Azure Active Directory Connect のカスタム インストールCustom installation of Azure Active Directory Connect

Azure Active Directory (Azure AD) Connect の " カスタム設定 " は、より多くのインストール オプションが必要な場合に使用します。Use custom settings in Azure Active Directory (Azure AD) Connect when you want more options for the installation. これらの設定は、たとえば複数のフォレストがある場合、またはオプションの機能を構成する場合に使用します。Use these settings, for example, if you have multiple forests or if you want to configure optional features. 高速インストールでは対象のデプロイまたはトポロジのニーズに対応できないすべての場合に、カスタム設定を使用します。Use custom settings in all cases where express installation doesn't satisfy your deployment or topology needs.

前提条件:Prerequisites:

カスタム インストールの設定Custom installation settings

Azure AD Connect のカスタム インストールをセットアップするには、次のセクションで説明するウィザードのページを参照してください。To set up a custom installation for Azure AD Connect, go through the wizard pages that the following sections describe.

簡単設定Express settings

[簡単設定] ページで [カスタマイズ] をクリックして、カスタム設定を使用したインストールを開始します。On the Express Settings page, select Customize to start a customized-settings installation. この記事の残りの部分では、カスタム インストール プロセスについて説明します。The rest of this article guides you through the custom installation process. 次のリンクを使用して、特定のページの情報にすばやくアクセスします。Use the following links to quickly go to the information for a particular page:

必須コンポーネントのインストールInstall required components

同期サービスをインストールするとき、オプションの構成セクションをオフのままにすることができます。When you install the synchronization services, you can leave the optional configuration section unselected. Azure AD Connect によってすべてが自動的に設定されます。Azure AD Connect sets up everything automatically. これにより、SQL Server 2012 Express LocalDB インスタンスの設定、適切なグループの作成、アクセス許可の割り当てが行われます。It sets up a SQL Server 2012 Express LocalDB instance, creates the appropriate groups, and assign permissions. 既定値を変更する場合は、該当するボックスをオフにします。If you want to change the defaults, clear the appropriate boxes. 次の表は、これらのオプションの概要を示し、追加情報へのリンクを示しています。The following table summarizes these options and provides links to additional information.

Azure AD Connect で必要なインストール コンポーネントのオプションの選択を示すスクリーンショット。

オプションの構成Optional configuration 説明Description
カスタム インストール先を指定するSpecify a custom installation location Azure AD Connect の既定のインストール パスを変更できます。Allows you to change the default installation path for Azure AD Connect.
既存の SQL Server を使用するUse an existing SQL Server SQL Server 名とインスタンス名を指定することができます。Allows you to specify the SQL Server name and instance name. 使用するデータベース サーバーが既にある場合は、このオプションを選択します。Choose this option if you already have a database server that you want to use. SQL Server インスタンスで参照が有効になっていない場合は、 [インスタンス名] に、インスタンス名、コンマ、ポート番号の順に入力してください。For Instance Name , enter the instance name, a comma, and the port number if your SQL Server instance doesn't have browsing enabled. 次に、Azure AD Connect データベースの名前を指定します。Then specify the name of the Azure AD Connect database. SQL 権限によって、新しいデータベースが作成されるか、SQL 管理者が事前にデータベースを作成する必要があるかどうかが決まります。Your SQL privileges determine whether a new database can be created or your SQL administrator must create the database in advance. SQL Server 管理者 (SA) のアクセス許可がある場合は、既存のデータベースを使用した Azure AD Connect のインストールに関するページを参照してください。If you have SQL Server administrator (SA) permissions, see Install Azure AD Connect by using an existing database. 委任されたアクセス許可 (DBO) がある場合は、「SQL によって委任された管理者のアクセス許可を使用した Azure AD Connect のインストール」をご覧ください。If you have delegated permissions (DBO), see Install Azure AD Connect by using SQL delegated administrator permissions.
既存のサービス アカウントを使用するUse an existing service account 既定では、同期サービス用の仮想サービス アカウントが Azure AD Connect によって提供されます。By default, Azure AD Connect provides a virtual service account for the synchronization services. SQL Server のリモート インスタンスを使用する場合、または認証が必要なプロキシを使用する場合は、ドメイン内の マネージド サービス アカウント またはパスワードで保護されたサービス アカウントを使用することができます。If you use a remote instance of SQL Server or use a proxy that requires authentication, you can use a managed service account or a password-protected service account in the domain. このような場合は、使用するアカウントを入力します。In those cases, enter the account you want to use. インストールを実行するには、サービス アカウントのサインイン資格情報を作成できるように、SQL の SA である必要があります。To run the installation, you need to be an SA in SQL so you can create sign-in credentials for the service account. 詳細については、Azure AD Connect アカウントとアクセス許可に関するページを参照してください。For more information, see Azure AD Connect accounts and permissions.

最新のビルドを使用することで、SQL 管理者は帯域外でデータベースをプロビジョニングできるようになりました。By using the latest build, the SQL administrator can now provision the database out of band. その後、Azure AD Connect 管理者は、データベース所有者権限を使用してインストールできます。Then the Azure AD Connect administrator can install it with database owner rights. 詳細については、「SQL によって委任された管理者のアクセス許可を使用した Azure AD Connect のインストール」を参照してください。For more information, see Install Azure AD Connect by using SQL delegated administrator permissions.
カスタム同期グループを指定するSpecify custom sync groups 既定では、同期サービスのインストール時に、Azure AD Connect によってサーバーに対してローカルな 4 つのグループが作成されます。By default, when the synchronization services are installed, Azure AD Connect creates four groups that are local to the server. これらのグループは、管理者、オペレーター、参照、およびパスワード リセットです。These groups are Administrators, Operators, Browse, and Password Reset. ここでは独自のグループを指定できます。You can specify your own groups here. グループはサーバー上でローカルである必要があります。The groups must be local on the server. ドメイン内に配置することはできません。They can't be located in the domain.
同期設定をインポート (プレビュー)Import synchronization settings (preview) 別のバージョンの Azure AD Connect から設定をインポートできます。Allows you to import settings from other versions of Azure AD Connect. 詳しくは、「Azure AD Connect 構成設定のインポートとエクスポート」を参照してください。For more information, see Importing and exporting Azure AD Connect configuration settings.

ユーザーのサインインUser sign-in

必要なコンポーネントがインストールされると、ユーザーによるシングル サインオンの方法を選択します。After installing the required components, select your users' single sign-on method. 次の表で、使用可能なオプションについて簡単に説明します。The following table briefly describes the available options. サインイン方法の詳細については、ユーザーのサインインに関するページを参照してください。For a full description of the sign-in methods, see User sign-in.

[ユーザー サインイン] ページを示すスクリーンショット。

シングル サインオン オプションSingle sign-on option 説明Description
パスワード ハッシュの同期Password hash synchronization ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. ユーザー パスワードは、パスワード ハッシュとして Azure AD に同期されています。User passwords are synchronized to Azure AD as a password hash. 認証はクラウドで行われます。Authentication occurs in the cloud. 詳細については、パスワード ハッシュの同期に関するページを参照してください。For more information, see Password hash synchronization.
パススルー認証Pass-through authentication ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. ユーザー パスワードはオンプレミスの Active Directory ドメイン コントローラーにパススルーされて検証されます。User passwords are validated by being passed through to the on-premises Active Directory domain controller.
AD FS とのフェデレーションFederation with AD FS ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. ユーザーはサインインのためにオンプレミスの Azure Directory Federation Services (AD FS) インスタンスにリダイレクトされます。Users are redirected to their on-premises Azure Directory Federation Services (AD FS) instance to sign in. 認証はオンプレミスで行われます。Authentication occurs on-premises.
PingFederate によるフェデレーションFederation with PingFederate ユーザーは、オンプレミス ネットワークで使用しているものと同じパスワードで、Microsoft 365 などの Microsoft クラウド サービスにサインインできます。Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. ユーザーはサインインのためにオンプレミスの PingFederate インスタンスにリダイレクトされます。Users are redirected to their on-premises PingFederate instance to sign in. 認証はオンプレミスで行われます。Authentication occurs on-premises.
構成しないDo not configure ユーザー サインイン機能はインストールおよび構成されません。No user sign-in feature is installed or configured. サード パーティのフェデレーション サーバーまたは別のソリューションが既に設置されている場合は、このオプションを選択します。Choose this option if you already have a third-party federation server or another solution in place.
シングル サインオンの有効化Enable single sign-on このオプションは、パスワード ハッシュの同期とパススルー認証の両方で使用できます。This option is available with both password hash sync and pass-through authentication. 企業ネットワーク上のデスクトップ ユーザーにシングル サインオン エクスペリエンスを提供します。It provides a single sign-on experience for desktop users on corporate networks. 詳細については、シングル サインオンに関するページを参照してください。For more information, see Single sign-on.

注: AD FS のお客様の場合、このオプションは使用できません。Note: For AD FS customers, this option is unavailable. AD FS には、同じレベルのシングル サインオンが既に用意されています。AD FS already offers the same level of single sign-on.

Azure への接続Connect to Azure AD

[Azure AD に接続] ページで、グローバル管理者のアカウントとパスワードを入力します。On the Connect to Azure AD page, enter a global admin account and password. 前のページで [AD FS とのフェデレーション] を選択した場合、フェデレーション用に有効にする予定があるドメイン内のアカウントでサインインしないようにしてください。If you selected Federation with AD FS on the previous page, don't sign in with an account that's in a domain you plan to enable for federation.

Azure AD テナントに付属する既定の onmicrosoft.com ドメイン内のアカウントを使用する場合もあります。You might want to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant. このアカウントは、Azure AD でサービス アカウントを作成するためにのみ使用されます。This account is used only to create a service account in Azure AD. インストールの完了後は使用されません。It's not used after the installation finishes.

[Azure AD に接続] ページを示すスクリーンショット。

グローバル管理者アカウントで多要素認証が有効になっている場合は、サインイン ウィンドウにもう一度パスワードを入力し、多要素認証チャレンジを完了する必要があります。If your global admin account has multifactor authentication enabled, you provide the password again in the sign-in window, and you must complete the multifactor authentication challenge. チャレンジは確認コードか音声通話によって行うことができます。The challenge could be a verification code or a phone call.

[Azure AD に接続] ページを示すスクリーンショット。

グローバル管理者アカウントは Privileged Identity Management も有効になっている可能性があります。The global admin account can also have privileged identity management enabled.

エラーが表示されるか、接続に問題がある場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。If you see an error or have problems with connectivity, then see Troubleshoot connectivity problems.

ページの同期Sync pages

以降では、 [同期] セクションの各ウィンドウについて説明します。The following sections describe the pages in the Sync section.

ディレクトリの接続Connect your directories

Azure AD Connect では、Active Directory ドメイン サービス (Azure AD DS) に接続するには、十分なアクセス許可を持つアカウントのフォレスト名と資格情報が必要です。To connect to Active Directory Domain Services (Azure AD DS), Azure AD Connect needs the forest name and credentials of an account that has sufficient permissions.

[ディレクトリの接続] ページを示すスクリーンショット。

フォレスト名を入力して [ディレクトリの追加] を選択すると、ウィンドウが表示されます。After you enter the forest name and select Add Directory , a window appears. 次の表では、オプションについて説明します。The following table describes your options.

オプションOption 説明Description
新しいアカウントを作成しますCreate new account ディレクトリ同期中に Azure AD Connect が Active Directory フォレストに接続するために必要とする Azure AD DS アカウントを作成します。Create the Azure AD DS account that Azure AD Connect needs to connect to the Active Directory forest during directory synchronization. このオプションを選択した後、エンタープライズ管理者アカウントのユーザー名とパスワードを入力します。After you select this option, enter the username and password for an enterprise admin account. Azure AD Connect は指定したエンタープライズ管理者アカウントを使用して、必要な AD DS アカウントを作成します。Azure AD Connect uses the provided enterprise admin account to create the required Azure AD DS account. ドメイン部分は、NetBIOS 形式または FQDN 形式で入力できます。You can enter the domain part in either NetBIOS format or FQDN format. つまり、 FABRIKAM\administrator または fabrikam.com\administrator と入力します。That is, enter FABRIKAM\administrator or fabrikam.com\administrator .
既存のアカウントを使用しますUse existing account ディレクトリ同期中に Azure AD Connect が Active Directory フォレストに接続するために使用できる Azure AD DS アカウントを作成します。Provide an existing Azure AD DS account that Azure AD Connect can use to connect to the Active Directory forest during directory synchronization. ドメイン部分は、NetBIOS 形式または FQDN 形式で入力できます。You can enter the domain part in either NetBIOS format or FQDN format. つまり、 FABRIKAM\syncuser または fabrikam.com\syncuser と入力します。That is, enter FABRIKAM\syncuser or fabrikam.com\syncuser . このアカウントには既定の読み取りアクセス許可が必要なだけなので、通常のユーザー アカウントを指定できます。This account can be a regular user account because it needs only the default read permissions. ただし、シナリオによっては、アクセス許可がさらに必要になることがあります。But depending on your scenario, you might need more permissions. 詳細については、Azure AD Connect アカウントとアクセス許可に関するページを参照してください。For more information, see Azure AD Connect accounts and permissions.

[ディレクトリの接続] ページと [AD フォレスト アカウント] ウィンドウを示すスクリーンショット。ここでは、新しいアカウントを作成したり、既存のアカウントを使用したりできます。

注意

ビルド 1.4.18.0 以降では、エンタープライズ管理者またはドメイン管理者のアカウントを Azure AD DS コネクタ アカウントとして使用することはできません。As of build 1.4.18.0, you can't use an enterprise admin or domain admin account as the Azure AD DS connector account. [既存アカウントを使用] を選択した場合は、エンタープライズ管理者アカウントまたはドメイン管理者アカウントを入力しようとすると、次のエラーが表示されます。"AD フォレスト アカウントにエンタープライズまたはドメインの管理者アカウントを使用することはできません。When you select Use existing account , if you try to enter an enterprise admin account or a domain admin account, you see the following error: "Using an Enterprise or Domain administrator account for your AD forest account is not allowed. Azure AD Connect でアカウントを作成するか、適切なアクセス許可を持つ同期アカウントを指定してください。Let Azure AD Connect create the account for you or specify a synchronization account with the correct permissions."

Azure AD サインインの構成Azure AD sign-in configuration

[Azure AD サインインの構成] ページで、オンプレミス Azure AD DS のユーザー プリンシパル名 (UPN) ドメインを確認します。On the Azure AD sign-in configuration page, review the user principal name (UPN) domains in on-premises Azure AD DS. これらの UPN ドメインは Azure AD で検証済みです。These UPN domains have been verified in Azure AD. このページで、userPrincipalName に使用する属性を構成できます。On this page, you configure the attribute to use for the userPrincipalName.

[Azure AD サインインの構成] ページで未確認ドメインを示すスクリーンショット。

[追加されていません] または [未確認] としてマークされているすべてのドメインを確認します。Review every domain that's marked as Not Added or Not Verified . 使用するドメインを Azure AD で検証済みにしてください。Make sure that the domains you use have been verified in Azure AD. ドメインを確認したら、循環更新アイコンを選択します。After you verify your domains, select the circular refresh icon. 詳細については、ドメインの追加と検証に関するページを参照してください。For more information, see Add and verify the domain.

ユーザーは Azure AD と Microsoft 365 にサインインするとき、 userPrincipalName 属性を使用します。Users use the userPrincipalName attribute when they sign in to Azure AD and Microsoft 365. ユーザーを同期できるようにするには、まず Azure AD で、UPN サフィックスとも呼ばれるドメインを確認する必要があります。Azure AD should verify the domains, also known as the UPN-suffix, before users are synchronized. 既定の userPrincipalName 属性のままにしておくことをお勧めします。Microsoft recommends that you keep the default attribute userPrincipalName.

userPrincipalName 属性がルーティング不可能で、検証できない場合は、別の属性を選択できます。If the userPrincipalName attribute is nonroutable and can't be verified, then you can select another attribute. たとえば、サインイン ID を保持する属性として電子メールを選択することができます。You can, for example, select email as the attribute that holds the sign-in ID. userPrincipalName 以外の属性を使用する場合、これは " 代替 ID " と呼ばれます。When you use an attribute other than userPrincipalName, it's known as an alternate ID .

代替 ID の属性値は、RFC822 標準に従う必要があります。The alternate ID attribute value must follow the RFC 822 standard. 代替 ID は、パスワード ハッシュの同期、パススルー認証、およびフェデレーションで使用できます。You can use an alternate ID with password hash sync, pass-through authentication, and federation. Active Directory では、値が 1 つのみであってもこの属性を複数値として定義できません。In Active Directory, the attribute can't be defined as multivalued, even if it has only a single value. 代替 ID の詳細については、「パススルー認証:よく寄せられる質問」をご覧ください。For more information about the alternate ID, see Pass-through authentication: Frequently asked questions.

注意

パススルー認証を有効にする場合、カスタム インストール プロセスを続行するために少なくとも 1 つの検証済みドメインが必要になります。When you enable pass-through authentication, you must have at least one verified domain to continue through the custom installation process.

警告

代替 ID は、すべての Microsoft 365 ワークロードに対応しているわけではありません。Alternate IDs aren't compatible with all Microsoft 365 workloads. 詳しくは、代替サインイン ID の構成に関する記事をご覧ください。For more information, see Configuring alternate sign-in IDs.

ドメインと OU のフィルター処理Domain and OU filtering

既定では、すべてのドメインと組織単位 (OU) が同期されます。By default, all domains and organizational units (OUs) are synchronized. 一部のドメインまたは OU を Azure AD に同期しない場合は、適切な選択を解除できます。If you don't want to synchronize some domains or OUs to Azure AD, you can clear the appropriate selections.

[ドメインと OU のフィルタリング] ページを示すスクリーンショット。

このページでは、ドメインベースおよび OU ベースのフィルター処理を構成します。This page configures domain-based and OU-based filtering. 変更を予定している場合は、ドメイン ベースのフィルター処理に関するトピックと OU ベースのフィルター処理に関するトピックを参照してください。If you plan to make changes, then see Domain-based filtering and OU-based filtering. 一部の OU は機能に不可欠であるため、選択したままにしておく必要があります。Some OUs are essential for functionality, so you should leave them selected.

1.1.524.0 より前のバージョンの Azure AD Connect で OU ベースのフィルター処理を使用している場合、新しい OU は、既定で同期されます。If you use OU-based filtering with an Azure AD Connect version older than 1.1.524.0, new OUs are synchronized by default. 新しい OU が同期されないようにするには、「OU ベースのフィルター処理」手順の後に既定の動作を調整できます。If you don't want new OUs to be synchronized, then you can adjust the default behavior after the OU-based filtering step. Azure AD Connect 1.1.524.0 以降では、新しい OU を同期するか指定できます。For Azure AD Connect 1.1.524.0 or later, you can indicate whether you want new OUs to be synchronized.

グループベースのフィルター処理を使用する予定の場合は、そのグループが属する OU が含まれており、OU フィルタリングによって除外されないようにしてください。If you plan to use group-based filtering, then make sure the OU with the group is included and isn't filtered by using OU-filtering. OU ベースのフィルター処理は、グループベースのフィルター処理が評価される前に評価されます。OU filtering is evaluated before group-based filtering is evaluated.

さらに、一部のドメインは、ファイアウォールの制限のために到達できないこともあります。It's also possible that some domains are unreachable because of firewall restrictions. このようなドメインは既定で選択が解除されており、警告が表示されます。These domains are unselected by default, and they display a warning.

到達できないドメインを示すスクリーンショット。

この警告が表示される場合は、これらのドメインが実際に到達不能であり、警告の表示が予想されるものであることを確認してください。If you see this warning, make sure that these domains are indeed unreachable and that the warning is expected.

ユーザーを一意に識別Uniquely identifying your users

[ユーザーの識別] ページで、オンプレミスのディレクトリでユーザーを識別する方法と、sourceAnchor 属性を使用してそれらを識別する方法を選択します。On the Identifying users page, choose how to identify users in your on-premises directories and how to identify them by using the sourceAnchor attribute.

オンプレミスのディレクトリでのユーザーの識別方法を選択するSelect how users should be identified in your on-premises directories

[フォレスト全体で一致] 機能を使用すると、Azure AD DS フォレストのユーザーを Azure AD でどう表すかを定義することができます。By using the Matching across forests feature, you can define how users from your Azure AD DS forests are represented in Azure AD. ユーザーは、すべてのフォレストで 1 回だけ表すか、有効アカウントと無効アカウントを組み合わせることができます。A user might be represented only once across all forests or might have a combination of enabled and disabled accounts. 一部のフォレストでは、ユーザーを連絡先として表すこともできます。The user might also be represented as a contact in some forests.

ユーザーを一意に識別できるページを示すスクリーンショット。

設定Setting 説明Description
ユーザーはフォレスト全体で 1 回だけ表されますUsers are represented only once across all forests すべてのユーザーは、Azure AD の個々のオブジェクトとして作成されます。All users are created as individual objects in Azure AD. オブジェクトはメタバースに結合されません。The objects aren't joined in the metaverse.
メール属性Mail attribute このオプションは、異なるフォレスト間でメール属性が同じ値である場合に、ユーザーと連絡先を結合します。This option joins users and contacts if the mail attribute has the same value in different forests. 連絡先が GALSync を使用して作成されている場合に、このオプションを使用してください。Use this option when your contacts were created by using GALSync. このオプションを選択した場合、メール属性が設定されていないユーザー オブジェクトは、Azure AD との間で同期されません。If you choose this option, user objects whose mail attribute is unpopulated aren't synchronized to Azure AD.
ObjectSID 属性および msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID 属性ObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID attributes このオプションでは、アカウント フォレスト内の有効なユーザーと、リソース フォレスト内の無効なユーザーが結合されます。This option joins an enabled user in an account forest with a disabled user in a resource forest. Exchange では、この構成はリンクされたメールボックスと呼ばれています。In Exchange, this configuration is known as a linked mailbox. このオプションは、Lync のみを使用し、リソース フォレストに Exchange が存在しない場合に使用できます。You can use this option if you use only Lync and if Exchange isn't present in the resource forest.
SAMAccountName 属性および MailNickName 属性SAMAccountName and MailNickName attributes このオプションは、ユーザーのサインイン ID が見つかると予想される属性を結合します。This option joins on attributes where the sign-in ID for the user is expected to be found.
特定の属性を選択するChoose a specific attribute このオプションでは、独自の属性を選択することができます。This option allows you to select your own attribute. このオプションを選択した場合、(選択された) 属性が設定されていないユーザー オブジェクトは、Azure AD との間で同期されません。If you choose this option, user objects whose (selected) attribute is unpopulated aren't synchronized to Azure AD. 制限: このオプションでは、既にメタバースに存在する属性のみを使用できます。Limitation: Only attributes that are already in the metaverse are available for this option.

ソース アンカーを使用してユーザーの識別方法を選択するSelect how users should be identified by using a source anchor

sourceAnchor 属性は、ユーザー オブジェクトの有効期間中に変更できない属性です。The sourceAnchor attribute is immutable during the lifetime of a user object. オンプレミスのユーザーと Azure AD のユーザーをリンクするプライマリ キーです。It's the primary key that links the on-premises user with the user in Azure AD.

設定Setting 説明Description
ソース アンカーの管理を Azure に任せるLet Azure manage the source anchor Azure AD に属性を選択させる場合は、このオプションを選択します。Select this option if you want Azure AD to pick the attribute for you. このオプションを選択すると、Azure AD Connect ウィザードが sourceAnchor 属性選択ロジックを適用します。このロジックについては、「sourceAnchor としての ms-DS-ConsistencyGuid の使用」セクションで説明されています。If you select this option, Azure AD Connect applies the sourceAnchor attribute selection logic that's described in Using ms-DS-ConsistencyGuid as sourceAnchor. カスタム インストールが完了すると、sourceAnchor 属性として選択された属性が表示されます。After the custom installation finishes, you see which attribute was picked as the sourceAnchor attribute.
特定の属性を選択するChoose a specific attribute sourceAnchor 属性として既存の AD 属性を指定する場合は、このオプションを選択します。Select this option if you want to specify an existing AD attribute as the sourceAnchor attribute.

SourceAnchor 属性は変更できないため、適切な属性を選択する必要があります。Because the sourceAnchor attribute can't be changed, you must choose an appropriate attribute. 適切な属性として考えられるのは objectGUID です。A good candidate is objectGUID. この属性は、ユーザー アカウントをフォレストまたはドメイン間で移動しなければ、変更されません。This attribute isn't changed unless the user account is moved between forests or domains. ユーザーが結婚したり割り当てが変更されたりした場合に変化する可能性のある属性は、使用しないようにしてください。Don't choose attributes that can change when a person marries or changes assignments.

アットマーク (@) を含む属性は使用できないため、電子メールと userPrincipalName は使用できません。You can't use attributes that include an at sign (@), so you can't use email and userPrincipalName. 属性では大文字と小文字も区別されるため、フォレスト間でオブジェクトを移動する場合は、大文字と小文字をそのままの状態に維持するようにしてください。The attribute is also case sensitive, so when you move an object between forests, make sure to preserve uppercase and lowercase. バイナリ属性は Base64 でエンコードされますが、他の種類の属性はエンコードされない状態のままになります。Binary attributes are Base64-encoded, but other attribute types remain in their unencoded state.

フェデレーション シナリオと一部の Azure AD インターフェイスでは、sourceAnchor 属性は immutableID とも呼ばれます。In federation scenarios and some Azure AD interfaces, the sourceAnchor attribute is also known as immutableID .

ソース アンカーの詳細については、設計概念に関するページを参照してください。For more information about the source anchor, see Design concepts.

グループに基づく同期フィルタリングSync filtering based on groups

グループに基づくフィルタリング機能では、パイロット用にごく一部のオブジェクトのみを同期することができます。The filtering-on-groups feature allows you to sync only a small subset of objects for a pilot. この機能を使用するには、この目的のグループを Active Directory のオンプレミス インスタンスに作成します。To use this feature, create a group for this purpose in your on-premises instance of Active Directory. 次に、直接のメンバーとして Azure AD に同期するユーザーとグループを追加します。Then add users and groups that should be synchronized to Azure AD as direct members. このグループには後でユーザーを追加したりユーザーを削除したりして、Azure AD に表示するオブジェクトの一覧を管理することができます。You can later add users or remove users from this group to maintain the list of objects that should be present in Azure AD.

同期するオブジェクトはすべて、グループの直接のメンバーである必要があります。All objects that you want to synchronize must be direct members of the group. ユーザー、グループ、連絡先、およびコンピューターまたはデバイスは、すべて直接のメンバーにする必要があります。Users, groups, contacts, and computers or devices must all be direct members. 入れ子になったグループのメンバーシップは解決されません。Nested group membership isn't resolved. グループをメンバーとして追加すると、グループ自体のみが追加されます。When you add a group as a member, only the group itself is added. そのメンバーは追加されません。Its members aren't added.

ユーザーとデバイスをフィルター処理する方法を選択できるページを示すスクリーンショット。

警告

この機能は、パイロット デプロイのみのサポートを目的としています。This feature is intended to support only a pilot deployment. 完全な運用環境のデプロイでは使用しないでください。Don't use it in a full production deployment.

完全な運用環境のデプロイでは、単一のグループを維持しながらすべてのオブジェクトを同期することは困難になります。In a full production deployment, it would be hard to maintain a single group and all of its objects to synchronize. グループに基づくフィルタリング機能の代わりに、「フィルター処理の構成」で説明されているいずれかの方法を使用します。Instead of the filtering-on-groups feature, use one of the methods described in Configure filtering.

オプション機能Optional features

次のページで、シナリオのオプション機能を選択できます。On the next page, you can select optional features for your scenario.

警告

1.0.8641.0 とそれ以前のバージョンの Azure AD Connect では、パスワード ライトバックで Azure Access Control Service に依存しています。Azure AD Connect versions 1.0.8641.0 and earlier rely on Azure Access Control Service for password writeback. このサービスは 2018 年 11 月 7 日に廃止されました。This service was retired on November 7, 2018. これらのいずれかのバージョンの Azure AD Connect を使用しており、パスワード ライトバックを有効にしている場合、サービスが廃止されたときに、ユーザーはパスワードを変更またはリセットできなくなる可能性があります。If you use any of these versions of Azure AD Connect and have enabled password writeback, users might lose the ability to change or reset their passwords when the service is retired. これらのバージョンの Azure AD Connect では、パスワード ライトバックはサポートされません。These versions of Azure AD Connect don't support password writeback.

詳細については、「Azure Access Control Service からの移行」を参照してください。For more information, see Migrate from Azure Access Control Service.

パスワード ライトバックを使用する場合は、Azure AD Connect の最新バージョンをダウンロードします。If you want to use password writeback, download the latest version of Azure AD Connect.

[オプション機能] ページを示すスクリーンショット。

警告

Azure AD Sync または直接同期 (DirSync) がアクティブな場合は、Azure AD Connect でライトバック機能をアクティブにしないでください。If Azure AD Sync or Direct Synchronization (DirSync) are active, don't activate any writeback features in Azure AD Connect.

オプション機能Optional features 説明Description
Exchange ハイブリッドのデプロイメントExchange hybrid deployment Exchange ハイブリッドのデプロイ機能を利用すると、オンプレミスと Microsoft 365 の Exchange メールボックスが共存できるようになります。The Exchange hybrid deployment feature allows for the coexistence of Exchange mailboxes both on-premises and in Microsoft 365. Azure AD Connect により、Azure AD の特定の属性セットがオンプレミスのディレクトリに同期されます。Azure AD Connect synchronizes a specific set of attributes from Azure AD back into your on-premises directory.
Exchange メールのパブリック フォルダーExchange mail public folders Exchange メールのパブリック フォルダー機能を使用すると、メール対応のパブリック フォルダー オブジェクトを Active Directory のオンプレミス インスタンスから Azure AD に同期することができます。The Exchange mail public folders feature allows you to synchronize mail-enabled public-folder objects from your on-premises instance of Active Directory to Azure AD.
Azure AD アプリと属性フィルターAzure AD app and attribute filtering Azure AD アプリと属性フィルターを有効にすると、同期される属性セットをカスタマイズできます。By enabling Azure AD app and attribute filtering, you can tailor the set of synchronized attributes. このオプションにより、2 つの構成ページがウィザードに追加されます。This option adds two more configuration pages to the wizard. 詳細については、「 Azure AD アプリと属性フィルター」を参照してください。For more information, see Azure AD app and attribute filtering.
パスワード ハッシュの同期Password hash synchronization サインイン ソリューションとしてフェデレーションを選択した場合は、パスワード ハッシュの同期を有効にすることができます。If you selected federation as the sign-in solution, you can enable password hash synchronization. その後、バックアップ オプションとして使用できます。Then you can use it as a backup option.

パススルー認証を選択した場合、このオプションを有効にして、レガシ クライアントをサポートし、バックアップを提供することもできます。If you selected pass-through authentication, you can enable this option to ensure support for legacy clients and to provide a backup.

詳細については、パスワード ハッシュの同期に関するページを参照してください。For more information, see Password hash synchronization.
パスワードの書き戻しPassword writeback このオプションを使用すると、Azure AD で行われたパスワードの変更が、オンプレミスのディレクトリに書き戻されます。Use this option to ensure that password changes that originate in Azure AD are written back to your on-premises directory. 詳細については、「パスワード管理の概要」を参照してください。For more information, see Getting started with password management.
グループの書き戻しGroup writeback Microsoft 365 グループを使用する場合は、Active Directory のオンプレミス インスタンスのグループを表すことができます。If you use Microsoft 365 Groups, then you can represent groups in your on-premises instance of Active Directory. このオプションが使用できるのは、Active Directory のオンプレミス インスタンスに Exchange が存在する場合のみです。This option is available only if you have Exchange in your on-premises instance of Active Directory. 詳細については、「Azure AD Connect のグループの書き戻し」を参照してください。For more information, see Azure AD Connect group writeback.
デバイスの書き戻しDevice writeback 条件付きアクセスのシナリオの場合は、このオプションを使用して、Azure AD 内のデバイス オブジェクトを Active Directory のオンプレミス インスタンスに書き戻すことができます。For conditional-access scenarios, use this option to write back device objects in Azure AD to your on-premises instance of Active Directory. 詳細については、Azure AD Connect でのデバイスの書き戻しの有効化に関するページを参照してください。For more information, see Enabling device writeback in Azure AD Connect.
ディレクトリ拡張属性の同期Directory extension attribute sync 指定した属性を Azure AD に同期するには、このオプションを選択します。Select this option to sync specified attributes to Azure AD. 詳細については、ディレクトリ拡張機能に関するページを参照してください。For more information, see Directory extensions.

Azure AD アプリと属性フィルターAzure AD app and attribute filtering

Azure AD に同期する属性を制限する場合、まず始めに、使用するサービスを選択します。If you want to limit which attributes synchronize to Azure AD, then start by selecting the services you use. このページで選択を変更する場合は、インストール ウィザードを再実行して新しいサービスを明示的に選択する必要があります。If you change the selections on this page, you have to explicitly select a new service by rerunning the installation wizard.

オプションの Azure AD apps 機能を示すスクリーンショット。

前の手順で選択したサービスに基づいて、次のページに、同期対象となるすべての属性が表示されます。Based on the services you selected in the previous step, this page shows all attributes that are synchronized. この一覧は、同期されるすべてのオブジェクトの種類の組み合わせです。This list is a combination of all object types that are being synchronized. 一部の属性を非同期のままにする必要がある場合、それらの属性の選択を解除できます。If you need some attributes to remain unsynchronized, you can clear the selection from those attributes.

オプションの Azure AD 属性機能を示すスクリーンショット。

警告

属性の選択を解除すると、機能に影響が生じる場合があります。Removing attributes can affect functionality. ベスト プラクティスと推奨事項については、同期する属性に関するページを参照してください。For best practices and recommendations, see Attributes to synchronize.

ディレクトリ拡張属性の同期Directory Extension attribute sync

Azure AD のスキーマは、組織によって追加されたカスタム属性や Active Directory 内のその他の属性を使用して拡張することができます。You can extend the schema in Azure AD by using custom attributes that your organization added or by using other attributes in Active Directory. この機能を使用するには、 [オプション機能] ページの [ディレクトリ拡張属性の同期] を選択します。 [ディレクトリ拡張機能] ページで、同期する属性をさらに選択できます。To use this feature, on the Optional Features page, select Directory Extension attribute sync . On the Directory Extensions page, you can select more attributes to sync.

注意

[使用可能な属性] フィールドでは大文字と小文字は区別されます。The Available Attributes field is case sensitive.

[ディレクトリ拡張機能] ページを示すスクリーンショット。

詳細については、ディレクトリ拡張機能に関するページを参照してください。For more information, see Directory extensions.

シングル サインオンの有効化Enabling single sign-on

[シングル サインオン] ページで、パスワード同期またはパススルー認証で使用するシングル サインオンを構成します。On the Single sign-on page, you configure single sign-on for use with password synchronization or pass-through authentication. Azure AD に同期されているフォレストごとに、この手順を一回実行します。You do this step once for each forest that's being synchronized to Azure AD. 構成には、次の 2 つの手順が含まれます。Configuration involves two steps:

  1. Active Directory のオンプレミス インスタンスでの必要なコンピューター アカウントの作成。Create the necessary computer account in your on-premises instance of Active Directory.
  2. シングル サインオンをサポートするクライアント コンピューターのイントラネット ゾーンの構成。Configure the intranet zone of the client machines to support single sign-on.

Active Directory でのコンピューター アカウントの作成Create the computer account in Active Directory

Azure AD Connect で追加されたフォレストごとに、ドメイン管理者の資格情報を入力する必要があります。そうすることで、フォレストごとにコンピューター アカウントを作成できます。For each forest that has been added in Azure AD Connect, you need to supply domain administrator credentials so that the computer account can be created in each forest. 資格情報は、アカウントの作成にのみ使用されます。The credentials are used only to create the account. 他の操作のために保存されたり使用されたりしません。They aren't stored or used for any other operation. 次の図に示すように、 [シングル サインオンを有効にする] ページで資格情報を追加します。Add the credentials on the Enable single sign-on page, as the following image shows.

[シングル サインオンを有効にする] ページを示すスクリーンショット。

注意

シングル サインオンを使用しないフォレストはスキップできます。You can skip forests where you don't want to use single sign-on.

クライアント コンピューターのイントラネット ゾーンの構成Configure the intranet zone for client machines

クライアントがイントラネット ゾーンで自動的にサインインするように、その URL をイントラネット ゾーンに含めるようにします。To ensure that the client signs in automatically in the intranet zone, make sure the URL is part of the intranet zone. この手順を行うことで、ドメインに参加しているコンピューターが、企業ネットワークに接続された際に Kerberos チケットを Azure AD に自動的に送信するようになります。This step ensures that the domain-joined computer automatically sends a Kerberos ticket to Azure AD when it's connected to the corporate network.

グループ ポリシー管理ツールがあるコンピューターで次の手順を実行します。On a computer that has Group Policy management tools:

  1. グループ ポリシー管理ツールを開きます。Open the Group Policy management tools.

  2. すべてのユーザーに適用されるグループ ポリシーを編集します。Edit the group policy that will be applied to all users. 既定のドメイン ポリシーなどです。For example, the Default Domain policy.

  3. [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [インターネット コントロール パネル] > [セキュリティ ページ] の順に移動します。Go to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page . 次に [サイトとゾーンの割り当て一覧] を選択します。Then select Site to Zone Assignment List .

  4. ポリシーを有効にします。Enable the policy. 次に、ダイアログ ボックスに値の名前として https://autologon.microsoftazuread-sso.com と、値として 1 を入力します。Then, in the dialog box, enter a value name of https://autologon.microsoftazuread-sso.com and value of 1. 設定は次のイメージのようになります。Your setup should look like the following image.

    イントラネット ゾーンを示すスクリーンショット。

  5. [OK] を 2 回選びます。Select OK twice.

AD FS とのフェデレーションの構成Configuring federation with AD FS

AD FS の構成は、Azure AD Connect でわずか数クリックで済みます。You can configure AD FS with Azure AD Connect in just a few clicks. 開始する前に、次のことを行う必要があります。Before you start, you need:

  • フェデレーション サーバー用の Windows Server 2012 R2 以降。Windows Server 2012 R2 or later for the federation server. リモート管理を有効にする必要があります。Remote management should be enabled.
  • Web アプリケーション プロキシ サーバー用の Windows Server 2012 R2 以降。Windows Server 2012 R2 or later for the Web Application Proxy server. リモート管理を有効にする必要があります。Remote management should be enabled.
  • 使用する予定のフェデレーション サービス名の TLS/SSL 証明書 (sts.contoso.com など)。A TLS/SSL certificate for the federation service name that you intend to use (for example, sts.contoso.com).

注意

フェデレーション信頼の管理に Azure AD Connect を使っていない場合でも、AD FS ファームの TLS/SSL 証明書は、Azure AD Connect を使って更新することができます。You can update a TLS/SSL certificate for your AD FS farm by using Azure AD Connect even if you don't use it to manage your federation trust.

AD FS の構成の前提条件AD FS configuration prerequisites

Azure AD Connect を使用して AD FS ファームを構成するには、リモート サーバー上で WinRM が有効になっている必要があります。To configure your AD FS farm by using Azure AD Connect, ensure that WinRM is enabled on the remote servers. フェデレーションの前提条件の他のタスクを完了したことを確認します。Make sure you've completed the other tasks in Federation prerequisites. また、Azure AD Connect とフェデレーション/WAP サーバーの表に記載されているポートの要件に従っていることを確認します。Also make sure you follow the ports requirements that are listed in the Azure AD Connect and Federation/WAP servers table.

新しい AD FS ファームの作成または既存の AD FS ファームの使用Create a new AD FS farm or use an existing AD FS farm

既存の AD FS ファームを使用するか、新しく作成することができます。You can use an existing AD FS farm or create a new one. 新しく作成する場合は、TLS/SSL 証明書を提供する必要があります。If you choose to create a new one, you must provide the TLS/SSL certificate. TLS/SSL 証明書がパスワードで保護されている場合は、パスワードを入力するように求められます。If the TLS/SSL certificate is protected by a password, then you're prompted to provide the password.

[AD FS ファーム] ページを示すスクリーンショット

既存の AD FS ファームを使用する場合は、AD FS と Azure AD の間の信頼関係を構成する画面を表示します。If you choose to use an existing AD FS farm, you see the page where you can configure the trust relationship between AD FS and Azure AD.

注意

Azure AD Connect を使って管理できる AD FS ファームは 1 つだけです。You can use Azure AD Connect to manage only one AD FS farm. Azure AD が選択された AD FS ファーム上に構成されている、既存のフェデレーション信頼がある場合、その信頼は Azure AD Connect によって最初から再作成されます。If you have an existing federation trust where Azure AD is configured on the selected AD FS farm, Azure AD Connect re-creates the trust from scratch.

AD FS サーバーの指定Specify the AD FS servers

AD FS をインストールするサーバーをして指定します。Specify the servers where you want to install AD FS. 容量ニーズに基づいて 1 つまたは複数のサーバーを追加することができます。You can add one or more servers, depending on your capacity needs. この構成を設定する前に、すべての AD FS サーバーを Active Directory に参加させてください。Before you set up this configuration, join all AD FS servers to Active Directory. Web アプリケーション プロキシ サーバーでは、この手順は必要ありません。This step isn't required for the Web Application Proxy servers.

テスト デプロイとパイロット デプロイ用に単一の AD FS サーバーをインストールすることをお勧めします。Microsoft recommends installing a single AD FS server for test and pilot deployments. 初期構成の後に Azure AD Connect を再度実行し、容量拡大のニーズを満たすようにサーバーをさらに追加してデプロイします。After the initial configuration, you can add and deploy more servers to meet your scaling needs by running Azure AD Connect again.

注意

この構成を設定する前に、すべてのサーバーが 1 つの Azure AD ドメインに参加していることを確認してください。Before you set up this configuration, ensure that all of your servers are joined to an Azure AD domain.

[フェデレーション サーバー] ページを示すスクリーンショット。

Web アプリケーション プロキシ サーバーの指定Specify the Web Application Proxy servers

Web アプリケーション プロキシ サーバーを指定します。Specify your Web Application Proxy servers. Web アプリケーション プロキシ サーバーは、エクストラネットに接続している境界ネットワークにデプロイされます。The Web Application Proxy server is deployed in your perimeter network, facing the extranet. エクストラネットからの認証要求をサポートします。It supports authentication requests from the extranet. 容量ニーズに基づいて 1 つまたは複数のサーバーを追加することができます。You can add one or more servers, depending on your capacity needs.

テストとパイロットのデプロイ用に単一の Web アプリケーション プロキシ サーバーをインストールすることをお勧めします。Microsoft recommends installing a single Web Application Proxy server for test and pilot deployments. 初期構成の後に Azure AD Connect を再度実行し、容量拡大のニーズを満たすようにサーバーをさらに追加してデプロイします。After the initial configuration, you can add and deploy more servers to meet your scaling needs by running Azure AD Connect again. イントラネットからの認証を処理するために同数のプロキシ サーバーを設定することをお勧めします。We recommend that you have an equivalent number of proxy servers to satisfy authentication from the intranet.

注意

  • 使用しているアカウントが Web アプリケーション プロキシ サーバーのローカル管理者ではない場合、管理者の資格情報を入力するように求められます。If the account you use isn't a local admin on the Web Application Proxy servers, then you're prompted for admin credentials.
  • Web アプリケーション プロキシ サーバーを指定する前に、Azure AD Connect サーバーと Web アプリケーション プロキシ サーバーの間に HTTP/HTTPS 接続が確立されていることを確認してください。Before you specify Web Application Proxy servers, ensure that there's HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server.
  • 認証要求の通信ができるように、Web アプリケーション サーバーと AD FS サーバーの間に HTTP/HTTPS 接続が確立されていることを確認してください。Ensure that there's HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.

[Web アプリケーション プロキシ サーバー] ページを示すスクリーンショット。

Web アプリケーション サーバーが AD FS サーバーとの間にセキュリティで保護された接続を確立できるように、資格情報を入力するよう求められます。You're prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. これらの資格情報は、AD FS サーバーのローカル管理者アカウントのものである必要があります。These credentials must be for a local administrator account on the AD FS server.

[資格情報] ページを示すスクリーンショット。

AD FS サービスのサービス アカウントを指定します。Specify the service account for the AD FS service

AD FS サービスには、ユーザーを認証し Active Directory のユーザー情報を参照するドメイン サービス アカウントが必要です。The AD FS service requires a domain service account to authenticate users and to look up user information in Active Directory. 次の 2 種類のサービス アカウントがサポートされます。It can support two types of service accounts:

  • グループ管理サービス アカウント : このアカウントの種類は、Windows Server 2012 によって AD DS に導入されました。Group managed service account : This account type was introduced into AD DS by Windows Server 2012. この種類のアカウントは、AD FS などのサービスを提供します。This type of account provides services such as AD FS. 1 つのアカウントであり、パスワードを定期的に更新する必要はありません。It's a single account in which you don't need to update the password regularly. AD FS サーバーが所属するドメインに Windows Server 2012 ドメイン コントローラーが既にある場合は、このオプションを使用してください。Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
  • ドメイン ユーザー アカウント : この種類のアカウントでは、パスワードを入力し、期限が切れたときに定期的に更新する必要があります。Domain user account : This type of account requires you to provide a password and regularly update it when it expires. このオプションは、AD FS サーバーが所属するドメインに Windows Server 2012 ドメイン コントローラーがない場合にのみ使用してください。Use this option only when you don't have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

グループ管理サービス アカウントの使用 を選択し、Active Directory でこの機能を使用したことがない場合、エンタープライズ管理者の資格情報を入力します。If you selected Create a group Managed Service Account and this feature has never been used in Active Directory, then enter your enterprise admin credentials. 入力した資格情報は、キー ストアを開始し、Active Directory でこの機能を有効にするために使用されます。These credentials are used to initiate the key store and enable the feature in Active Directory.

注意

Azure AD Connect は、AD FS サービスがサービス プリンシパル名 (SPN) としてドメインに登録済みであるかどうかをチェックします。Azure AD Connect checks whether the AD FS service is already registered as a service principal name (SPN) in the domain. Azure AD DS では、重複する SPN を同時に登録することはできません。Azure AD DS doesn't allow duplicate SPNs to be registered at the same time. 重複する SPN が見つかった場合、その SPN を削除するまで先に進むことができません。If a duplicate SPN is found, you can't proceed further until the SPN is removed.

[AD FS サービス アカウント] ページを示すスクリーンショット。

フェデレーションする Azure AD ドメインの選択Select the Azure AD domain that you want to federate

[Azure AD ドメイン] ページを使用して、AD FS と Azure AD のフェデレーション関係をセットアップします。Use the Azure AD Domain page to set up the federation relationship between AD FS and Azure AD. ここでは、Azure AD にセキュリティ トークンを提供するように AD FS を構成します。Here, you configure AD FS to provide security tokens to Azure AD. また、この AD FS インスタンスからのトークンを信頼するように Azure AD を構成します。You also configure Azure AD to trust the tokens from this AD FS instance.

このページでは、初期インストールで 1 つのドメインしか構成できません。On this page, you can configure only a single domain in the initial installation. 後で Azure AD Connect をもう一度実行すると、追加のドメインを構成できます。You can configure more domains later by running Azure AD Connect again.

[Azure AD ドメイン] ページを示すスクリーンショット。

フェデレーション用に選択された Azure AD ドメインの検証Verify the Azure AD domain selected for federation

フェデレーションするドメインを選択すると、Azure AD Connect によって、検証されていないドメインを検証するために使用できる情報が提供されます。When you select the domain that you want to federate, Azure AD Connect provides information that you can use to verify an unverified domain. 詳細については、ドメインの追加と検証に関するページを参照してください。For more information, see Add and verify the domain.

ドメインの検証に使用できる情報を含む [Azure AD ドメイン] ページを示すスクリーンショット。

注意

Azure AD Connect では、構成段階でドメインの検証を試みます。Azure AD Connect tries to verify the domain during the configuration stage. 必要なドメイン ネーム システム (DNS) レコードを追加しない場合、構成を完了できません。If you don't add the necessary Domain Name System (DNS) records, the configuration can't be completed.

PingFederate とのフェデレーションの構成Configuring federation with PingFederate

PingFederate の構成は、Azure AD Connect でわずか数クリックで済みます。You can configure PingFederate with Azure AD Connect in just a few clicks. 以下の前提条件が必要です。The following prerequisites are required:

ドメインの検証Verify the domain

PingFederate を使用してフェデレーションを設定することを選択すると、フェデレーションするドメインを検証するように求められます。After you choose to set up federation by using PingFederate, you're asked to verify the domain you want to federate. ドロップダウン メニューでドメインを選択します。Select the domain from the drop-down menu.

[Azure AD ドメイン] ページを示すスクリーンショット。

PingFederate 設定のエクスポートExport the PingFederate settings

各フェデレーション Azure ドメインのフェデレーション サーバーとして、PingFederate を構成します。Configure PingFederate as the federation server for each federated Azure domain. [設定のエクスポート] を選択し、この情報を PingFederate 管理者と共有します。Select Export Settings to share this information with your PingFederate administrator. フェデレーション サーバーの管理者は、構成を更新し、PingFederate サーバーの URL とポート番号を指定して、Azure AD Connect がメタデータ設定を検証できるようにします。The federation server administrator updates the configuration and then provides the PingFederate server URL and port number so that Azure AD Connect can verify the metadata settings.

[PingFederate の設定] ページを示すスクリーンショット。

検証の問題を解決するには、PingFederate 管理者に問い合わせてください。Contact your PingFederate administrator to resolve any validation issues. 次の図は、Azure との有効な信頼関係がない PingFederate サーバーに関する情報を示しています。The following image shows information about a PingFederate server that has no valid trust relationship with Azure.

サーバー情報を示すスクリーンショット:PingFederate サーバーが見つかりましたが、Azure のサービス プロバイダー接続が見つからないか、無効になっています。

フェデレーションの接続性の検証Verify federation connectivity

Azure AD Connect は、前の手順で PingFederate メタデータから取得した認証エンドポイントの検証を試みます。Azure AD Connect attempts to validate the authentication endpoints that it retrieves from the PingFederate metadata in the previous step. まず、Azure AD Connect は、ローカル DNS サーバーを使用してエンドポイントを解決しようとします。Azure AD Connect first attempts to resolve the endpoints by using your local DNS servers. 次に、外部 DNS プロバイダーを使用してエンドポイントを解決しようとします。Next, it attempts to resolve the endpoints by using an external DNS provider. 検証の問題を解決するには、PingFederate 管理者に問い合わせてください。Contact your PingFederate administrator to resolve any validation issues.

[接続性の検証] ページを示すスクリーンショット。

フェデレーション サインインの検証Verify federation sign-in

最後に、フェデレーション ドメインにサインインして、新しく構成されたフェデレーション ログイン フローを検証できます。Finally, you can verify the newly configured federated login flow by signing in to the federated domain. サインインが成功した場合、PingFederate とのフェデレーションは正常に構成されています。If your sign-in succeeds, then the federation with PingFederate is successfully configured.

[フェデレーション ログインの検証] ページを示すスクリーンショット。

ページの構成および確認Configure and verify pages

構成は [構成] ページで行われます。The configuration happens on the Configure page.

注意

フェデレーションを構成している場合は、インストールを続行する前に、フェデレーション サーバーの名前解決も構成済みであることを確認してください。If you configured federation, then make sure that you have also configured Name resolution for federation servers before you continue the installation.

[構成の準備完了] ページを示すスクリーンショット。

ステージング モードの使用Use staging mode

ステージング モードと並行して新しい同期サーバーをセットアップすることができます。It's possible to set up a new sync server in parallel with staging mode. このセットアップを使用する場合、クラウド内の 1 つのディレクトリにエクスポートできる同期サーバーは 1 つだけです。If you want to use this setup, then only one sync server can export to one directory in the cloud. ただし、別のサーバー (DirSync を実行するサーバーなど) から移動する場合は、ステージング モードで Azure AD Connect を有効にすることができます。But if you want to move from another server, for example a server running DirSync, then you can enable Azure AD Connect in staging mode.

ステージング設定を有効にすると、同期エンジンはデータを通常どおりにインポートおよび同期します。When you enable the staging setup, the sync engine imports and synchronizes data as normal. ただし、Azure AD または Active Directory にデータをエクスポートすることはありません。But it exports no data to Azure AD or Active Directory. ステージング モード中は、パスワード同期機能とパスワード ライトバック機能が無効になります。In staging mode, the password sync feature and password writeback feature are disabled.

[ステージングモードを有効にする] オプションを示すスクリーンショット。

ステージング モード中は、同期エンジンに必要な変更を加え、エクスポートされる内容を確認することができます。In staging mode, you can make required changes to the sync engine and review what will be exported. 構成が適切な状態になったら、インストール ウィザードをもう一度実行し、ステージング モードを無効にします。When the configuration looks good, run the installation wizard again and disable staging mode.

これで、データはこのサーバーから Azure AD にエクスポートされます。Data is now exported to Azure AD from the server. 1 つのサーバーのみをアクティブにしてエクスポートするために、このとき他のサーバーは無効にしてください。Make sure to disable the other server at the same time so only one server is actively exporting.

詳細については、「ステージング モード」を参照してください。For more information, see Staging mode.

フェデレーション構成の確認Verify your federation configuration

[検証] ボタンを選択すると、Azure AD Connect によって DNS 設定が検証されます。Azure AD Connect verifies the DNS settings when you select the Verify button. 以下の設定が検査されます。It checks the following settings:

  • イントラネット接続Intranet connectivity
    • フェデレーション FQDN の解決: 接続を確保するために、DNS でフェデレーション FQDN を解決できるかどうかが Azure AD Connect によって検査されます。Resolve federation FQDN: Azure AD Connect checks whether the DNS can resolve the federation FQDN to ensure connectivity. Azure AD Connect が FQDN を解決できない場合、検証は失敗します。If Azure AD Connect can't resolve the FQDN, then the verification fails. 検証を実行するために、フェデレーション サービス FQDN の DNS レコードを設定してください。To complete the verification, ensure that a DNS record is present for the federation service FQDN.
    • DNS A レコード: フェデレーション サービスに A レコードがあるかどうかが Azure AD Connect によって検査されます。DNS A record: Azure AD Connect checks whether your federation service has an A record. A レコードがない場合、検証は失敗します。In the absence of an A record, the verification fails. 検証を実行するために、フェデレーション FQDN の A レコードを作成してください (CNAME レコードではありません)。To complete the verification, create an A record (not a CNAME record) for your federation FQDN.
  • エクストラネット接続Extranet connectivity
    • フェデレーション FQDN の解決: 接続を確保するために、DNS でフェデレーション FQDN を解決できるかどうかが Azure AD Connect によって検査されます。Resolve federation FQDN: Azure AD Connect checks whether the DNS can resolve the federation FQDN to ensure connectivity.

      [インストールの完了] ページを示すスクリーンショット。

      [インストールの完了] ページを示すスクリーンショット。

エンド ツー エンド認証を検証するには、以下の 1 つ以上のテストを手動で実行します。To validate end-to-end authentication, manually perform one or more of the following tests:

  • 同期が完了したら、Azure AD Connect で [フェデレーション ログインの検証] 追加タスクを使用して、選択したオンプレミス ユーザー アカウントの認証を検証します。When synchronization finishes, in Azure AD Connect, use the Verify federated login additional task to verify authentication for an on-premises user account that you choose.
  • イントラネット上のドメイン参加済みマシンで、ブラウザーからサインインできることを確認します。From a domain-joined machine on the intranet, ensure that you can sign in from a browser. https://myapps.microsoft.comに接続します。Connect to https://myapps.microsoft.com. 次に、ログオン アカウントを使用してサインインを確認します。Then use your logged-on account to verify the sign-in. あらかじめ登録された AD DS 管理者アカウントは同期されないため、検証には使用できません。The built-in Azure AD DS administrator account isn't synchronized, and you can't use it for verification.
  • エクストラネット上のデバイスからサインインできることを確認します。Ensure that you can sign in from a device on the extranet. 自宅にあるマシンまたはモバイル デバイスで https://myapps.microsoft.com に接続します。On a home machine or a mobile device, connect to https://myapps.microsoft.com. 次に、資格情報を入力します。Then provide your credentials.
  • リッチ クライアントのサインインを検証する。Validate rich client sign-in. https://testconnectivity.microsoft.comに接続します。Connect to https://testconnectivity.microsoft.com. 次に、 [Office 365] > [Office 365 シングル サインオン テスト] の順に選択します。Then select Office 365 > Office 365 Single Sign-On Test .

トラブルシューティングTroubleshoot

このセクションには、Azure AD Connect のインストール時に問題が発生した場合に使用できるトラブルシューティング情報が含まれています。This section contains troubleshooting information that you can use if you have a problem while installing Azure AD Connect.

Azure AD Connect のインストールをカスタマイズする場合は、 [必要なコンポーネントのインストール] ページで、 [既存の SQL Server を使用する] を選択できます。When you customize an Azure AD Connect installation, on the Install required components page, you can select Use an existing SQL Server . 次のエラーが表示されることがあります。"ADSync データベースには既にデータが含まれていて、上書きすることはできません。You might see the following error: "The ADSync database already contains data and cannot be overwritten. 既存のデータベースを削除してからやり直してください。"Please remove the existing database and try again."

[必須コンポーネントのインストール] ページを示すスクリーンショット。

このエラーが表示されるのは、指定した SQL Server の SQL インスタンスに ADSync という名前のデータベースが既に存在するためです。You see this error because a database named ADSync already exists on the SQL instance of SQL Server that you specified.

このエラーは通常、Azure AD Connect をアンインストールした後で発生します。You typically see this error after you have uninstalled Azure AD Connect. Azure AD Connect をアンインストールすると、SQL Server を実行しているコンピューターからデータベースが削除されません。The database isn't deleted from the computer that runs SQL Server when you uninstall Azure AD Connect.

この問題の解決方法To fix this problem:

  1. アンインストールする前に、Azure AD Connect が使用している ADSync データベースを確認してください。Check the ADSync database that Azure AD Connect used before it was uninstalled. データベースが使用されなくなっていることを確認します。Make sure that the database is no longer being used.

  2. データベースをバックアップします。Back up the database.

  3. データベースを削除します。Delete the database:

    1. Microsoft SQL Server Management Studio を使用して、SQL インスタンスに接続します。Use Microsoft SQL Server Management Studio to connect to the SQL instance.
    2. ADSync データベースを見つけて右クリックします。Find the ADSync database and right-click it.
    3. コンテキスト メニューで、 [削除] を選択します。On the context menu, select Delete .
    4. [OK] を選択して、データベースを削除します。Select OK to delete the database.

Microsoft SQL Server Management Studio を示すスクリーンショット。

ADSync データベースの削除後、 [インストール] を選択してインストールを再試行します。After you delete the ADSync database, select Install to retry the installation.

次の手順Next steps

インストールが完了したら、Windows からサインアウトします。After the installation finishes, sign out of Windows. 次に、Synchronization Service Manager または同期規則エディターを使用する前に、もう一度サインインします。Then sign in again before you use Synchronization Service Manager or Synchronization Rule Editor.

Azure AD Connect がインストールされたので、インストールを確認し、ライセンスを割り当てることができます。Now that you have installed Azure AD Connect, you can verify the installation and assign licenses.

インストール中に有効にした機能の詳細については、誤った削除操作を防止する機能Azure AD Connect Health に関する各ページを参照してください。For more information about the features that you enabled during the installation, see Prevent accidental deletes and Azure AD Connect Health.

その他の一般的なトピックの詳細については、「Azure AD Connect 同期: スケジューラ」および「オンプレミス ID と Azure AD の統合」を参照してください。For more information about other common topics, see Azure AD Connect sync: Scheduler and Integrate your on-premises identities with Azure AD.