Azure AD Connect のトポロジTopologies for Azure AD Connect

この記事では、主な統合ソリューションとして Azure AD Connect 同期を使用する、さまざまなオンプレミス トポロジおよび Azure Active Directory (Azure AD) トポロジについて説明します。This article describes various on-premises and Azure Active Directory (Azure AD) topologies that use Azure AD Connect sync as the key integration solution. この記事には、サポートされている構成とサポートされていない構成の両方が含まれています。This article includes both supported and unsupported configurations.

以下に、この記事での図の凡例を示します。Here's the legend for pictures in the article:

説明Description シンボルSymbol
オンプレミスの Active Directory フォレストOn-premises Active Directory forest オンプレミスの Active Directory フォレスト
オンプレミス Active Directory とフィルター処理されたインポートOn-premises Active Directory with filtered import Active Directory とフィルター処理されたインポート
Azure AD Connect 同期サーバーAzure AD Connect sync server Azure AD Connect 同期サーバー
Azure AD Connect 同期サーバー "ステージング モード"Azure AD Connect sync server “staging mode” Azure AD Connect 同期サーバー "ステージング モード"
GALSync と Forefront Identity Manager (FIM) 2010 または Microsoft Identity Manager (MIM) 2016GALSync with Forefront Identity Manager (FIM) 2010 or Microsoft Identity Manager (MIM) 2016 GALSync と FIM 2010 または MIM 2016
Azure AD Connect 同期サーバー、詳細Azure AD Connect sync server, detailed Azure AD Connect 同期サーバー、詳細
Azure ADAzure AD Azure Active Directory
サポートされていないシナリオUnsupported scenario サポートされていないシナリオ

重要

公式に文書化されている構成やアクションを除き、Microsoft は Azure AD Connect Sync の変更や操作をサポートしません。Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the configurations or actions that are formally documented. このような構成やアクションを行うと、Azure AD Connect Sync が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。Any of these configurations or actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

単一のフォレスト、単一の Azure AD テナントSingle forest, single Azure AD tenant

単一のフォレストと単一のテナントのトポロジ

最も一般的なトポロジは、1 つのオンプレミス フォレスト (1 つまたは複数のドメイン) と、1 つの Azure AD テナントです。The most common topology is a single on-premises forest, with one or multiple domains, and a single Azure AD tenant. Azure AD 認証では、パスワード ハッシュ同期が使用されます。For Azure AD authentication, password hash synchronization is used. Azure AD Connect の高速インストールでは、このトポロジのみがサポートされます。The express installation of Azure AD Connect supports only this topology.

単一のフォレスト、1 つの Azure AD テナントに対する複数の同期サーバーSingle forest, multiple sync servers to one Azure AD tenant

サポートされていない、単一のフォレストのフィルター処理されたトポロジ

同じ Azure AD テナントに接続される複数の Azure AD Connect 同期サーバーはサポートされていません (ステージング サーバーは除きます)。Having multiple Azure AD Connect sync servers connected to the same Azure AD tenant is not supported, except for a staging server. これらのサーバーが相互に排他的な一連のオブジェクトと同期するように構成されている場合でもサポートされません。It's unsupported even if these servers are configured to synchronize with a mutually exclusive set of objects. 1 台のサーバーからフォレスト内のすべてのドメインに到達できない場合や、複数のサーバー間で負荷を分散したい場合に、このトポロジを検討したことがあるかもしれません。You might have considered this topology if you can't reach all domains in the forest from a single server, or if you want to distribute load across several servers.

複数のフォレスト、単一の Azure AD テナントMultiple forests, single Azure AD tenant

複数のフォレストと単一のテナントのトポロジ

多くの組織の環境には、オンプレミス Active Directory フォレストが複数存在します。Many organizations have environments with multiple on-premises Active Directory forests. 複数のオンプレミス Active Directory フォレストが使用される理由はさまざまです。There are various reasons for having more than one on-premises Active Directory forest. 一般的な例として、アカウント リソース フォレストのある設計や、合併や買収の結果としての状況があります。Typical examples are designs with account-resource forests and the result of a merger or acquisition.

複数のフォレストがある場合は、1 つの Azure AD Connect 同期サーバーがすべてのフォレストにアクセスできる必要があります。When you have multiple forests, all forests must be reachable by a single Azure AD Connect sync server. サーバーをドメインに参加させる必要があります。The server must be joined to a domain. すべてのフォレストに到達する必要がある場合は、境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) にサーバーを配置できます。If necessary to reach all forests, you can place the server in a perimeter network (also known as DMZ, demilitarized zone, and screened subnet).

Azure AD Connect のインストール ウィザードには、複数のフォレストで表されるユーザーを統合するためのいくつかのオプションが用意されています。The Azure AD Connect installation wizard offers several options to consolidate users who are represented in multiple forests. その目的は、ユーザーが Azure AD 内で 1 回だけ表されるようにすることです。The goal is that a user is represented only once in Azure AD. インストール ウィザードのカスタム インストール パスで構成できる一般的なトポロジはいくつかあります。There are some common topologies that you can configure in the custom installation path in the installation wizard. [ユーザーを一意に識別] ページで、トポロジを表す対応するオプションを選択します。On the Uniquely identifying your users page, select the corresponding option that represents your topology. 統合は、ユーザーに対してのみ構成されます。The consolidation is configured only for users. 重複しているグループは既定の構成に統合されません。Duplicated groups are not consolidated with the default configuration.

一般的なトポロジについては、分離トポロジ、フル メッシュ、およびアカウントリソース トポロジに関するセクションで説明しています。Common topologies are discussed in the sections about separate topologies, full mesh, and the account-resource topology.

Azure AD Connect 同期の既定の構成では、次のことを前提としています。The default configuration in Azure AD Connect sync assumes:

  • 各ユーザーが持つ有効なアカウントは 1 つのみで、このアカウントが配置されているフォレストがユーザーの認証に使用されます。Each user has only one enabled account, and the forest where this account is located is used to authenticate the user. これは、パスワード ハッシュ同期、パススルー認証、およびフェデレーションを前提としています。This assumption is for password hash sync, pass-through authentication and federation. UserPrincipalName と sourceAnchor/immutableID は、このフォレストから取得されます。UserPrincipalName and sourceAnchor/immutableID come from this forest.
  • 各ユーザーは、メールボックスを 1 つだけ持っています。Each user has only one mailbox.
  • ユーザーのメールボックスをホストするフォレストは、Exchange のグローバル アドレス一覧 (GAL) で確認できる属性に対して最適なデータ品質を備えています。The forest that hosts the mailbox for a user has the best data quality for attributes visible in the Exchange Global Address List (GAL). ユーザーにメールボックスがない場合、どのフォレストを使用してもこれらの属性値を提供できます。If there's no mailbox for the user, any forest can be used to contribute these attribute values.
  • リンクされたメールボックスがある場合は、別のフォレストに、サインインに使用されるアカウントもあります。If you have a linked mailbox, there's also an account in a different forest used for sign-in.

環境がこれらの前提と一致しない場合は、次のようになります。If your environment does not match these assumptions, the following things happen:

  • アクティブなアカウントまたはメールボックスが複数ある場合、同期エンジンは 1 つを選び、他は無視します。If you have more than one active account or more than one mailbox, the sync engine picks one and ignores the other.
  • 他のアクティブなアカウントを持たないリンクされたメールボックスは、Azure AD にはエクスポートされません。A linked mailbox with no other active account is not exported to Azure AD. ユーザー アカウントは、どのグループのメンバーとしても表されません。The user account is not represented as a member in any group. DirSync のリンクされたメールボックスは、常に通常のメールボックスとして表されます。A linked mailbox in DirSync is always represented as a normal mailbox. この変更は、マルチフォレスト シナリオをより適切にサポートするための意図的に異なる動作です。This change is intentionally a different behavior to better support multiple-forest scenarios.

詳細については、既定の構成に関するページを参照してください。You can find more details in Understanding the default configuration.

複数のフォレスト、1 つの Azure AD テナントに対する複数の同期サーバーMultiple forests, multiple sync servers to one Azure AD tenant

複数のフォレストと複数の同期サーバーのサポートされていないトポロジ

1 つの Azure AD テナントに接続する複数の Azure AD Connect 同期サーバーはサポートされていません。Having more than one Azure AD Connect sync server connected to a single Azure AD tenant is not supported. 例外として、 ステージング サーバーの使用があります。The exception is the use of a staging server.

このトポロジは、1 つの Azure AD テナントに接続された複数の同期サーバーがサポートされていない点で、以下とは異なります。This topology differs from the one below in that multiple sync servers connected to a single Azure AD tenant is not supported.

複数のフォレスト、単一の同期サーバー、ユーザーは 1 つのディレクトリだけで表されるMultiple forests, single sync server, users are represented in only one directory

ユーザーがすべてのディレクトリで 1 度だけ示されるオプション

複数のフォレストと分離トポロジの説明図

この環境では、すべてのオンプレミス フォレストが個別のエンティティとして扱われます。In this environment, all on-premises forests are treated as separate entities. 他のどのフォレストにもユーザーは存在しません。No user is present in any other forest. 各フォレストには独自の Exchange 組織があり、フォレスト間に GALSync はありません。Each forest has its own Exchange organization, and there's no GALSync between the forests. このトポロジは、合併や買収後の組織や、各部署が独立して運営されている組織で見られます。This topology might be the situation after a merger/acquisition or in an organization where each business unit operates independently. Azure AD ではこれらのフォレストは同じ組織内にあり、統合された GAL で表示されます。These forests are in the same organization in Azure AD and appear with a unified GAL. 前の図では、すべてのフォレスト内の各オブジェクトが、一度メタバースに表され、ターゲットの Azure AD テナントに集約されます。In the preceding picture, each object in every forest is represented once in the metaverse and aggregated in the target Azure AD tenant.

複数のフォレスト: ユーザーの一致Multiple forests: match users

これらのすべてのシナリオで共通しているのは、配布グループとセキュリティ グループにユーザー、連絡先、および外部セキュリティ プリンシパル (FSP) を組み合わせて含めることができることです。Common to all these scenarios is that distribution and security groups can contain a mix of users, contacts, and Foreign Security Principals (FSPs). FSP は、セキュリティ グループ内の他のフォレストのメンバーを表すために、Active Directory Domain Services (ADDS) で使用されます。FSPs are used in Active Directory Domain Services (AD DS) to represent members from other forests in a security group. すべての FSP は、Azure AD 内の実際のオブジェクトに解決されます。All FSPs are resolved to the real object in Azure AD.

複数のフォレスト - オプションの GALSync を使用したフル メッシュMultiple forests: full mesh with optional GALSync

ユーザーの ID が複数のディレクトリに存在する場合の照合にメール属性を使用するオプション

複数のフォレストのフル メッシュ トポロジ

フル メッシュ トポロジでは、ユーザーおよびリソースを任意のフォレストに配置することができます。A full mesh topology allows users and resources to be located in any forest. 一般的には、フォレスト間に双方向の信頼があります。Commonly, there are two-way trusts between the forests.

複数のフォレストに Exchange が存在する場合は、オンプレミス GALSync ソリューションが (オプションで) 存在することがあります。If Exchange is present in more than one forest, there might be (optionally) an on-premises GALSync solution. その場合、すべてのユーザーが他のすべてのフォレストにおける連絡先として表されます。Every user is then represented as a contact in all other forests. 通常、GALSync は FIM 2010 または MIM 2016 を通じて実装されます。GALSync is commonly implemented through FIM 2010 or MIM 2016. オンプレミス GALSync では、Azure AD Connect は使用できません。Azure AD Connect cannot be used for on-premises GALSync.

このシナリオでは、ID オブジェクトはメール属性を通じて結合されます。In this scenario, identity objects are joined via the mail attribute. あるフォレストのメールボックスを持つユーザーが、他のフォレストの連絡先と結合されます。A user who has a mailbox in one forest is joined with the contacts in the other forests.

複数のフォレスト: アカウント リソース フォレストMultiple forests: account-resource forest

ID が複数のディレクトリに存在する場合の照合に ObjectSID および msExchMasterAccountSID 属性を使用するオプション

複数のフォレストのアカウント リソース フォレスト トポロジ

アカウント リソース フォレスト トポロジでは、アクティブなユーザー アカウントを持つ 1 つ以上の "アカウント" フォレストが存在します。In an account-resource forest topology, you have one or more account forests with active user accounts. また、アカウントが無効になった 1 つ以上の "リソース" フォレストも存在します。You also have one or more resource forests with disabled accounts.

このシナリオでは、1 つ (以上) のリソース フォレストがすべてのアカウント フォレストを信頼します。In this scenario, one (or more) resource forest trusts all account forests. リソース フォレストには、通常、Exchange および Lync を使用する拡張 Active Directory スキーマがあります。The resource forest typically has an extended Active Directory schema with Exchange and Lync. すべての Exchange および Lync サービスと、他の共有サービスは、このフォレストに配置されます。All Exchange and Lync services, along with other shared services, are located in this forest. ユーザーのユーザー アカウントはこのフォレストで無効になり、メールボックスはアカウント フォレストにリンクされます。Users have a disabled user account in this forest, and the mailbox is linked to the account forest.

Office 365 とトポロジの考慮事項Office 365 and topology considerations

Office 365 の一部のワークロードでは、サポートされるトポロジに一定の制限が生じます。Some Office 365 workloads have certain restrictions on supported topologies:

ワークロードWorkload 制限Restrictions
Exchange OnlineExchange Online Exchange Online でサポートされているハイブリッド トポロジの詳細については、「Hybrid deployments with multiple Active Directory forests (複数の Active Directory フォレストを伴うハイブリッド展開)」を参照してください。For more information about hybrid topologies supported by Exchange Online, see Hybrid deployments with multiple Active Directory forests.
Skype for BusinessSkype for Business 複数のオンプレミス フォレストを使用している場合は、アカウント リソース フォレスト トポロジのみがサポートされます。When you're using multiple on-premises forests, only the account-resource forest topology is supported. 詳細については、「Skype for Business Server 2015 の環境要件」を参照してください。For more information, see Environmental requirements for Skype for Business Server 2015.

大規模な組織の場合は、Office 365 PreferredDataLocation 機能を使用することを検討してください。If you are a larger organization, then you should consider to use the Office 365 PreferredDataLocation feature. これにより、ユーザーのリソースが配置されているデータ センターのリージョンを定義できます。It allows you to define in which datacenter region the user's resources are located.

ステージング サーバーStaging server

トポロジでのステージング サーバー

Azure AD Connect では、"ステージング モード" でのセカンド サーバーのインストールがサポートされています。Azure AD Connect supports installing a second server in staging mode. このモードのサーバーは、接続されたすべてのディレクトリからデータを読み取りますが、接続されたディレクトリへの書き込みは行いません。A server in this mode reads data from all connected directories but does not write anything to connected directories. 通常の同期サイクルを使用するため、ID データの更新されたコピーを保持します。It uses the normal synchronization cycle and therefore has an updated copy of the identity data.

プライマリ サーバーで障害が発生した場合は、ステージング サーバーにフェールオーバーできます。In a disaster where the primary server fails, you can fail over to the staging server. この操作は、Azure AD Connect ウィザードで実行します。You do this in the Azure AD Connect wizard. このセカンド サーバーは、インフラストラクチャをプライマリ サーバーと共有していないため、別のデータ センターに配置することができます。This second server can be located in a different datacenter because no infrastructure is shared with the primary server. プライマリ サーバーで行われたすべての構成の変更をセカンド サーバーに手動でコピーする必要があります。You must manually copy any configuration change made on the primary server to the second server.

ステージング サーバーは、新しいカスタム構成と、それがデータに与える影響をテストする場合に使用できます。You can use a staging server to test a new custom configuration and the effect that it has on your data. 変化をプレビューし、構成を調整できます。You can preview the changes and adjust the configuration. 新しい構成に問題がなければ、ステージング サーバーをアクティブ サーバーにし、元のアクティブ サーバーをステージング モードに設定できます。When you're happy with the new configuration, you can make the staging server the active server and set the old active server to staging mode.

この方法は、アクティブな同期サーバーを交換する場合にも使用できます。You can also use this method to replace the active sync server. 新しいサーバーを準備し、ステージング モードに設定してください。Prepare the new server and set it to staging mode. サーバーが良好な状態であることを確認し、ステージング モードを無効 (アクティブ) にしたら、現在アクティブなサーバーをシャットダウンします。Make sure it's in a good state, disable staging mode (making it active), and shut down the currently active server.

異なるデータ センターに複数のバックアップを用意する場合は、複数のステージング サーバーを持つことができます。It's possible to have more than one staging server when you want to have multiple backups in different datacenters.

複数の Azure AD テナントMultiple Azure AD tenants

組織の Azure AD には 1 つのテナントを置くことをお勧めします。We recommend having a single tenant in Azure AD for an organization. 複数の Azure AD テナントの使用を計画する前に、Azure AD の管理単位の管理に関する記事を参照してください。Before you plan to use multiple Azure AD tenants, see the article Administrative units management in Azure AD. 単一のテナントを使用できる一般的なシナリオを説明しています。It covers common scenarios where you can use a single tenant.

複数のフォレストと複数のテナントのトポロジ

Azure AD Connect 同期サーバーと Azure AD テナントには、一対一のリレーションシップがあります。There's a 1:1 relationship between an Azure AD Connect sync server and an Azure AD tenant. 各 Azure AD テナントに、1 つの Azure AD Connect 同期サーバーをインストールする必要があります。For each Azure AD tenant, you need one Azure AD Connect sync server installation. Azure AD テナントのインスタンスは、分離される設計になっています。The Azure AD tenant instances are isolated by design. つまり、あるテナントのユーザーは、他のテナントのユーザーを認識することができません。That is, users in one tenant can't see users in the other tenant. この分離が望ましい場合、これはサポートされている構成です。If you want this separation, this is a supported configuration. そうでない場合は、単一 Azure AD テナント モデルを使用する必要があります。Otherwise, you should use the single Azure AD tenant model.

Azure AD テナントでの各オブジェクトの 1 回のみの使用Each object only once in an Azure AD tenant

単一のフォレストのフィルター処理されたトポロジ

このトポロジでは、1 つの Azure AD Connect 同期サーバーが各 Azure AD テナントに接続されます。In this topology, one Azure AD Connect sync server is connected to each Azure AD tenant. 各 Azure AD Connect 同期サーバーについては、操作対象のオブジェクトのセットが相互排他的になるようなフィルター処理を構成する必要があります。The Azure AD Connect sync servers must be configured for filtering so that each has a mutually exclusive set of objects to operate on. たとえば、各サーバーのスコープを特定のドメインまたは組織単位に設定できます。You can, for example, scope each server to a particular domain or organizational unit.

DNS ドメインは 1 つの Azure AD テナントにのみ登録できます。A DNS domain can be registered in only a single Azure AD tenant. オンプレミス Active Directory インスタンスのユーザーの UPN でも、別の名前空間を使用する必要があります。The UPNs of the users in the on-premises Active Directory instance must also use separate namespaces. たとえば、前の図では、3 つの個別の UPN サフィックスがオンプレミス Active Directory インスタンスの contoso.com、fabrikam.com、および wingtiptoys.com に登録されています。For example, in the preceding picture, three separate UPN suffixes are registered in the on-premises Active Directory instance: contoso.com, fabrikam.com, and wingtiptoys.com. 各オンプレミス Active Directory ドメインのユーザーは、別の名前空間を使用します。The users in each on-premises Active Directory domain use a different namespace.

注意

グローバル アドレス一覧同期 (GalSync) は、このトポロジでは自動的に行われず、各テナントの Exchange Online と Skype for Business Online に完全なグローバル アドレス一覧 (GAL) が含まれるようにするには、カスタム MIM の追加実装が必要です。Global Address List Synchronization (GalSync) is not done automatically in this topology and requires an additional custom MIM implementation to ensure each tenant has a complete Global Address List (GAL) in Exchange Online and Skype for Business Online.

このトポロジには次の制約があります。その制約を除けば、各シナリオはサポートされます。This topology has the following restrictions on otherwise supported scenarios:

  • Azure AD テナントのいずれか 1 つのみが、オンプレミスの Active Directory インスタンスを持つ Exchange ハイブリッドを有効にできます。Only one of the Azure AD tenants can enable an Exchange hybrid with the on-premises Active Directory instance.
  • Windows 10 デバイスは、1 つの Azure AD テナントだけに関連付けることができます。Windows 10 devices can be associated with only one Azure AD tenant.
  • パスワード ハッシュ同期とパススルー認証のシングル サインオン (SSO) オプションは、1 つの Azure AD テナントでのみ使用できます。The single sign-on (SSO) option for password hash synchronization and pass-through authentication can be used with only one Azure AD tenant.

オブジェクトの相互排他的なセットの要件は、書き戻しにも適用されます。The requirement for a mutually exclusive set of objects also applies to writeback. 一部の書き戻し機能は、単一オンプレミス構成を前提としているため、このトポロジではサポートされていません。Some writeback features are not supported with this topology because they assume a single on-premises configuration. 次のような機能が該当します。These features include:

  • 既定の構成によるグループの書き戻し。Group writeback with default configuration.
  • デバイスの書き戻し。Device writeback.

Azure AD テナントでの各オブジェクトの複数回の使用Each object multiple times in an Azure AD tenant

単一のフォレストと複数のテナントのサポートされていないトポロジ 単一のフォレストと複数のコネクタのサポートされていないトポロジ

次のタスクはサポートされていません。These tasks are unsupported:

  • 複数の Azure AD テナントへの同じユーザーの同期。Sync the same user to multiple Azure AD tenants.
  • 1 つの Azure AD テナントのユーザーを他の Azure AD テナントで連絡先として表示するような構成の変更。Make a configuration change so that users in one Azure AD tenant appear as contacts in another Azure AD tenant.
  • 複数の Azure AD テナントに接続するような Azure AD Connect 同期の変更。Modify Azure AD Connect sync to connect to multiple Azure AD tenants.

書き戻しの使用による GALSyncGALSync by using writeback

複数のフォレストと複数のディレクトリのサポートされていないトポロジ (GALSync は Azure AD に重点を置いている) 複数のフォレストと複数のディレクトリのサポートされていないトポロジ (GALSync はオンプレミスの Azure AD に重点を置いている)

Azure AD のテナントは、分離するように設計されています。Azure AD tenants are isolated by design. 次のタスクはサポートされていません。These tasks are unsupported:

  • 他の Azure AD テナントからデータを読み取るような Azure AD Connect 同期の構成の変更。Change the configuration of Azure AD Connect sync to read data from another Azure AD tenant.
  • Azure AD Connect 同期を使用した、別のオンプレミス Active Directory インスタンスへの、連絡先としてのユーザーのエクスポート。Export users as contacts to another on-premises Active Directory instance by using Azure AD Connect sync.

GALSync とオンプレミスの同期サーバーGALSync with on-premises sync server

複数のフォレストと複数のディレクトリのトポロジにおける GALSync

FIM 2010 または MIM 2016 オンプレミスを使用して、2 つの Exchange 組織間でユーザーを同期できます (GALSync 経由)。You can use FIM 2010 or MIM 2016 on-premises to sync users (via GALSync) between two Exchange organizations. 1 つの組織内のユーザーは、他の組織では外部ユーザーおよび連絡先として表示されます。The users in one organization appear as foreign users/contacts in the other organization. これらの異なるオンプレミス Active Directory インスタンスは、独自の Azure AD テナントと同期できます。These different on-premises Active Directory instances can then be synchronized with their own Azure AD tenants.

次の手順Next steps

これらのシナリオのために Azure AD Connect をインストールする方法については、「 Azure AD Connect のカスタム インストール」を参照してください。To learn how to install Azure AD Connect for these scenarios, see Custom installation of Azure AD Connect.

Azure AD Connect Sync の構成に関するページをご覧ください。Learn more about the Azure AD Connect sync configuration.

詳細については、オンプレミス ID と Azure Active Directory の統合に関するページを参照してください。Learn more about integrating your on-premises identities with Azure Active Directory.