Azure AD Connect と Azure AD Connect Health のインストール ロードマップ

Azure AD Connect のインストール

重要

公式に文書化されているアクションを除き、Microsoft は Azure AD Connect Sync の変更や操作をサポートしません。 サポートされていないアクションを行うと、Azure AD Connect Sync が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。

Azure AD Connect は Microsoft ダウンロード センターからダウンロードできます。

解決策 シナリオ
開始する前に - ハードウェアと前提条件
  • Azure AD Connect のインストールを開始する前に実行する手順です。
  • 簡単設定
  • シングル フォレストの AD が存在する場合、この方法をお勧めします。
  • ユーザーは、パスワード同期により、同じパスワードを使ってサインインします。
  • カスタマイズした設定
  • 複数のフォレストがある場合に使用されます。 多くのオンプレミス トポロジがサポートされます。
  • パススルー認証、フェデレーション用の ADFS などのサインイン オプションをカスタマイズするか、サード パーティの ID プロバイダーを使います。
  • フィルター処理やライトバックなどの同期機能をカスタマイズします。
  • DirSync からのアップグレード
  • 既存の DirSync サーバーが既に実行されている場合に使用します。
  • Azure AD Sync または Azure AD Connect からのアップグレード
  • 複数の方法から自由に選択できます。
  • インストール後に 想定どおりに動作していることをことを確認し、ユーザーにライセンスを割り当てる必要があります。

    Azure AD Connect のインストールの次のステップ

    トピック Link
    Azure AD Connect のダウンロード Azure AD Connect のダウンロード
    Express 設定を使用したインストール Azure AD Connect の高速インストール
    カスタマイズした設定を使用したインストール Azure AD Connect のカスタム インストール
    DirSync からのアップグレード Azure AD 同期ツール (DirSync) からのアップグレード
    インストール後に インストールの確認とライセンスの割り当て

    Azure AD Connect のインストールの詳細

    運用 上の問題への備えも必要になることがあります。 障害が発生したときにフェールオーバーできるように、スタンバイ サーバーを用意するという方法もあります。 頻繁に構成を変更する予定がある場合は、 ステージング モード サーバーについて計画してください。

    トピック Link
    サポートされているトポロジ Azure AD Connect のトポロジ
    設計概念 Azure AD Connect の設計概念
    インストールで使用するアカウント Azure AD Connect の資格情報とアクセス許可の詳細
    運用計画 Azure AD Connect 同期:操作タスクおよび考慮事項
    ユーザーのサインイン オプション Azure AD Connect ユーザーのサインイン オプション

    同期機能を構成する

    Azure AD Connect には、必要に応じて有効にすることができる機能や、既定で有効になっている機能があります。 ただし一部の機能は、特定のシナリオやトポロジを実現するために、特別な構成が必要となります。

    フィルター処理 は、Azure AD に同期するオブジェクトを制限する場合に使用します。 既定では、すべてのユーザー、連絡先、グループ、Windows 10 コンピューターが同期の対象となります。 フィルター処理は、ドメインや OU、属性に基づいて変更することができます。

    パスワード ハッシュ同期は、Active Directory のパスワード ハッシュを Azure AD と同期させる機能です。 エンド ユーザーがオンプレミスとクラウドで同じパスワードを使用でき、しかもそれを 1 か所で管理することができます。 オンプレミスの Active Directory が認証機関として使用されているため、独自のパスワード ポリシーを使用することもできます。

    パスワード ライトバック により、ユーザーはクラウドでパスワードを変更およびリセットし、オンプレミスのパスワード ポリシーを適用できます。

    デバイスの書き戻しにより、Azure AD に登録されているデバイスをオンプレミスの Active Directory にライトバックできます。これにより、そのデバイスを条件付きアクセスに使用できるようになります。

    誤って削除されないように保護する 機能は既定で有効になっており、多数のクラウド ディレクトリが同時に削除されるのを防ぐことができます。 1 回の実行で削除できるディレクトリは、既定では 500 個です。 この設定は、組織の規模に応じて変更できます。

    自動アップグレード は、簡単設定を使用したインストールでは既定で有効になっており、Azure AD Connect が最新のリリースで常に最新の状態になるようにします。

    同期機能を構成する次のステップ

    トピック Link
    フィルター処理の構成 Azure AD Connect 同期:フィルター処理の構成
    パスワード ハッシュの同期 パスワード ハッシュの同期
    パススルー認証 パススルー認証
    パスワードの書き戻し パスワード管理の概要
    デバイスの書き戻し Azure AD Connect でのデバイスの書き戻しの有効化
    誤って削除されないように保護する Azure AD Connect 同期:誤って削除されないように保護する
    自動アップグレード Azure AD Connect:自動アップグレード

    Azure AD Connect Sync のカスタマイズ

    Azure AD Connect Sync には、ほとんどのお客様とトポロジに対応した既定の構成が設定されています。 とはいえ、既定の構成ではうまくいかず、調整が必要な場面も必ず存在します。 このセクションとリンク先のトピックにまとめられているように、構成は変更できます。

    これまでに同期トポロジを扱った経験がない場合は、 技術的概念で説明されている基本情報と用語を確認してください。 Azure AD Connect は、MIIS2003、ILM2007、FIM2010 が進化したものです。 同じ要素もあるものの、多数の変更が加えられています。

    この 既定の構成 は、複数のフォレストが存在する可能性があることを前提としています。 これらのトポロジでは、ユーザー オブジェクトが別のフォレスト内の連絡先として表されることがあります。 ユーザーは、別のリソース フォレストにリンクされたメールボックスを持っている場合もあります。 既定の構成の動作については、 ユーザーと連絡先に関するページを参照してください。

    同期の構成モデルは、 宣言型のプロビジョニングと呼ばれています。 高度な属性のフローでは、 関数 を使って属性の変換を表現します。 Azure AD Connect に付属するツールを使って、構成全体を確認、検証できます。 構成を変更する必要がある場合は、新しいリリースを採用しやすいように、 ベスト プラクティス に従ってください。

    Azure AD Connect Sync のカスタマイズの次のステップ

    トピック Link
    Azure AD Connect Sync に関するすべての記事 Azure AD Connect Sync
    技術的概念 Azure AD Connect 同期:技術的概念
    既定の構成について Azure AD Connect 同期:既定の構成について
    ユーザーと連絡先について Azure AD Connect 同期:ユーザーと連絡先について
    宣言型のプロビジョニング Azure AD Connect 同期: 宣言型のプロビジョニングの式について
    既定の構成の変更 既定の構成の変更するためのベスト プラクティス

    フェデレーション機能を構成する

    Azure AD Connect には、Azure AD との認証連携を AD FS の使用とフェデレーション信頼の管理を通じて省力化するさまざまな機能が備わっています。 Azure AD Connect では、Windows Server 2012R2 以降の AD FS がサポートされます。

    フェデレーション信頼の管理に Azure AD Connect を使用していない場合でも、AD FS ファームの TLS/SSL 証明書を更新することができます。

    ファームに AD FS サーバーを追加することで必要に応じてファームを拡張できます。

    たった数回のクリック操作で Azure AD との信頼を修復できます。

    ADFS は 複数のドメインをサポートするように構成できます。 たとえば、フェデレーションに利用する複数の上位ドメインが必要になることがあります。

    Azure AD から証明書を自動更新するように ADFS サーバーを更新していない場合、または非 ADFS ソリューションを使用している場合、証明書の更新が必要になったときに通知されます。

    フェデレーション機能を構成する次のステップ

    トピック Link
    AD FS に関するすべての記事 Azure AD Connect とフェデレーション
    サブドメインで ADFS を構成する Azure AD とのフェデレーションに使用する複数ドメインのサポート
    AD FS ファームを管理する Azure AD Connect を使用した AD FS の管理とカスタマイズ
    フェデレーション証明書を手動で更新する Microsoft 365 および Azure AD 用のフェデレーション証明書の更新

    Azure AD Connect Health の使用開始

    Azure AD Connect Health の使用を開始するには、次の手順に従います。

    1. Azure AD Premium を入手するか、試用版の利用を開始します。
    2. Azure AD Connect Health エージェントをダウンロードし、ID サーバーにインストールします。
    3. https://aka.ms/aadconnecthealth で Azure AD Connect Health ダッシュボードを表示します。

    注意

    Azure AD Connect Health ダッシュボードでデータを表示するためには、あらかじめ対象サーバーに Azure AD Connect Health エージェントをインストールしておく必要があります。

    Azure AD Connect Health エージェントのダウンロードとインストール

    Azure AD Connect Health ポータル

    Azure AD Connect Health ポータルでは、アラート、パフォーマンスの監視、使用状況の分析に関するビューが表示されます。 https://aka.ms/aadconnecthealth URL で Azure AD Connect Health のメイン ブレードに移動することができます。 ブレードは、ウィンドウと考えることができます。 メイン ブレードでは、 [クイック スタート] 、Azure AD Connect Health で提供されるサービス、その他の構成オプションが表示されます。 次のスクリーンショットとそれに続く簡単な説明をご覧ください。 エージェントのデプロイ後、Azure AD Connect Health で監視されているサービスが、Health サービスによって自動的に識別されます。

    注意

    ライセンスの情報については、Azure AD Connect Health の FAQ または Azure AD の価格に関するページを参照してください。

    Azure AD Connect Health ポータル

    • [クイック スタート] :このオプションを選択すると、 [クイック スタート] ブレードが開きます。 [ツールの入手] を選択することで、Azure AD Connect Health エージェントをダウンロードできます。 ドキュメントの利用とフィードバックの提供もできます。

    • [Azure Active Directory Connect (Sync)] : このオプションを選択すると、Azure AD Connect Health が現在監視している Azure AD Connect サーバーが表示されます。 [同期エラー] エントリは、カテゴリごとに、最初のオンボード同期サービスの基本的な同期エラーを示します。 [同期サービス] エントリを選択すると、ブレードが開いて Azure AD Connect サーバーに関する情報が表示されます。 Azure AD Connect Health for Sync の使用に関するページで各種機能を参照してください。

    • [Active Directory フェデレーション サービス] : このオプションを選択すると、Azure AD Connect Health が現在監視しているすべての AD FS サービスが表示されます。 インスタンスを選択すると、ブレードが開いてそのサービス インスタンスに関する情報が表示されます。 この情報には、概要、プロパティ、アラート、監視、使用状況の分析などが含まれます。 AD FS での Azure AD Connect Health の使用に関するページで各種機能を参照してください。

    • Active Directory Domain Services: このオプションを選択すると、Azure AD Connect Health が現在監視しているすべての AD DS フォレストが表示されます。 フォレストを選択すると、ブレードが開いてそのフォレストに関する情報が表示されます。 この情報には、重要度のきわめて高い情報、ドメイン コントローラーのダッシュボード、レプリケーションの状態のダッシュボード、アラート、監視の概要が含まれます。 「AD DS での Azure AD Connect Health の使用」で各種機能を参照してください。

    • 構成する:このセクションには、次の機能をオンまたはオフに切り替えるオプションがあります。

      • Azure AD Connect Health エージェントの最新バージョンへの 自動更新: 新しいバージョンが利用可能になるたびに、Azure AD Connect Health エージェントが自動的に更新されます。 このオプションは、既定で有効です。
      • トラブルシューティングの目的限定での Microsoft による Azure AD ディレクトリ整合性からの データへのアクセス: このオプションが有効になっている場合、Microsoft は、ユーザーが表示したデータと同じものにアクセスできます。 この情報は、トラブルシューティングや、必要なサポートの提供に役立ちます。 このオプションは、既定で無効です。
    • [ロール ベースのアクセス制御 (IAM)] は、ロール ベースの Connect Health データへのアクセスを管理するためのセクションです。

    次の手順