Microsoft Entra Connect の前提条件

[アーティクル]
2024/12/19

この記事では、Microsoft Entra Connect を使用するための前提条件とハードウェア要件について説明します。

Microsoft Entra Connect をインストールする前に

Microsoft Entra Connect をインストールする前に、いくつか必要なものがあります。

Microsoft Entra ID

Microsoft Entra テナントが必要です。 Azure 無料試用版に 1 つ付属します。次のポータルのいずれかを使用して、Microsoft Entra Connect を管理できます。
- Microsoft Entra 管理センター。
- Office ポータル。
Microsoft Entra ID で使用する予定のドメインを追加して検証します。たとえば、ユーザーに contoso.com を使用する予定がある場合は、このドメインが検証済みであり、contoso.onmicrosoft.com の既定のドメインのみを使用していないことを確認します。
Microsoft Entra テナントでは、既定で 50,000 個のオブジェクトが許可されます。ドメインを検証すると、このオブジェクトの制限が 300,000 個に増加します。 Microsoft Entra ID でさらに多くのオブジェクトが必要な場合は、制限をさらに引き上げるためにサポートケースを作成します。 500,000 個を超えるオブジェクトが必要な場合は、Microsoft 365、Microsoft Entra ID P1 または P2、あるいは Enterprise Mobility + Security などのライセンスが必要です。

オンプレミスのデータの準備

Microsoft Entra ID および Microsoft 365 に同期する前に、IdFix を使用して、ディレクトリ内の重複や書式の問題などのエラーを特定してください。
Microsoft Entra ID で有効にできるオプションの同期機能について確認し、どの機能を有効にする必要があるかを評価してください。

オンプレミスの Active Directory

Active Directory スキーマのバージョンとフォレストの機能レベルは、Windows Server 2003 以降である必要があります。ドメインコントローラーは、スキーマのバージョンとフォレストレベルの要件が満たされていれば、任意のバージョンを実行できます。 Windows Server 2016 以前を実行しているドメインコントローラーのサポートが必要な場合は、有料サポートプログラムが必要になる場合があります。
Microsoft Entra ID で使用されるドメインコントローラーは、書き込み可能である必要があります。読み取り専用ドメインコントローラー (RODC) の使用は "サポートされていません"。また、Microsoft Entra Connect は書き込みリダイレクトに従いません。
"ドット形式" (名前にピリオド "." が含まれる) を使用した NetBIOS 名を使用するオンプレミスのフォレストまたはドメインは"サポートされていません"。
Active Directory のごみ箱を有効にすることをお勧めします。

PowerShell 実行ポリシー

Microsoft Entra Connect は、インストールの一部として署名済み PowerShell スクリプトを実行します。 PowerShell 実行ポリシーでスクリプトの実行が許可されていることを確認します。

インストール中に推奨される実行ポリシーは "RemoteSigned" です。

PowerShell 実行ポリシーの設定の詳細については、「Set-ExecutionPolicy」を参照してください。

Microsoft Entra Connect サーバー

Microsoft Entra Connect サーバーには、重要な ID データが含まれています。このサーバーへの管理アクセスが適切にセキュリティで保護されていることが重要です。「特権アクセスの保護」のガイドラインに従ってください。

Microsoft Entra Connect サーバーは、Active Directory 管理階層モデルに関する記事の説明に従い、階層 0 のコンポーネントとして取り扱う必要があります。「特権アクセスの保護」で説明されているガイダンスに従って、Microsoft Entra Connect サーバーをコントロールプレーンアセットとして強化することをお勧めします

Active Directory 環境のセキュリティ保護の詳細については、Active Directory を保護するためのベストプラクティスに関する記事を参照してください。

インストールの前提条件

Microsoft Entra Connect は、ドメインに参加している Windows Server 2016 以降にインストールする必要があります。ドメイン参加済みの Windows Server 2022 を使用することをお勧めします。 Microsoft Entra Connect は Windows Server 2016 に展開できます。ただし、Windows Server 2016 は延長サポートのため、この構成のサポートが必要な場合は、有料サポートプログラム必要になる場合があります。
必要な .NET Framework の最小バージョンは 4.6.2 であり、それより新しい .NET のバージョンもサポートされています。 .NET バージョン 4.8 以降では、最適なアクセシビリティコンプライアンスが提供されます。
Small Business Server または 2019 より前の Windows Server Essentials には、Microsoft Entra Connect をインストールできません (Windows Server Essentials 2019 はサポートされます)。サーバーは Windows Server Standard 以上を使用する必要があります。
Microsoft Entra Connect サーバーには、完全な GUI がインストールされている必要があります。 Windows Server Core への Microsoft Entra Connect のインストールはサポートされていません。
Microsoft Entra Connect ウィザードを使用して Active Directory フェデレーションサービス (AD FS) 構成を管理する場合、Microsoft Entra Connect サーバーで PowerShell 文字起こしグループポリシーを有効にすることはできません。 Microsoft Entra Connect ウィザードを使用して同期構成を管理する場合は、PowerShell 文字起こしを有効にできます。
AD FS が展開されている場合:
- AD FS または Web アプリケーションプロキシがインストールされるサーバーは、Windows Server 2012 R2 以降である必要があります。リモートインストールを行うには、これらのサーバーで Windows リモート管理を有効にする必要があります。 Windows Server 2016 以前のサポートが必要な場合は、有料サポートプログラム必要になる場合があります。
- TLS/SSL 証明書を構成する必要があります。詳細については、AD FS の SSL/TLS プロトコルおよび暗号スイートの管理および AD FS での SSL 証明書の管理に関する記事を参照してください。
- 名前解決を構成する必要があります。
- グローバル管理者ロールを持つアカウント、またはハイブリッド ID 管理者とドメイン名管理者ロールを持つアカウントが必要です。フェデレーションに関連する構成に必要なアクセス許可は、現在ハイブリッド ID 管理者にはありませんが、ドメイン名管理者ロールにはあります。
Microsoft Entra Connect と Microsoft Entra ID の間のトラフィックを中断して分析することはサポートされていません。これを行うと、サービスが中断される可能性があります。
ハイブリッド ID 管理者が MFA を有効にしている場合、URL https://secure.aadcdn.microsoftonline-p.com は信頼済みサイトの一覧に含まれている必要があります。 MFA チャレンジの入力を求められたが、まだ追加されていない場合は、このサイトを信頼済みサイトの一覧に追加するように求められます。信頼済みサイトへの追加には、Internet Explorer を使用できます。
同期に Microsoft Entra Connect Health を使用する予定の場合は、グローバル管理者アカウントを使用して Microsoft Entra Connect Sync をインストールする必要があります。ハイブリッド ID 管理者アカウントを使用する場合、エージェントはインストールされますが、無効な状態になります。詳細については、Microsoft Entra Connect Health エージェントのインストールに関するページを参照してください。

Microsoft Entra Connect サーバーを強化する

IT 環境のこの重要なコンポーネントに対するセキュリティ攻撃面を縮小するために、Microsoft Entra Connect サーバーを強化することをお勧めします。これらの推奨事項に従うと、組織に対するいくつかのセキュリティリスクを軽減できます。

「特権アクセスの保護」と Active Directory 管理階層モデルに関する記事で提供されているガイダンスに従って、Microsoft Entra Connect サーバーをコントロールプレーン (以前の階層 0) アセットとして強化することをお勧めします。
Microsoft Entra Connect サーバーへの管理アクセスを、ドメイン管理者またはその他の厳重に管理されたセキュリティグループのみに制限します。
特権アクセスがあるすべてのユーザーに対して専用アカウントを作成します。管理者は、高い特権を持つアカウントを使用して Web を閲覧したり、メールをチェックしたり、日常業務を実行すべきではありません。
「特権アクセスの保護」に記載されているガイダンスに従ってください。
Microsoft Entra Connect サーバーでの NTLM 認証の使用を拒否します。これを行うための方法はいくつかあります: Microsoft Entra Connect サーバー上での NTLM の制限、ドメイン上での NTLM の制限
すべてのマシンに一意のローカル管理者パスワードが構成されていることを確認します。詳細については、ローカル管理者パスワードソリューション (Windows LAPS) に関する記事を参照してください。これを使用することで、ワークステーションおよびサーバーごとに一意のランダムパスワードを構成し、ACL によって保護された Active Directory に保存することができます。資格のある許可されているユーザーのみが、これらのローカル管理者アカウントのパスワードの読み取りまたはリセットの要求を行うことができます。 Windows LAPS と特権アクセスワークステーション (PAW) を使用して環境を運用するための追加のガイダンスについては、「クリーンソースの原則に基づく運用基準」を参照してください。
組織の情報システムへの特権アクセスを持つすべての担当者に対して、専用の特権アクセスワークステーションを実装します。
Active Directory 環境の攻撃面を減らすには、これらの追加のガイドラインに従います。
フェデレーション構成の変更の監視に関するページに従って、Idp と Microsoft Entra ID との間に確立されている信頼に対する変更を監視するためのアラートを設定します。
Microsoft Entra ID または AD で特権アクセスが付与されているすべてのユーザーに対して多要素認証 (MFA) を有効にします。 Microsoft Entra Connect の使用に関するセキュリティの問題の 1 つは、攻撃者が Microsoft Entra Connect サーバーを制御できると、Microsoft Entra ID でユーザーを操作できることです。攻撃者がこれらの機能を使用して Microsoft Entra アカウントを乗っ取ることを防止するために、MFA は、たとえ攻撃者が Microsoft Entra Connect を使用してユーザーのパスワードのリセットなどに成功しても、2 番目の要素をバイパスできないようにする保護機能を提供します。
テナントでソフトマッチを無効にします。ソフトマッチは、既存のクラウドマネージドオブジェクトの権限のソースを Microsoft Entra Connect に転送するのに役立つ優れた機能ですが、一定のセキュリティリスクが伴います。必要ない場合は、ソフトマッチを無効にする必要があります。
ハードマッチの引き継ぎを無効にします。ハードマッチの引き継ぎは、Microsoft Entra Connect がクラウドマネージドオブジェクトを制御し、オブジェクトの権限のソースを Active Directory に変更できるようにします。 Microsoft Entra Connect によってオブジェクトの権限のソースが引き継がれると、Microsoft Entra オブジェクトにリンクされている Active Directory オブジェクトに加えられた変更により、パスワードハッシュ同期が有効になっている場合、パスワードハッシュを含む元の Microsoft Entra データが上書きされます。攻撃者はこの機能を使用して、クラウドマネージドオブジェクトの制御を奪う可能性があります。このリスクを軽減するには、ハードマッチの引き継ぎを無効にします。

Microsoft Entra Connect で使用される SQL Server

Microsoft Entra Connect には、ID データを格納するための SQL Server データベースが必要です。既定では、SQL Server 2019 Express LocalDB (SQL Server Express の簡易バージョン) がインストールされます。 SQL Server Express のサイズ制限は 10 GB で、約 100,000 オブジェクトを管理できます。さらに多くのディレクトリオブジェクトを管理する必要がある場合は、インストールウィザードで別の SQL Server インストール済み環境を指定します。 SQL Server のインストールの種類が、Microsoft Entra Connect のパフォーマンスに影響する可能性があります。
SQL Server の別のインストールを使用する場合は、次の要件が適用されます。
- Microsoft Entra Connect は、Windows 上で実行される SQL Server 2022 まで、すべてのメインストリームサポート SQL Server バージョンをサポートします。 SQL Server のバージョンのサポート状態を確認するには、SQL Server のライフサイクルに関する記事を参照してください。 SQL Server 2012 はサポートされなくなりました。 Azure SQL Database は、データベースとしては "サポートされていません"。これには、Azure SQL Database と Azure SQL Managed Instance の両方が含まれます。
- 大文字と小文字が区別されない SQL 照合順序を使用する必要があります。これらの照合順序は、名前に含まれる _CI_ で識別します。大文字と小文字が区別される照合順序 (名前に含まれる _CS_ で識別) はサポートされていません。
- 1 つの SQL インスタンスにつき保持できる同期エンジンは 1 つだけです。 MIM Sync、DirSync、または Azure AD Sync との SQL インスタンスの共有は "サポートされていません"。
- Microsoft Entra Connect にバンドルされている SQL Server バージョン 17 用 ODBC ドライバーと OLE DB Driver for SQL Server バージョン 18 を維持します。 ODBC/OLE DB ドライバーのメジャーバージョンまたはマイナーバージョンのアップグレードはサポートされていません。 Microsoft Entra Connect 製品グループチームは、新しい ODBC/OLE DB ドライバーが利用可能になり、更新の要件が満たされると、それらを組み込みます。
- Microsoft Entra Connect では、SQL 名前付きパイププロトコルはサポートされていません。

注意

Microsoft Entra Connect と同じサーバーに SQL をインストールする場合は、システムから使用できる最大メモリを制限するように SQL を構成することをお勧めします。メモリ構成は SQL のベストプラクティスに従ってください。

アカウント

統合対象の Microsoft Entra テナントに対する Microsoft Entra 全体管理者アカウントまたはハイブリッド ID の管理者アカウントが必要です。このアカウントは "学校または組織のアカウント" である必要があり、"Microsoft アカウント" を使用することはできません。
AD FS または PingFederate とのフェデレーションを構成する場合は、グローバル管理者ロールを持つアカウントか、ハイブリッド ID 管理者とドメイン名管理者ロールを持つアカウントが必要です。フェデレーションに関連する構成に必要なアクセス許可は、現在ハイブリッド ID 管理者にはありませんが、ドメイン名管理者ロールにはあります。
簡易設定を使用するか、DirSync からアップグレードする場合は、オンプレミスの Active Directory のエンタープライズ管理者アカウントが必要です。
カスタム設定のインストールパスを使用する場合、さらにオプションがあります。詳細については、「カスタムインストールの設定」を参照してください。

接続

Microsoft Entra Connect サーバーには、イントラネットとインターネットの両方の DNS 解決が必要です。 DNS サーバーは、オンプレミスの Active Directory と Microsoft Entra エンドポイントの両方について、名前を解決できる必要があります。
Microsoft Entra Connect には、構成されているすべてのドメインへのネットワーク接続が必要です
Microsoft Entra Connect には、構成されているすべてのフォレストのルートドメインへのネットワーク接続が必要です
イントラネット環境にファイアウォールがあり、Microsoft Entra Connect サーバーとドメインコントローラーとの間にポートを開く必要がある場合の詳細については、Microsoft Entra Connect のポートに関する記事を参照してください。
プロキシまたはファイアウォールによってアクセスできる URL が制限されている場合は、「Office 365 URL および IP アドレス範囲」に記載されている URL を開く必要があります。ファイアウォールまたはプロキシサーバーの許可リストに Microsoft Entra 管理センターの URL を登録する方法に関する記事も参照してください。
- ドイツで Microsoft クラウドを使用する場合、または Microsoft Azure Government クラウドを使用する場合は、Microsoft Entra Connect Sync サービスインスタンスの考慮事項に関するページで URL を確認してください。
Microsoft Entra Connect (バージョン 1.1.614.0 以降) は、同期エンジンと Microsoft Entra ID との間の通信の暗号化に既定で TLS 1.2 を使用します。基盤となるオペレーティングシステムで TLS 1.2 が使用できない場合、Microsoft Entra Connect は、前のプロトコル (TLS 1.1 と TLS 1.0) に段階的にフォールバックします。 Microsoft Entra Connect バージョン 2.0 以降。 TLS 1.0 と 1.1 はサポートされなくなり、TLS 1.2 が有効になっていない場合、インストールは失敗します。
バージョン 1.1.614.0 より前の Microsoft Entra Connect は同期エンジンと Microsoft Entra ID との間の通信の暗号化に既定で TLS 1.0 を使用します。 TLS 1.2 に変更するには、「Microsoft Entra Connect 用に TLS 1.2 を有効にする」の手順に従ってください。

重要

バージョン 2.3.20.0 はセキュリティ更新プログラムです。この更新プログラムでは、Microsoft Entra Connect に TLS 1.2 が必要です。このバージョンに更新する前に、TLS 1.2 が有効になっていることを確かめてください。

すべてのバージョンの Windows Server が TLS 1.2 をサポートしています。サーバーで TLS 1.2 が有効になっていない場合は、Microsoft Entra Connect V2.0 を展開する前に、これを有効にする必要があります。

TLS 1.2 が有効かどうかを確認する PowerShell スクリプトについては、「TLS を確認する PowerShell スクリプト」を参照してください

TLS 1.2 について詳しくは、Microsoft セキュリティアドバイザリ 2960358 に関するページを参照してください。 TLS 1.2 の有効化の詳細については、「TLS 1.2 を有効にする方法」を参照してください

送信プロキシを使用してインターネットに接続する場合は、C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config ファイルに次の設定を追加して、インストールウィザードと Microsoft Entra Connect 同期がインターネットと Microsoft Entra ID に接続できるようにする必要があります。このテキストは、ファイルの末尾に入力する必要があります。このコードの <PROXYADDRESS> は実際のプロキシ IP アドレスまたはホスト名を表します。
```
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
プロキシサーバーで認証が必要な場合、サービスアカウントはドメイン内にある必要があります。カスタマイズした設定のインストールパスを使用して、カスタムサービスアカウントを指定します。 machine.config に別の変更も必要です。この machine.config の変更によって、インストールウィザードと同期エンジンは、プロキシサーバーからの認証要求に応答します。 [構成] ページを除くインストールウィザードのすべてのページで、サインインしたユーザーの資格情報が使用されます。インストールウィザードの最後にある [構成] ページで、コンテキストが、自分で作成したサービスアカウントに切り替わります。 machine.config のセクションは、次のようになっているはずです。
```
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
プロキシ構成を既存のセットアップ内で行う場合は、Microsoft Entra ID Sync サービスを 1 回再起動して、Microsoft Entra Connect がプロキシ設定を読み込んで動作を更新するようにする必要があります。
Microsoft Entra Connect がディレクトリ同期の一環として Microsoft Entra ID に Web 要求を送信すると、Microsoft Entra ID が応答するまでに最大 5 分かかる場合があります。プロキシサーバーでは、接続アイドルタイムアウト構成が一般的です。この構成は最低でも 6 分以上に設定します。

詳細については、既定のプロキシ要素に関する MSDN を参照してください。接続に問題が発生した場合は、接続の問題に対するトラブルシューティングについてのページを参照してください。

その他

省略可能: 同期の検証にテストユーザーアカウントを使用します。

コンポーネントの前提条件

PowerShell と .NET Framework

Microsoft Entra Connect は、Microsoft PowerShell 5.0 と .NET Framework 4.5.1 に依存しています。これ以降のバージョンがサーバーにインストールされている必要があります。

Microsoft Entra Connect に対して TLS 1.2 を有効にする

重要

TLS 1.2 が有効かどうかを確認する PowerShell スクリプトについては、「TLS を確認する PowerShell スクリプト」を参照してください

バージョン 1.1.614.0 より前の Microsoft Entra Connect は同期エンジンサーバーと Microsoft Entra ID との間の通信の暗号化に既定で TLS 1.0 を使用します。サーバーで TLS 1.2 を既定で使用するように .NET アプリケーションを構成できます。 TLS 1.2 について詳しくは、Microsoft セキュリティアドバイザリ 2960358 に関するページを参照してください。

オペレーティングシステムに .NET 4.5.1 修正プログラムがインストールされていることを確認します。詳しくは、Microsoft セキュリティアドバイザリ 2960358 に関する記事を参照してください。既にこの修正プログラムやこれ以降のリリースをサーバーにインストールしている可能性があります。
すべてのオペレーティングシステムに対して、次のレジストリキーを設定してサーバーを再起動します。
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001
```
同期エンジンサーバーとリモート SQL Server の間でも TLS 1.2 を有効にする場合は、Microsoft SQL Server 用の TLS 1.2 のサポートに必要なバージョンがインストールされていることを確認してください。

詳細については、「TLS 1.2 を有効にする方法」を参照してください

同期サーバーでの DCOM の前提条件

同期サービスのインストール中に、Microsoft Entra Connect が次のレジストリキーの存在を確認します。

HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

このレジストリキーの下で、Microsoft Entra Connect は、次の値が存在するかどうかを確認し、破損していないかどうかを確認します。

フェデレーションのインストールと構成の前提条件

重要

AD FS または PingFederate とのフェデレーションを構成する場合は、グローバル管理者ロールを持つアカウントか、ハイブリッド ID 管理者とドメイン名管理者ロールを持つアカウントが必要であることに注意してください。フェデレーションに関連する構成に必要なアクセス許可は、現在ハイブリッド ID 管理者にはありませんが、ドメイン名管理者ロールにはあります。

Windows リモート管理

Microsoft Entra Connect を使用して AD FS または Web アプリケーションプロキシ (WAP) をデプロイするときは、次の要件を確認してください。

ターゲットサーバーがドメインに参加している場合は、Windows リモート管理が有効であることを確認します。
- 管理者特権の PowerShell コマンドウィンドウで、コマンド Enable-PSRemoting –force を使用します。
ターゲットサーバーが、ドメインに参加していない WAP マシンである場合は、次のいくつかの追加の要件があります。
- ターゲットマシン (WAP マシン) での要件。
  - Windows Remote Management/WS-Management (WinRM) サービスが、サービススナップインから実行されていることを確認します。
  - 管理者特権の PowerShell コマンドウィンドウで、コマンド Enable-PSRemoting –force を使用します。
- ウィザードが実行されているマシン (ターゲットマシンがドメインに参加していないか、信頼されていないドメインである場合) の場合:
  - 管理者特権の PowerShell コマンドウィンドウで、コマンド Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate を使用します。
  - サーバーマネージャーで、以下を行います。
    - DMZ WAP ホストをコンピュータープールに追加します。サーバーマネージャーで、[管理]>[サーバーの追加] を選択し、[DNS] タブを使用します。
    - サーバーマネージャーの [すべてのサーバー] タブで、WAP サーバーを右クリックし、[Manage As]\(管理に使用する資格情報\) を選択します。 WAP マシンのローカル (ドメインではない) 資格情報を入力します。
    - リモートの PowerShell 接続を検証するには、サーバーマネージャーの [すべてのサーバー] タブで WAP サーバーを右クリックし、[Windows PowerShell] を選択します。リモート PowerShell セッションが開き、リモート PowerShell セッションを確立できるようになります。

TLS/SSL 証明書の要件

AD FS ファームのすべてのノードとすべての Web アプリケーションプロキシサーバーで同じ TLS/SSL 証明書を使用することをお勧めします。
この証明書は x509 証明書である必要があります。
テストラボ環境では、フェデレーションサーバーで自己署名証明書を使用できます。運用環境では、公的証明機関から証明書を取得することを勧めします。
- 公的に信頼されていない証明書を使用する場合は、各 Web アプリケーションプロキシサーバーにインストールされている証明書がローカルサーバーとすべてのフェデレーションサーバーで信頼されていることを確認します。
証明書の ID は、フェデレーションサービス名 (sts.contoso.com など) と一致する必要があります。
- この ID は、dNSName タイプのサブジェクト代替名 (SAN) 拡張、または SAN エントリがない場合は共通名として指定されたサブジェクト名のどちらかになります。
- 複数の SAN エントリを証明書に表示できますが、そのうちの 1 つはフェデレーションサービス名に一致させます。
- Workplace Join を使用する場合は、値 enterpriseregistration. の後に組織のユーザープリンシパル名 (UPN) サフィックスが続く追加の SAN が必要です (例: enterpriseregistration.contoso.com)。
CryptoAPI Next Generation (CNG) キーとキー記憶域プロバイダー (KSP) に基づく証明書はサポートされません。そのため、ユーザーは KSP ではなく、暗号化サービスプロバイダー (CSP) に基づく証明書を使用する必要があります。
ワイルドカード証明書がサポートされます。

フェデレーションサーバーの名前解決

イントラネット (内部 DNS サーバー) とエクストラネット (ドメインレジストラー経由のパブリック DNS) の両方の AD FS 名 (sts.contoso.com など) の DNS レコードを設定します。イントラネットの DNS レコードの場合は、A レコードを使用し、CNAME レコードは使用しないようにします。 A レコードの使用は、Windows 認証をドメインに参加しているマシンから正常に動作するために必要なことです。
複数の AD FS サーバーまたは Web アプリケーションプロキシサーバーを展開する場合は、必ずロードバランサーを構成し、AD FS 名 (sts.contoso.com など) の DNS レコードでロードバランサーを指定してください。
イントラネットで Internet Explorer を使用するブラウザーアプリケーションに対して動作する Windows 統合認証の場合は、必ず AD FS 名 (sts.contoso.com など) を、Internet Explorer のイントラネットゾーンに追加してください。この要件は、グループポリシーを使用して制御し、ドメインに参加しているすべてのマシンにデプロイすることができます。

Microsoft Entra Connect のサポートコンポーネント

Microsoft Entra Connect は、Microsoft Entra Connect がインストールされるサーバーに次のコンポーネントをインストールします。この一覧は、基本的な高速インストール用です。 [同期サービスのインストール] ページで異なる SQL Server を使用することを選択した場合、SQL Express LocalDB はローカルにインストールされません。

Microsoft Entra Connect Health
Microsoft SQL Server 2022 Command Line Utilities
Microsoft SQL Server 2022 Express LocalDB
Microsoft SQL Server 2022 Native Client
Microsoft Visual C++ 14 再配布パッケージ

Microsoft Entra Connect のハードウェア要件

Microsoft Entra Connect Sync コンピューターの最小要件を次の表に示します。

Active Directory 内のオブジェクトの数	CPU	メモリ	ハードドライブのサイズ
10,000 未満	1.6 GHz	6 GB	70 GB
10,000 から 50,000	1.6 GHz	6 GB	70 GB
50,000 から 100,000	1.6 GHz	16 GB	100 GB
オブジェクトが 100,000 個以上の場合は完全バージョンの SQL Server が必要。パフォーマンス上の理由から、ローカルでのインストールを推奨。次の値は Microsoft Entra Connect インストールでのみ有効です。 SQL Server が同じサーバーにインストールされている場合は、さらにメモリ、ドライブ、CPU が必要です。
100,000 から 300,000	1.6 GHz	32 GB	300 GB
300,000 から 600,000	1.6 GHz	32 GB	450 GB
600,000 より多い場合	1.6 GHz	32 GB	500 GB

AD FS または Web アプリケーションプロキシサーバーを実行するマシンの最小要件を次に示します。

CPU: デュアルコア 1.6 GHz 以上
メモリ: 2 GB 以上
Azure VM: A2 構成またはそれ以上

次のステップ

オンプレミス ID と Microsoft Entra ID の統合の詳細をご確認ください。

その他のリソース

トレーニング

モジュール

Implement directory synchronization tools - Training

This module examines the Microsoft Entra Connect Sync and Microsoft Entra Cloud Sync installation requirements, the options for installing and configuring the tools, and how to monitor synchronization services using Microsoft Entra Connect Health.

認定資格

Microsoft Certified: Windows Server Hybrid Administrator Associate - Certifications

Windows Server ハイブリッド管理者は、Windows Server 環境と Azure サービスを統合し、オンプレミスネットワークで Windows Server を管理します。

次の方法で共有