにしてください。If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Azure AD テナントに付属する既定の ドメイン内のアカウントを使用することをお勧めします。A recommendation is to use an account in the default domain, which comes with your Azure AD tenant.

このアカウントは、Azure AD のサービス アカウントを作成するためにのみ使用され、ウィザードが完了した後は使用されません。This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
User Sign in

グローバル管理者アカウントで MFA が有効にされている場合は、サインイン ポップアップに再度パスワードを入力し、MFA チャレンジを完了する必要があります。If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. チャレンジは確認コードの入力か音声通話によって行うことができます。The challenge could be a providing a verification code or a phone call.
User Sign in MFA

グローバル管理者アカウントは Privileged Identity Management も有効になっている可能性があります。The global admin account can also have Privileged Identity Management enabled.

接続に問題があり、エラーが発生する場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

[同期] セクションのページPages under the Sync section

ディレクトリの接続Connect your directories

Azure AD Connect では、Active Directory ドメイン サービスに接続するには、十分なアクセス許可を持つアカウントのフォレスト名と資格情報が必要です。To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.


フォレスト名を入力し、 [ディレクトリの追加] をクリックすると、ポップアップ ダイアログが表示され、次のオプションの指定が求められます。After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

オプションOption 説明Description
新しいアカウントを作成しますCreate new account ディレクトリ同期中に Azure AD Connect が AD フォレストに接続するために必要な AD DS アカウントを Azure AD Connect ウィザードで作成する場合は、このオプションを選択します。Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. このオプションを選択した場合は、エンタープライズ管理者アカウントのユーザー名とパスワードを入力します。When this option is selected, enter the username and password for an enterprise admin account. 指定したエンタープライズ管理者アカウントは、Azure AD Connect ウィザードで、必要な AD DS アカウントを作成するために使用されます。The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. ドメインの部分は NetBios または FQDN の形式で入力できます (FABRIKAM\administrator または\administrator)。You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or\administrator.
既存のアカウントを使用しますUse existing account ディレクトリ同期中に Azure AD Connect が Azure AD Connect に接続する際に使用される既存の AD DS アカウントを指定する場合は、このオプションを選択します。Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. ドメインの部分は NetBios または FQDN の形式で入力できます (FABRIKAM\syncuser または\syncuser)。You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or\syncuser. このアカウントには既定の読み取りアクセス許可が必要なだけなので、通常のユーザー アカウントを指定できます。This account can be a regular user account because it only needs the default read permissions. ただし、シナリオによっては、アクセス許可がさらに必要になることがあります。However, depending on your scenario, you may need more permissions. 詳細については、Azure AD Connect アカウントとアクセス許可に関するページを参照してください。For more information, see Azure AD Connect Accounts and permissions.


エンタープライズ管理者アカウントとドメイン管理者アカウントはサポートされないEnterprise Admin and Domain Admin accounts not supported

ビルド 以降では、エンタープライズ管理者アカウントまたはドメイン管理者アカウントを AD DS コネクタ アカウントとして使用することはサポートされません。As of build it is no longer supported to use an Enterprise Admin or a Domain Admin account as the AD DS Connector account. 既存のアカウントを使用するよう指定するときにエンタープライズ管理者アカウントまたはドメイン管理者アカウントを入力しようとすると、次のエラーが発生します。If you attempt to enter an account that is an enterprise admin or domain admin when specifying use existing account, you will receive the following error:

"AD フォレスト アカウントにエンタープライズまたはドメインの管理者アカウントを使用することはできません。Azure AD Connect でアカウントを作成するか、適切なアクセス許可を持つ同期アカウントを指定してください。<詳細情報>"“Using an Enterprise or Domain administrator account for your AD forest account is not allowed. Let Azure AD Connect create the account for you or specify a synchronization account with the correct permissions. <Learn More>”

Azure AD サインインの構成Azure AD sign-in configuration

このページでは、オンプレミスの AD DS に存在し、Azure AD で検証された UPN ドメインを確認できます。This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. また、userPrincipalName に使用する属性を構成できます。This page also allows you to configure the attribute to use for the userPrincipalName.

Unverified domainsUnverified domains
[Not Added (追加されていません)][Not Verified (検証されていません)] のマークが付いたドメインをすべて確認します。Review every domain marked Not Added and Not Verified. 使用するドメインを Azure AD で検証済みにしてください。Make sure those domains you use have been verified in Azure AD. 対象のドメインを検証済みにしたら、更新シンボルをクリックします。Click the Refresh symbol when you have verified your domains. 詳細については、ドメインの追加と検証に関するページを参照してください。For more information, see add and verify the domain

UserPrincipalName - userPrincipalName 属性は、ユーザーが Azure AD と Office 365 にサインインするときに使用する属性です。UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. 使用するドメイン (UPN サフィックス) は、ユーザーを同期する前に、Azure AD で検証する必要があります。The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. 既定の userPrincipalName 属性のままにしておくことをお勧めします。Microsoft recommends to keep the default attribute userPrincipalName. この属性がルーティング不可能で検証できない場合は、別の属性を選択することができます。If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. たとえば、サインイン ID を保持する属性として電子メールを選択することができます。You can for example select email as the attribute holding the sign-in ID. userPrincipalName 以外の属性を使用する方法は、 代替 IDと呼ばれます。Using another attribute than userPrincipalName is known as Alternate ID. 代替 ID の属性値は、RFC822 標準に従う必要があります。The Alternate ID attribute value must follow the RFC822 standard. 代替 ID は、パスワード ハッシュの同期、パススルー認証、およびフェデレーションで使用できます。An Alternate ID can be used with password hash sync, pass-through authentication, and federation. Active Directory では、値が 1 つのみであってもこの属性を複数値として定義できません。The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value. Alternate ID の詳細については、ここをクリックしてください。For more information on the Alternate ID, please click here.


パススルー認証を有効にする場合、ウィザードを続行するために少なくとも 1 つの検証済みドメインが必要になります。When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.


代替 ID の使用は、すべての Office 365 ワークロードと互換性があるわけではありません。Using an Alternate ID is not compatible with all Office 365 workloads. 詳細については、「 Configuring Alternate Login ID (代替ログイン ID の構成)」を参照してください。For more information, refer to Configuring Alternate Login ID.

ドメインと OU のフィルター処理Domain and OU filtering

既定では、すべてのドメインと OU が同期されます。By default all domains and OUs are synchronized. Azure AD に同期させたくないドメインまたは OU がある場合は、これらのドメインと OU を選択解除できます。If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
DomainOU フィルター処理DomainOU filtering
ウィザード内のこのページでは、ドメイン ベースおよび OU ベースのフィルター処理を構成します。This page in the wizard is configuring domain-based and OU-based filtering. 変更を予定している場合は、変更を行う前に、ドメイン ベースのフィルター処理に関するトピックと OU ベースのフィルター処理に関するトピックを参照してください。If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. 一部の OU はこの機能に不可欠であるため、選択解除しないでください。Some OUs are essential for the functionality and should not be unselected.

1.1.524.0 より前のバージョンの Azure AD Connect で OU ベースのフィルター処理を使用している場合、後で追加された新しい OU は、既定で同期されます。If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. 新しい OU が同期されないようにする場合は、ウィザードの完了後に OU ベースのフィルター処理で構成できます。If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. Azure AD Connect バージョン 1.1.524.0 以降では、新しい OU を同期するかどうかを指定できます。For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

グループベースのフィルター処理を使用する予定の場合は、そのグループが属する OU が含まれており、OU ベースのフィルター処理によって除外されないようにしてください。If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. OU ベースのフィルター処理は、グループベースのフィルター処理の前に評価されます。OU filtering is evaluated before group-based filtering.

さらに、一部のドメインは、ファイアウォールの制限のために到達できないこともあります。It is also possible that some domains are not reachable due to firewall restrictions. このようなドメインは既定で選択が解除されており、警告が表示されます。These domains are unselected by default and have a warning.
この警告が表示される場合は、これらのドメインが実際に到達不能であり、警告の表示が予想されるものであることを確認してください。If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

ユーザーを一意に識別Uniquely identifying your users

オンプレミスのディレクトリでのユーザーの識別方法を選択するSelect how users should be identified in your on-premises directories

[フォレスト全体で一致] 機能を使用すると、AD DS フォレストのユーザーを Azure AD でどう表すかを定義することができます。The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. ユーザーは、すべてのフォレストで 1 回だけ表すか、有効アカウントと無効アカウントを組み合わせることができます。A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. 一部のフォレストでは、ユーザーを連絡先として表すこともできます。The user might also be represented as a contact in some forests.


SettingSetting 説明Description
ユーザーはフォレスト全体で 1 回だけ表されますUsers are only represented once across all forests すべてのユーザーは、Azure AD の個々のオブジェクトとして作成されます。All users are created as individual objects in Azure AD. オブジェクトは、メタバースに結合されません。The objects are not joined in the metaverse.
メール属性Mail attribute このオプションは、異なるフォレスト間でメール属性が同じ値である場合に、ユーザーと連絡先を結合します。This option joins users and contacts if the mail attribute has the same value in different forests. 連絡先が GALSync を使用して作成されている場合に、このオプションを使用してください。Use this option when your contacts have been created using GALSync. このオプションを選択した場合、メール属性が設定されていないユーザー オブジェクトは、Azure AD との間で同期されません。If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID と msExchangeMasterAccountSID/msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid このオプションでは、アカウント フォレスト内の有効なユーザーと、リソース フォレスト内の無効なユーザーが結合されます。This option joins an enabled user in an account forest with a disabled user in a resource forest. Exchange では、この構成はリンクされたメールボックスと呼ばれています。In Exchange, this configuration is known as a linked mailbox. このオプションは、Lync のみを使用し、Exchange がリソース フォレスト内にない場合にも使用できます。This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName および MailNickNamesAMAccountName and MailNickName このオプションは、ユーザーのサインイン ID を見つけるために必要な属性同士を結合します。This option joins on attributes where it is expected the sign-in ID for the user can be found.
特有の属性A specific attribute このオプションでは、独自の属性を選択することができます。This option allows you to select your own attribute. このオプションを選択した場合、(選択した) 属性が設定されていないユーザー オブジェクトは、Azure AD との間で同期されません。If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. 制限: 必ずメタバース内に既に存在する属性を選択するようにしてください。Limitation: Make sure to pick an attribute that already can be found in the metaverse. カスタム属性 (メタバースにない属性) を選択すると、ウィザードが完了できません。If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Azure AD でのユーザーの識別方法を選択する - ソース アンカーSelect how users should be identified with Azure AD - Source Anchor

sourceAnchor 属性は、ユーザー オブジェクトの有効期間中に変更できない属性です。The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. オンプレミスのユーザーと Azure AD のユーザーをリンクするプライマリ キーです。It is the primary key linking the on-premises user with the user in Azure AD.

SettingSetting 説明Description
ソース アンカーの管理を Azure に任せるLet Azure manage the source anchor for me Azure AD に属性を選択させる場合は、このオプションを選択します。Select this option if you want Azure AD to pick the attribute for you. このオプションを選択すると、Azure AD Connect ウィザードが sourceAnchor 属性選択ロジックを適用します。このロジックについては、「Azure AD Connect: 設計概念」の「sourceAnchor としての ms-DS-ConsistencyGuid の使用」を参照してください。If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. どの属性がソース アンカー属性として選択されたかは、カスタム インストールの完了後、ウィザードに表示されます。The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
特有の属性A specific attribute sourceAnchor 属性として既存の AD 属性を指定する場合は、このオプションを選択します。Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

この属性は変更できないため、適切な属性を使用するように計画する必要があります。Since the attribute cannot be changed, you must plan for a good attribute to use. 適切な属性として考えられるのは objectGUID です。A good candidate is objectGUID. この属性は、ユーザー アカウントをフォレスト/ドメイン間で移動しなければ、変更されません。This attribute is not changed, unless the user account is moved between forests/domains. ユーザーが結婚したり割り当てが変更されたりした場合に変化する可能性のある属性は、使用しないようにしてください。Avoid attributes that would change when a person marries or change assignments. @-sign が含まれる属性は使用できないので、電子メールや userPrincipalName は使用できません。You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. 属性では大文字と小文字も区別されるため、フォレスト間でオブジェクトを移動する場合は、大文字と小文字をそのままの状態に維持するようにしてください。The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. バイナリ属性は base64 でエンコードされますが、他の種類の属性はエンコードされない状態のままになります。Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. フェデレーション シナリオと一部の Azure AD インターフェイスでは、この属性は immutableID とも呼ばれます。In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. ソース アンカーの詳細については、設計概念に関するページを参照してください。More information about the source anchor can be found in the design concepts.

グループに基づく同期フィルタリングSync filtering based on groups

グループに基づくフィルタリング機能では、パイロット用にごく一部のオブジェクトのみを同期することができます。The filtering on groups feature allows you to sync only a small subset of objects for a pilot. この機能を使用するには、対象とするグループをオンプレミスの Active Directory に作成します。To use this feature, create a group for this purpose in your on-premises Active Directory. 次に、直接のメンバーとして Azure AD に同期するユーザーとグループを追加します。Then add users and groups that should be synchronized to Azure AD as direct members. このグループには後でユーザーを追加したりユーザーを削除したりして、Azure AD に表示するオブジェクトの一覧を管理することができます。You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. 同期するオブジェクトはすべて、グループの直接のメンバーである必要があります。All objects you want to synchronize must be a direct member of the group. ユーザー、グループ、連絡先、およびコンピューター/デバイスは、すべて直接のメンバーにする必要があります。Users, groups, contacts, and computers/devices must all be direct members. 入れ子になったグループのメンバーシップは解決されません。Nested group membership is not resolved. グループをメンバーとして追加すると、グループ自体は追加されますが、そのグループのメンバーは追加されません。When you add a group as a member, only the group itself is added and not its members.



この機能は、パイロット デプロイのサポートのみを目的としています。This feature is only intended to support a pilot deployment. 本格的な運用環境のデプロイでは使用しないでください。Do not use it in a full-blown production deployment.

本格的な運用環境のデプロイでは、単一のグループを維持しながらすべてのオブジェクトを同期することは困難になります。In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. 代わりに、フィルター処理の構成に関するページで説明されている手法のいずれかを使用してください。Instead you should use one of the methods in Configure filtering.

オプション機能Optional Features

この画面では、特定のシナリオのためにオプション機能を選択することができます。This screen allows you to select the optional features for your specific scenarios.


1.0.8641.0 とそれ以前のバージョンの Azure AD Connect では、パスワード ライトバックで Azure Access Control サービスに依存しています。Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. このサービスは 2018 年 11 月 7 日に廃止されます。This service will be retired on November 7th 2018. これらのいずれかのバージョンの Azure AD Connect を使用しており、パスワード ライトバックを有効にしている場合、サービスが廃止されると、ユーザーはパスワードを変更またはリセットできなくなる可能性があります。If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. これらのバージョンの Azure AD Connect では、パスワード ライトバックはサポートされません。Password writeback with these versions of Azure AD Connect will not be supported.

Azure Access Control サービスの詳細については、「方法: Azure Access Control Service からの移行」を参照してください。For more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

最新バージョンの Azure AD Connect をダウンロードするには、ここをクリックしてください。To download the latest version of Azure AD Connect click here.



現時点で DirSync または Azure AD Sync がアクティブになっている場合は、Azure AD Connect の書き戻し機能をアクティブにしないでください。If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

オプション機能Optional Features 説明Description
Exchange ハイブリッドのデプロイExchange Hybrid Deployment Exchange ハイブリッド展開機能を利用すると、オンプレミスと Office 365 で Exchange メールボックスが共存できるようになります。The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Azure AD Connect により、Azure AD の特定の属性セットがオンプレミスのディレクトリに同期されます。Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Exchange メールのパブリック フォルダーExchange Mail Public Folders Exchange メールのパブリック フォルダー機能を使用すると、メール対応のパブリック フォルダー オブジェクトをオンプレミスの Active Directory から Azure AD に同期することができます。The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Azure AD アプリと属性フィルターAzure AD app and attribute filtering Azure AD アプリと属性フィルターを有効にすると、同期される属性セットをカスタマイズできます。By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. このオプションにより、2 つの構成ページがウィザードに追加されます。This option adds two more configuration pages to the wizard. 詳細については、「 Azure AD アプリと属性フィルター」を参照してください。For more information, see Azure AD app and attribute filtering.
パスワード ハッシュの同期Password hash synchronization サインイン ソリューションとしてフェデレーションを選択した場合は、このオプションを有効にすることができます。If you selected federation as the sign-in solution, then you can enable this option. バックアップ オプションとして、パスワード ハッシュ同期を使用できます。Password hash synchronization can then be used as a backup option. 詳細については、パスワード ハッシュの同期に関するページを参照してください。For additional information, see Password hash synchronization.
パススルー認証を選択した場合、レガシ クライアントをサポートするために、このオプションをバックアップ オプションとして有効にすることもできます。If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. 詳細については、パスワード ハッシュの同期に関するページを参照してください。For additional information, see Password hash synchronization.
パスワードの書き戻しPassword writeback パスワード ライトバックを有効にすると、Azure AD で行われたパスワードの変更が、オンプレミスのディレクトリに書き戻されます。By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. 詳細については、「パスワード管理の概要」を参照してください。For more information, see Getting started with password management.
グループの書き戻しGroup writeback Office 365 グループ 機能を使用すると、そのグループをオンプレミスの Active Directory 内に表示することができます。If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. このオプションが使用できるのは、オンプレミスの Active Directory 内に Exchange が置かれている場合に限られます。This option is only available if you have Exchange present in your on-premises Active Directory. 詳細については、「グループの書き戻し」を参照してください。For more information, see Group writeback.
デバイスの書き戻しDevice writeback 条件付きアクセスのシナリオの場合は、Azure AD 内のデバイス オブジェクトをオンプレミスの Active Directory に書き戻すことができます。Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. 詳細については、Azure AD Connect でのデバイスの書き戻しの有効化に関するページを参照してください。For more information, see Enabling device writeback in Azure AD Connect.
ディレクトリ拡張属性の同期Directory extension attribute sync ディレクトリ拡張機能の属性の同期を有効にすると、指定した属性が Azure AD に同期されます。By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. 詳細については、ディレクトリ拡張機能に関するページを参照してください。For more information, see Directory extensions.

Azure AD アプリと属性フィルターAzure AD app and attribute filtering

Azure AD に同期する属性を制限する場合、まずは使用しているサービスを選択します。If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. このページの構成に変更を加える場合は、インストール ウィザードを再度実行して新しいサービスを明示的に選択する必要があります。If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Optional features Apps

前の手順で選択したサービスに基づいて、次のページに、同期対象となるすべての属性が表示されます。Based on the services selected in the previous step, this page shows all attributes that are synchronized. この一覧は、同期されるすべてのオブジェクトの種類の組み合わせです。This list is a combination of all object types being synchronized. 特定の属性を同期しないように設定する必要がある場合は、該当する属性の選択を解除します。If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Optional features Attributes


属性の選択を解除すると、機能に影響が生じる場合があります。Removing attributes can impact functionality. ベスト プラクティスと推奨事項については、同期する属性に関するページを参照してください。For best practices and recommendations, see attributes synchronized.

ディレクトリ拡張属性の同期Directory Extension attribute sync

Azure AD のスキーマは、組織によって追加されたカスタム属性や Active Directory 内のその他の属性を使用して拡張することができます。You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. この機能を使用するには、 [オプション機能] ページの [Directory Extension attribute sync (ディレクトリ拡張機能の属性の同期)] を選択します。To use this feature, select Directory Extension attribute sync on the Optional Features page. このページで、同期する属性をさらに選択できます。You can select more attributes to sync on this page.


使用可能な属性のボックスでは、大文字と小文字は区別されます。The Available attributes box is case sensitive.


詳細については、ディレクトリ拡張機能に関するページを参照してください。For more information, see Directory extensions.

シングル サインオン (SSO) の有効化Enabling Single sign on (SSO)

パスワード同期またはパススルー認証で使用するシングル サインオンを構成するのは簡単です。Azure AD に同期されているフォレストごとに一度プロセスを完了するだけでかまいません。Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. 構成には次の 2 つの手順が含まれます。Configuration involves two steps as follows:

  1. オンプレミスの Active Directory での必要なコンピューター アカウントの作成。Create the necessary computer account in your on-premises Active Directory.
  2. シングル サインオンをサポートするクライアント コンピューターのイントラネット ゾーンの構成。Configure the intranet zone of the client machines to support single sign on.

Active Directory でのコンピューター アカウントの作成Create the computer account in Active Directory

Azure AD Connect で追加されたフォレストごとに、ドメイン管理者の資格情報を入力する必要があります。そうすることで、フォレストごとにコンピューター アカウントを作成できます。For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. 資格情報はアカウントの作成にのみ使用され、他の操作のために保存されたり使用されたりすることはありません。The credentials are only used to create the account and are not stored or used for any other operation. 次に示す Azure AD Connect ウィザードの [シングル サインオンを有効にする] ページで、資格情報を入力します。Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

[シングル サインオンを有効にする]


シングル サインオンを使用しない特定のフォレストについては、スキップすることができます。You can skip a particular forest if you do not wish to use Single sign on with that forest.

クライアント コンピューターのイントラネット ゾーンの構成Configure the Intranet Zone for client machines

クライアントがイントラネット ゾーンで自動的にサインインするように、その URL をイントラネット ゾーンに含めるようにする必要があります。To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. これを行うことで、ドメインに参加しているコンピューターが、企業ネットワークに接続された際に Kerberos チケットを Azure AD に自動的に送信するようになります。This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. グループ ポリシー管理ツールがあるコンピューターで次の手順を実行します。On a computer that has the Group Policy management tools.

  1. グループ ポリシー管理ツールを開きます。Open the Group Policy Management tools

  2. すべてのユーザーに適用されるグループ ポリシーを編集します。Edit the Group policy that will be applied to all users. 既定のドメイン ポリシーなどです。For example, the Default Domain Policy.

  3. [ユーザーの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Internet Explorer]、[インターネット コントロール パネル]、[セキュリティ] の順に移動して、下の図のように [サイトとゾーンの割り当て一覧] を選択します。Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. ポリシーを有効にし、ダイアログ ボックスに次の項目を入力します。Enable the policy, and enter the following item in the dialog box.

    Value: ``  
    Data: 1  
  5. 次のようになります。It should look similar to the following:
    イントラネット ゾーン

  6. [OK] を 2 回クリックします。Click Ok twice.

AD FS とのフェデレーションの構成Configuring federation with AD FS

Azure AD Connect との AD FS の構成は簡単であり、必要なのは数回のクリックのみです。Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. 構成の前に、以下のものを用意する必要があります。The following is required before the configuration.

  • フェデレーション サーバー用の Windows Server 2012 R2 以降のサーバー (リモート管理を有効に設定)A Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Web アプリケーション プロキシ サーバー用の Windows Server 2012 R2 以降のサーバー (リモート管理を有効に設定)A Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • 使用する予定のフェデレーション サービス名の SSL 証明書 ( など)An SSL certificate for the federation service name you intend to use (for example


フェデレーション信頼の管理に Azure AD Connect を使っていない場合でも、AD FS ファームの SSL 証明書は、Azure AD Connect を使って更新することができます。You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

AD FS の構成の前提条件AD FS configuration pre-requisites

Azure AD Connect を使用して AD FS ファームを構成するには、リモート サーバー上で WinRM が有効になっている必要があります。To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. フェデレーションの前提条件の他のタスクを完了したことを確認します。Make sure you have completed the other tasks in federation prerequisites. 加えて、「表 3 - Azure AD Connect とフェデレーション サーバー/WAP」に記載されているポート要件も確認してください。In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

新しい AD FS ファームの作成または既存の AD FS ファームの使用Create a new AD FS farm or use an existing AD FS farm

既存の AD FS ファームを使用することも、新しい AD FS ファームを作成することもできます。You can use an existing AD FS farm or you can choose to create a new AD FS farm. 新しく作成する場合は、SSL 証明書を提供する必要があります。If you choose to create a new one, you are required to provide the SSL certificate. SSL 証明書がパスワードで保護されている場合は、パスワードを入力するように求められます。If the SSL certificate is protected by a password, you are prompted for the password.

AD FS ファーム

既存の AD FS ファームを使用する場合は、AD FS と Azure AD の間の信頼関係を構成する画面に直接移動します。If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.


Azure AD Connect を使って管理できる AD FS ファームは 1 つだけです。Azure AD Connect can be used to manage only one AD FS farm. 選択した AD FS ファーム上に構成されている Azure AD との間に既存のフェデレーション信頼がある場合、その信頼が Azure AD Connect によって最初から再作成されます。If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

AD FS サーバーの指定Specify the AD FS servers

AD FS をインストールするサーバーを入力します。Enter the servers that you want to install AD FS on. 容量計画のニーズに基づいて 1 つまたは複数のサーバーを追加することができます。You can add one or more servers based on your capacity planning needs. この構成を実行する前に、すべての AD FS サーバー (WAP サーバーの場合は不要) を Active Directory に参加させてください。Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. テスト デプロイとパイロット デプロイ用に単一の AD FS サーバーをインストールすることをお勧めします。Microsoft recommends installing a single AD FS server for test and pilot deployments. 初期構成の後に Azure AD Connect を再度実行し、容量拡大のニーズを満たすようにサーバーをさらに追加してデプロイします。Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.


この構成を実行する前に、すべてのサーバーが 1 つの AD ドメインに参加していることを確認してください。Ensure that all your servers are joined to an AD domain before you do this configuration.

AD FS サーバー

Web アプリケーション プロキシ サーバーの指定Specify the Web Application Proxy servers

Web アプリケーション プロキシ サーバーとするサーバーを入力します。Enter the servers that you want as your Web Application proxy servers. Web アプリケーション プロキシ サーバーは DMZ (エクストラネット接続) にデプロイされ、エクストラネットからの認証要求をサポートします。The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. 容量計画のニーズに基づいて 1 つまたは複数のサーバーを追加することができます。You can add one or more servers based on your capacity planning needs. テスト デプロイとパイロット デプロイ用に単一の Web アプリケーション プロキシ サーバーをインストールすることをお勧めします。Microsoft recommends installing a single Web application proxy server for test and pilot deployments. 初期構成の後に Azure AD Connect を再度実行し、容量拡大のニーズを満たすようにサーバーをさらに追加してデプロイします。Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. イントラネットからの認証を処理するために同数のプロキシ サーバーを設定することをお勧めします。We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.


  • 使用しているアカウントが WAP サーバーのローカル管理者ではない場合、管理者の資格情報を入力するように求められます。If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • この手順を実行する前に、Azure AD Connect サーバーと Web アプリケーション プロキシ サーバーの間に HTTP/HTTPS 接続が確立されていることを確認してください。Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • 認証要求の通信ができるように、Web アプリケーション サーバーと AD FS サーバーの間に HTTP/HTTPS 接続が確立されていることを確認してください。Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Web アプリ

    Web アプリケーション サーバーが AD FS サーバーとの間にセキュリティで保護された接続を確立できるように、資格情報を入力するよう求められます。You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. これらの資格情報は、AD FS サーバーのローカル管理者である必要があります。These credentials need to be a local administrator on the AD FS server.


    AD FS サービスのサービス アカウントを指定します。Specify the service account for the AD FS service

    AD FS サービスには、ユーザーを認証し Active Directory のユーザー情報を参照するドメイン サービス アカウントが必要です。The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. 次の 2 種類のサービス アカウントがサポートされます。It can support two types of service accounts:

    • グループ管理サービス アカウント - Windows Server 2012 と共に Active Directory Domain Services に導入されました。Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. この種類のアカウントは、AD FS のようなサービスに、パスワードを定期的に更新する必要のない単一のアカウントを提供します。This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. AD FS サーバーが所属するドメインに Windows Server 2012 ドメイン コントローラーが既にある場合は、このオプションを使用してください。Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • ドメイン ユーザー アカウント - この種類のアカウントではパスワードの入力が求められ、パスワードの変更や期限切れの際に、定期的に更新する必要があります。Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. このオプションは、AD FS サーバーが所属するドメインに Windows Server 2012 ドメイン コントローラーがない場合にのみ使用してください。Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    グループ管理サービス アカウントを選択した場合、Active Directory でこの機能を使用したことがないと、エンタープライズ管理者の資格情報の入力を求められます。If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. 入力した資格情報は、キー ストアを開始し、Active Directory でこの機能を有効にするために使用されます。These credentials are used to initiate the key store and enable the feature in Active Directory.


    Azure AD Connect は、AD FS サービスが SPN としてドメインに登録済みであるかどうかを検出するためのチェックを実行します。Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. AD DS では、重複する SPN を同時に登録することはできません。AD DS will not allow duplicate SPN’s to be registered at once. 重複する SPN が見つかった場合、その SPN を削除するまで、先に進むことができなくなります。If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    AD FS サービス アカウント

    フェデレーションする Azure AD ドメインの選択Select the Azure AD domain that you wish to federate

    この構成を使用して、AD FS と Azure AD のフェデレーション関係をセットアップします。This configuration is used to setup the federation relationship between AD FS and Azure AD. Azure AD にセキュリティ トークンを発行するように AD FS を構成し、この特定の AD FS インスタンスからのトークンを信頼するように Azure AD を構成します。It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. 初期インストールでは、このページで 1 つのドメインしか構成できません。This page only allows you to configure a single domain in the initial installation. 後で Azure AD Connect をもう一度実行すると、追加のドメインを構成できます。You can configure more domains later by running Azure AD Connect again.

    Azure AD ドメイン

    フェデレーション用に選択された Azure AD ドメインの検証Verify the Azure AD domain selected for federation

    フェデレーション対象のドメインを選択すると、Azure AD Connect によって、検証されていないドメインを検証するために必要な情報が提供されます。When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. この情報を使用する方法については、ドメインの追加と検証に関するページを参照してください。See Add and verify the domain for how to use this information.

    Azure AD ドメイン


    AD Connect では、構成段階でドメインの検証を試みます。AD Connect tries to verify the domain during the configure stage. 必要な DNS レコードを追加せずに構成を続行すると、ウィザードで構成を完了することができません。If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    PingFederate とのフェデレーションの構成Configuring federation with PingFederate

    Azure AD Connect との PingFederate の構成は簡単であり、必要なのは数回のクリックのみです。Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. ただし、以下の前提条件を満たす必要があります。However, the following prerequisites are required.

    ドメインの検証Verify the domain

    PingFederate でフェデレーションを選択すると、フェデレーションするドメインを検証するように求められます。After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. ドロップダウン ボックスでドメインを選択します。Select the domain from the drop-down box.


    PingFederate 設定のエクスポートExport the PingFederate settings

    PingFederate は、各フェデレーション Azure ドメインのフェデレーション サーバーとして構成する必要があります。PingFederate must be configured as the federation server for each federated Azure domain. [設定のエクスポート] ボタンをクリックし、この情報を PingFederate 管理者と共有します。Click the Export Settings button and share this information with your PingFederate administrator. フェデレーション サーバーの管理者は、構成を更新し、PingFederate サーバーの URL とポート番号を指定して、Azure AD Connect がメタデータ設定を検証できるようにします。The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.


    検証の問題を解決するには、PingFederate 管理者に問い合わせてください。Contact your PingFederate administrator to resolve any validation issues. 次の例は、Azure との有効な信頼関係がない PingFederate サーバーを示しています。The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    [Trust (信頼)]

    フェデレーションの接続性の検証Verify federation connectivity

    Azure AD Connect は、前の手順で PingFederate メタデータから取得した認証エンドポイントの検証を試みます。Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. まず、Azure AD Connect は、ローカル DNS サーバーを使用してエンドポイントを解決しようとします。Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. 次に、外部 DNS プロバイダーを使用してエンドポイントを解決しようとします。Next it will attempt to resolve the endpoints using an external DNS provider. 検証の問題を解決するには、PingFederate 管理者に問い合わせてください。Contact your PingFederate administrator to resolve any validation issues.


    フェデレーション ログインの検証Verify federation login

    最後に、フェデレーション ドメインにサインインして、新しく構成されたフェデレーション ログイン フローを検証できます。Finally, you can verify the newly configured federated login flow by signing in to the federated domain. これが成功した場合、PingFederate とのフェデレーションは正常に構成されています。When this succeeds, the federation with PingFederate is successfully configured. ログインの検証Verify login

    ページの構成および確認Configure and verify pages

    構成は次のページで行われます。The configuration happens on this page.


    フェデレーションを構成している場合は、インストールを続行する前に、フェデレーション サーバーの名前解決を構成済みであることを確認してください。Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.


    ステージング モードStaging mode

    ステージング モードと並行して新しい同期サーバーをセットアップすることができます。It is possible to setup a new sync server in parallel with staging mode. クラウド内で 1 つのディレクトリにエクスポートする 1 台の同期サーバーの設置のみがサポートされます。It is only supported to have one sync server exporting to one directory in the cloud. ただし、別のサーバー (DirSync を実行するサーバーなど) から移動する場合は、ステージング モードで Azure AD Connect を有効にすることができます。But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. 有効にすると、同期エンジンは通常どおりにデータをインポートおよび同期しますが、Azure AD または AD には何もエクスポートしません。When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. ステージング モード中は、パスワード同期機能とパスワード ライトバック機能が無効になります。The features password sync and password writeback are disabled while in staging mode.

    ステージング モード

    ステージング モード中は、同期エンジンに必要な変更を加え、エクスポートされる内容を確認することができます。While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. 構成が適切な状態になったら、インストール ウィザードをもう一度実行し、ステージング モードを無効にします。When the configuration looks good, run the installation wizard again and disable staging mode. これで、データはこのサーバーから Azure AD にエクスポートされます。Data is now exported to Azure AD from this server. 1 つのサーバーのみをアクティブにしてエクスポートするために、このとき他のサーバーは無効にしてください。Make sure to disable the other server at the same time so only one server is actively exporting.

    詳細については、「ステージング モード」を参照してください。For more information, see Staging mode.

    フェデレーション構成の確認Verify your federation configuration

    [検証] をクリックすると、Azure AD Connect によって DNS 設定が検証されます。Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    イントラネット接続の確認Intranet connectivity checks

    • フェデレーション FQDN の解決: 接続を確保するために、DNS でフェデレーション FQDN を解決できるかどうかが Azure AD Connect によって確認されます。Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Azure AD Connect が FQDN を解決できない場合、検証は失敗します。If Azure AD Connect cannot resolve the FQDN, the verification will fail. 検証を正常に完了するために、フェデレーション サービス FQDN の DNS レコードを設定してください。Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • DNS A レコード: フェデレーション サービスに A レコードがあるかどうかが Azure AD Connect によって確認されます。DNS A record: Azure AD Connect checks if there is an A record for your federation service. A レコードがない場合、検証は失敗します。In the absence of an A record, the verification will fail. 検証を正常に完了するために、フェデレーション FQDN の A レコードを作成してください (CNAME レコードではありません)。Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    エクストラネット接続の確認Extranet connectivity checks

    • フェデレーション FQDN の解決: 接続を確保するために、DNS でフェデレーション FQDN を解決できるかどうかが Azure AD Connect によって確認されます。Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.



    エンド ツー エンド認証の成功を検証するには、以下の 1 つ以上のテストを手動で実行する必要があります。To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • 同期が完了したら、Azure AD Connect で [フェデレーション ログインの検証] 追加タスクを使用して、任意のオンプレミス ユーザー アカウントの認証を検証します。Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • イントラネット上のドメイン参加済みマシンのブラウザーからサインインできることを検証する: に接続し、ログインしたアカウントでサインインを検証します。Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to and verify the sign-in with your logged in account. 組み込みの AD DS 管理者アカウントは同期されないため、検証には使用できません。The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • エクストラネット上のデバイスからサインインできることを検証する。Validate that you can sign in from a device from the extranet. 自宅にあるマシンまたはモバイル デバイスで に接続し、資格情報を入力します。On a home machine or a mobile device, connect to and supply your credentials.
    • リッチ クライアントのサインインを検証する。Validate rich client sign-in. に接続し、 [Office 365] タブ、 [Office 365 シングル サインオン テスト] の順に選択します。Connect to, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.


    次のセクションには、Azure AD Connect のインストール時に問題が発生した場合に使用できるトラブルシューティングと情報が含まれています。The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    "The ADSync database already contains data and cannot be overwritten (ADSync データベースに既にデータが含まれており、上書きできません)"“The ADSync database already contains data and cannot be overwritten”

    Azure AD Connect をカスタム インストールし、 [必須コンポーネントのインストール] ページで [既存の SQL サーバーを使用する] オプションを選択すると、 "The ADSync database already contains data and cannot be overwritten. (ADSync データベースに既にデータが含まれており、上書きできません。) Please remove the existing database and try again. (既存のデータベースを削除してからやり直してください。)" と表示されるエラーが発生することがあります。When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.


    これは、上のテキスト ボックスで指定した SQL サーバーの SQL インスタンスに、ADSync という名前のデータベースが既に存在するためです。This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    これは通常、Azure AD Connect をアンインストールした後で発生します。This typically occurs after you have uninstalled Azure AD Connect. アンインストールしても、データベースは SQL Server から削除されません。The database will not be deleted from the SQL Server when you uninstall.

    この問題を解決するには、まず、アンインストール前に Azure AD Connect によって使用されていた ADSync データベースが既に使用されていないことを確認します。To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    削除する前に、データベースをバックアップすることをお勧めします。Next, it is recommended that you backup the database prior to deleting it.

    データベースは手作業で削除する必要があります。Finally, you need to delete the database. そのためには、Microsoft SQL Server Management Studio を使用して、SQL インスタンスに接続します。You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. ADSync データベースを探して右クリックし、コンテキスト メニューの [削除] を選択します。Find the ADSync database, right click on it, and select Delete from the context menu. [OK] をクリックして削除します。Then click OK button to delete it.


    ADSync データベースの削除後、インストール ボタンをクリックして、インストールを再試行します。After you delete the ADSync database, you can click the install button, to retry installation.

    次の手順Next steps

    インストールが完了した後、 Synchronization Service Manager または同期規則エディターを使用する前に、サインアウトし、もう一度 Windows にサインインします。After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Azure AD Connect がインストールされたので、インストールを確認し、ライセンスを割り当てることができます。Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    インストールの結果有効になった機能について詳しくは、誤った削除操作を防止する機能Azure AD Connect Health に関する各ページを参照してください。Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    一般的なトピックについては、スケジューラの使用と同期のトリガー方法に関するページを参照してください。Learn more about these common topics: scheduler and how to trigger sync.

    オンプレミス ID と Azure Active Directory の統合」をご覧ください。Learn more about Integrating your on-premises identities with Azure Active Directory.