Azure AD Connect のトポロジ

この記事では、主な統合ソリューションとして Azure AD Connect 同期を使用する、さまざまなオンプレミス トポロジおよび Azure Active Directory (Azure AD) トポロジについて説明します。 この記事には、サポートされている構成とサポートされていない構成の両方が含まれています。

以下に、この記事での図の凡例を示します。

説明 Symbol
オンプレミスの Active Directory フォレスト On-premises Active Directory forest
オンプレミス Active Directory とフィルター処理されたインポート Active Directory with filtered import
Azure AD Connect 同期サーバー Azure AD Connect sync server
Azure AD Connect 同期サーバー "ステージング モード" Azure AD Connect sync server “staging mode”
GALSync と Forefront Identity Manager (FIM) 2010 または Microsoft Identity Manager (MIM) 2016 GALSync with FIM 2010 or MIM 2016
Azure AD Connect 同期サーバー、詳細 Azure AD Connect sync server, detailed
Azure AD Azure Active Directory
サポートされていないシナリオ Unsupported scenario

重要

公式に文書化されている構成やアクションを除き、Microsoft は Azure AD Connect Sync の変更や操作をサポートしません。 このような構成やアクションを行うと、Azure AD Connect Sync が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。

単一のフォレスト、単一の Azure AD テナント

Topology for a single forest and a single tenant

最も一般的なトポロジは、1 つのオンプレミス フォレスト (1 つまたは複数のドメイン) と、1 つの Azure AD テナントです。 Azure AD 認証では、パスワード ハッシュ同期が使用されます。 Azure AD Connect の高速インストールでは、このトポロジのみがサポートされます。

単一のフォレスト、1 つの Azure AD テナントに対する複数の同期サーバー

Unsupported, filtered topology for a single forest

同じ Azure AD テナントに接続される複数の Azure AD Connect 同期サーバーはサポートされていません (ステージング サーバーは除きます)。 これらのサーバーが相互に排他的な一連のオブジェクトと同期するように構成されている場合でもサポートされません。 1 台のサーバーからフォレスト内のすべてのドメインに到達できない場合や、複数のサーバー間で負荷を分散したい場合に、このトポロジを検討したことがあるかもしれません。

複数のフォレスト、単一の Azure AD テナント

Topology for multiple forests and a single tenant

多くの組織の環境には、オンプレミス Active Directory フォレストが複数存在します。 複数のオンプレミス Active Directory フォレストが使用される理由はさまざまです。 一般的な例として、アカウント リソース フォレストのある設計や、合併や買収の結果としての状況があります。

複数のフォレストがある場合は、1 つの Azure AD Connect 同期サーバーがすべてのフォレストにアクセスできる必要があります。 サーバーをドメインに参加させる必要があります。 すべてのフォレストに到達する必要がある場合は、境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) にサーバーを配置できます。

Azure AD Connect のインストール ウィザードには、複数のフォレストで表されるユーザーを統合するためのいくつかのオプションが用意されています。 その目的は、ユーザーが Azure AD 内で 1 回だけ表されるようにすることです。 インストール ウィザードのカスタム インストール パスで構成できる一般的なトポロジはいくつかあります。 [ユーザーを一意に識別] ページで、トポロジを表す対応するオプションを選択します。 統合は、ユーザーに対してのみ構成されます。 重複しているグループは既定の構成に統合されません。

一般的なトポロジについては、分離トポロジ、フル メッシュ、およびアカウントリソース トポロジに関するセクションで説明しています。

Azure AD Connect 同期の既定の構成では、次のことを前提としています。

  • 各ユーザーが持つ有効なアカウントは 1 つのみで、このアカウントが配置されているフォレストがユーザーの認証に使用されます。 これは、パスワード ハッシュ同期、パススルー認証、およびフェデレーションを前提としています。 UserPrincipalName と sourceAnchor/immutableID は、このフォレストから取得されます。
  • 各ユーザーは、メールボックスを 1 つだけ持っています。
  • ユーザーのメールボックスをホストするフォレストは、Exchange のグローバル アドレス一覧 (GAL) で確認できる属性に対して最適なデータ品質を備えています。 ユーザーにメールボックスがない場合、どのフォレストを使用してもこれらの属性値を提供できます。
  • リンクされたメールボックスがある場合は、別のフォレストに、サインインに使用されるアカウントもあります。

環境がこれらの前提と一致しない場合は、次のようになります。

  • アクティブなアカウントまたはメールボックスが複数ある場合、同期エンジンは 1 つを選び、他は無視します。
  • 他のアクティブなアカウントを持たないリンクされたメールボックスは、Azure AD にはエクスポートされません。 ユーザー アカウントは、どのグループのメンバーとしても表されません。 DirSync のリンクされたメールボックスは、常に通常のメールボックスとして表されます。 この変更は、マルチフォレスト シナリオをより適切にサポートするための意図的に異なる動作です。

詳細については、既定の構成に関するページを参照してください。

複数のフォレスト、1 つの Azure AD テナントに対する複数の同期サーバー

Unsupported topology for multiple forests and multiple sync servers

1 つの Azure AD テナントに接続する複数の Azure AD Connect 同期サーバーはサポートされていません。 例外として、 ステージング サーバーの使用があります。

このトポロジは、1 つの Azure AD テナントに接続された複数の同期サーバーがサポートされていない点で、以下とは異なります。

複数のフォレスト、単一の同期サーバー、ユーザーは 1 つのディレクトリだけで表される

Option for representing users only once across all directories

Depiction of multiple forests and separate topologies

この環境では、すべてのオンプレミス フォレストが個別のエンティティとして扱われます。 他のどのフォレストにもユーザーは存在しません。 各フォレストには独自の Exchange 組織があり、フォレスト間に GALSync はありません。 このトポロジは、合併や買収後の組織や、各部署が独立して運営されている組織で見られます。 Azure AD ではこれらのフォレストは同じ組織内にあり、統合された GAL で表示されます。 前の図では、すべてのフォレスト内の各オブジェクトが、一度メタバースに表され、ターゲットの Azure AD テナントに集約されます。

複数のフォレスト: ユーザーの一致

これらのすべてのシナリオで共通しているのは、配布グループとセキュリティ グループにユーザー、連絡先、および外部セキュリティ プリンシパル (FSP) を組み合わせて含めることができることです。 FSP は、セキュリティ グループ内の他のフォレストのメンバーを表すために、Active Directory Domain Services (ADDS) で使用されます。 すべての FSP は、Azure AD 内の実際のオブジェクトに解決されます。

複数のフォレスト - オプションの GALSync を使用したフル メッシュ

Option for using the mail attribute for matching when user identities exist across multiple directories

Full mesh topology for multiple forests

フル メッシュ トポロジでは、ユーザーおよびリソースを任意のフォレストに配置することができます。 一般的には、フォレスト間に双方向の信頼があります。

複数のフォレストに Exchange が存在する場合は、オンプレミス GALSync ソリューションが (オプションで) 存在することがあります。 その場合、すべてのユーザーが他のすべてのフォレストにおける連絡先として表されます。 通常、GALSync は FIM 2010 または MIM 2016 を通じて実装されます。 オンプレミス GALSync では、Azure AD Connect は使用できません。

このシナリオでは、ID オブジェクトはメール属性を通じて結合されます。 あるフォレストのメールボックスを持つユーザーが、他のフォレストの連絡先と結合されます。

複数のフォレスト: アカウント リソース フォレスト

Option for using the ObjectSID and msExchMasterAccountSID attributes for matching when identities exist across multiple directories

Account-resource forest topology for multiple forests

アカウント リソース フォレスト トポロジでは、アクティブなユーザー アカウントを持つ 1 つ以上の "アカウント" フォレストが存在します。 また、アカウントが無効になった 1 つ以上の "リソース" フォレストも存在します。

このシナリオでは、1 つ (以上) のリソース フォレストがすべてのアカウント フォレストを信頼します。 リソース フォレストには、通常、Exchange および Lync を使用する拡張 Active Directory スキーマがあります。 すべての Exchange および Lync サービスと、他の共有サービスは、このフォレストに配置されます。 ユーザーのユーザー アカウントはこのフォレストで無効になり、メールボックスはアカウント フォレストにリンクされます。

Microsoft 365 とトポロジの考慮事項

Microsoft 365 の一部のワークロードでは、サポートされるトポロジに一定の制限が生じます。

ワークロード 制限
Exchange Online Exchange Online でサポートされているハイブリッド トポロジの詳細については、「Hybrid deployments with multiple Active Directory forests (複数の Active Directory フォレストを伴うハイブリッド展開)」を参照してください。
Skype for Business 複数のオンプレミス フォレストを使用している場合は、アカウント リソース フォレスト トポロジのみがサポートされます。 詳細については、「Skype for Business Server 2015 の環境要件」を参照してください。

大規模な組織の場合は、Microsoft 365 PreferredDataLocation 機能を使用することを検討してください。 これにより、ユーザーのリソースが配置されているデータ センターのリージョンを定義できます。

ステージング サーバー

Staging server in a topology

Azure AD Connect では、"ステージング モード" でのセカンド サーバーのインストールがサポートされています。 このモードのサーバーは、接続されたすべてのディレクトリからデータを読み取りますが、接続されたディレクトリへの書き込みは行いません。 通常の同期サイクルを使用するため、ID データの更新されたコピーを保持します。

プライマリ サーバーで障害が発生した場合は、ステージング サーバーにフェールオーバーできます。 この操作は、Azure AD Connect ウィザードで実行します。 このセカンド サーバーは、インフラストラクチャをプライマリ サーバーと共有していないため、別のデータ センターに配置することができます。 プライマリ サーバーで行われたすべての構成の変更をセカンド サーバーに手動でコピーする必要があります。

ステージング サーバーは、新しいカスタム構成と、それがデータに与える影響をテストする場合に使用できます。 変化をプレビューし、構成を調整できます。 新しい構成に問題がなければ、ステージング サーバーをアクティブ サーバーにし、元のアクティブ サーバーをステージング モードに設定できます。

この方法は、アクティブな同期サーバーを交換する場合にも使用できます。 新しいサーバーを準備し、ステージング モードに設定してください。 サーバーが良好な状態であることを確認し、ステージング モードを無効 (アクティブ) にしたら、現在アクティブなサーバーをシャットダウンします。

異なるデータ センターに複数のバックアップを用意する場合は、複数のステージング サーバーを持つことができます。

複数の Azure AD テナント

組織の Azure AD には 1 つのテナントを置くことをお勧めします。 複数の Azure AD テナントの使用を計画する前に、Azure AD の管理単位の管理に関する記事を参照してください。 単一のテナントを使用できる一般的なシナリオを説明しています。

複数の Azure AD テナントへの AD オブジェクトの同期

Diagram that shows a topology of multiple Azure A D tenants.

このトポロジは、次のユース ケースを実現します。

  • AADConnect が単一の Active Directory から複数の Azure AD テナントに同じユーザー、グループ、連絡先を同期できます。 これらのテナントはそれぞれ異なる Azure 環境、たとえば Azure China 環境と Azure Government 環境に存在する可能性もありますが、2 つのテナントがどちらも Azure Commercial に存在するなど、同じ Azure 環境に存在することも考えられます。
  • 別々のテナントに存在する単一のオブジェクトに対して同じソース アンカーを使用できます (同じテナント内の複数のオブジェクトに対して同じソース アンカーを使用することはできません)。
  • 同期させたい Azure AD テナントごとに、AADConnect サーバーをデプロイする必要があります。複数の Azure AD テナントに対する同期を 1 つの AADConnect サーバーで行うことはできません。
  • テナントごとに異なる同期スコープおよび異なる同期規則を使用することがサポートされています。
  • Active Directory への書き戻しを行うように構成できる Azure AD テナントの同期は、同じオブジェクトにつき 1 つだけです。 これには、デバイス ライトバックとグループ ライトバック、ハイブリッド Exchange 構成が含まれます。つまり、これらの機能は 1 つのテナントにしか構成できません。 ただし、パスワード ライトバックだけは例外です。この点については後述します。
  • 同じユーザー オブジェクトを対象に、Active Directory から複数の Azure AD テナントへのパスワード ハッシュ同期を構成することができます。 テナントに対してパスワード ハッシュ同期を有効にした場合、パスワード ライトバックも有効になります。この場合、複数のテナントでパスワード ライトバックを実行できます。つまり、あるテナントでパスワードを変更した場合、パスワード ライトバックによって Active Directory 側でもパスワードが更新され、さらに、パスワード ハッシュ同期によって他のテナントのパスワードも更新されます。
  • 複数の Azure AD テナントへの同じカスタム ドメイン名の追加および検証はサポートされていません。これらのテナントが異なる Azure 環境に存在する場合でもサポートされません。
  • 複数のテナントを使用するフォレスト レベルの構成 (シームレス SSO や Hybrid Azure AD Join (ターゲットではないアプローチ) など) を利用するハイブリッド エクスペリエンスを AD で構成することはサポートされていません。 この構成を利用すると、他のテナントの構成が上書きされ、使用できなくなってしまいます。 その他の情報については、「Hybrid Azure Active Directory Join のデプロイを計画する」を参照してください。
  • デバイス オブジェクトを複数のテナントに同期できますが、1 つのデバイスでは 1 つのテナントにのみ Hybrid Azure AD Join を使用できます。
  • 各 Azure AD Connect インスタンスは、ドメインに参加しているコンピューター上で実行されている必要があります。

注意

グローバル アドレス一覧同期 (GalSync) は、このトポロジでは自動的に行われず、各テナントの Exchange Online と Skype for Business Online に完全なグローバル アドレス一覧 (GAL) が含まれるようにするには、カスタム MIM の追加実装が必要です。

書き戻しの使用による GALSync

Unsupported topology for multiple forests and multiple directories, with GALSync focusing on Azure ADUnsupported topology for multiple forests and multiple directories, with GALSync focusing on on-premises Active Directory

GALSync とオンプレミスの同期サーバー

GALSync in a topology for multiple forests and multiple directories

FIM 2010 または MIM 2016 オンプレミスを使用して、2 つの Exchange 組織間でユーザーを同期できます (GALSync 経由)。 1 つの組織内のユーザーは、他の組織では外部ユーザーおよび連絡先として表示されます。 これらの異なるオンプレミス Active Directory インスタンスは、独自の Azure AD テナントと同期できます。

承認されていないクライアントを使用した Azure AD Connect バックエンドへのアクセス

Using unauthorized clients to access the Azure AD Connect backend

Azure Active Directory Connect サーバーは Azure Active Directory Connect バックエンドを介して Azure Active Directory と通信します。 このバックエンドとの通信に使用できるソフトウェアは Azure Active Directory Connect のみです。 他のソフトウェアや方法を使用した Azure Active Directory Connect バックエンドとの通信はサポートされていません。

次のステップ

これらのシナリオのために Azure AD Connect をインストールする方法については、「 Azure AD Connect のカスタム インストール」を参照してください。

Azure AD Connect Sync の構成に関するページをご覧ください。

オンプレミス ID と Azure Active Directory の統合に関する記事をご覧ください。