Azure AD Connect:アカウントとアクセス許可Azure AD Connect: Accounts and permissions

Azure AD Connect に使用されるアカウントAccounts used for Azure AD Connect

アカウントの概要

Azure AD Connect では、オンプレミス (Windows Server Active Directory) から Azure Active Directory に情報を同期させるために 3 つのアカウントが使用されます。Azure AD Connect uses 3 accounts in order to synchronize information from on-premises or Windows Server Active Directory to Azure Active Directory. それらのアカウントを次に示します。These accounts are:

  • AD DS コネクタ アカウント: Windows Server Active Directory からの情報の読み取りと Windows Server Active Directory への情報の書き込みに使用します。AD DS Connector account: used to read/write information to Windows Server Active Directory

  • ADSync サービス アカウント: 同期サービスを実行したり SQL データベースにアクセスしたりする目的で使用します。ADSync service account: used to run the synchronization service and access the SQL database

  • Azure AD コネクタ アカウント: Azure AD への情報の書き込みに使用します。Azure AD Connector account: used to write information to Azure AD

Azure AD Connect を実行するためのこれら 3 つのアカウントに加え、Azure AD Connect をインストールするには、次のアカウントが別途必要となります。In addition to these three accounts used to run Azure AD Connect, you will also need the following additional accounts to install Azure AD Connect. 次のとおりです。These are:

  • ローカル管理者アカウント: Azure AD Connect をインストールし、コンピューターでのローカル管理者アクセス許可を持っている管理者。Local Administrator account: The administrator who is installing Azure AD Connect and who has local Administrator permissions on the machine.

  • AD DS エンタープライズ管理者アカウント: 必要に応じて、上記の "AD DS コネクタ アカウント" を作成するために使用します。AD DS Enterprise Administrator account: Optionally used to create the “AD DS Connector account” above.

  • Azure AD 全体管理者アカウント: Azure AD コネクタ アカウントを作成したり、Azure AD を構成したりする目的で使用します。Azure AD Global Administrator account: used to create the Azure AD Connector account and configure Azure AD.

  • SQL SA アカウント (任意) : 通常版の SQL Server を使用して ADSync データベースを作成する目的で使用します。SQL SA account (optional): used to create the ADSync database when using the full version of SQL Server. この SQL Server は、Azure AD Connect のインストール環境に対してローカルでもリモートでもかまいません。This SQL Server may be local or remote to the Azure AD Connect installation. このアカウントは、エンタープライズ管理者と同じアカウントにすることもできます。This account may be the same account as the Enterprise Administrator. 現在では、SQL 管理者が帯域外でデータベースのプロビジョニングを実行し、データベース所有者権限を持つ Azure AD Connect 管理者がインストールできるようになっています。Provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. 詳細については、「Install Azure AD Connect using SQL delegated administrator permissions (SQL によって委任された管理者の権限を使用した Azure AD Connect のインストール)」を参照してください。For information on this see Install Azure AD Connect using SQL delegated administrator permissions

重要

ビルド 1.4.###.# 以降では、エンタープライズ管理者アカウントまたはドメイン管理者アカウントを AD DS コネクタ アカウントとして使用することはサポートされません。As of build 1.4.###.# it is no longer supported to use an enterprise admin or a domain admin account as the AD DS Connector account. 既存のアカウントを使用するよう指定するときにエンタープライズ管理者アカウントまたはドメイン管理者アカウントを入力しようとすると、エラーが発生します。If you attempt to enter an account that is an enterprise admin or domain admin when specifying use existing account, you will receive an error.

注意

ESAE 管理フォレスト ("Red Forest" とも呼ばれます) からの Azure AD Connect で使用される管理アカウントの管理がサポートされています。It is supported to manage the administrative accounts used in Azure AD Connect from an ESAE Administrative Forest (also know as "Red forest"). 専用管理フォレストを使用すると、組織は、運用環境よりもセキュリティ制御が強化された環境で、管理アカウント、ワークステーション、およびグループをホストできます。Dedicated administrative forests allow organizations to host administrative accounts, workstations, and groups in an environment that has stronger security controls than the production environment. 専用管理フォレストの詳細については、ESAE 管理フォレスト設計のアプローチに関する記事を参照してくださいTo learn more about dedicated administrative forests please refer to ESAE Administrative Forest Design Approach

e683a61b0ed62ae739941410f658a127534e2481e683a61b0ed62ae739941410f658a127534e2481

注意

最初のセットアップの後、グローバル管理者ロールは必要ありません。必要なアカウントは、ディレクトリ同期アカウント ロール アカウントのみとなります。The Global Administrator role is not required after the initial setup and the only required account will be the Directory Synchronization Accounts role account. これは必ずしも、グローバル管理者ロールを持つアカウントを削除した方がいいという意味ではありません。That does not necssarily mean that you will want to just remove the account with the Global Administrator role. ロールをより弱いロールに変更することをお勧めします。アカウントを完全に削除すると、ウィザードを再実行する必要がある場合に問題が発生する可能性があるためです。It is better to change the role to a less powerful role, as totally removing the account may introduce issues if you ever need to re-run the wizard again. ロールの権限を減らすことによって、Azure AD Connect ウィザードを再び使用する必要がある場合に、常に権限を再昇格させることができます。By reducing the privilege of the role you can always re-elevate the priviliges if you have to utilize the Azure AD Connect wizard again.

Azure AD Connect のインストールInstalling Azure AD Connect

Azure AD Connect インストール ウィザードには次の 2 つの別の設定からアクセスできます。The Azure AD Connect installation wizard offers two different paths:

  • 簡単設定のウィザードには、より多くの特権が必要です。In Express Settings, the wizard requires more privileges. これは、ユーザーを作成したりアクセス許可を構成したりする必要なく、構成を簡単に設定できるようにするためです。This is so that it can set up your configuration easily, without requiring you to create users or configure permissions.
  • カスタム設定のウィザードでは、より多くの選択肢とオプションが提供されます。In Custom Settings, the wizard offers you more choices and options. ただし、状況によっては設定を行うユーザー自身が適切なアクセス許可を持っていることが必要になります。However, there are some situations in which you need to ensure you have the correct permissions yourself.

簡単設定を使用したインストールExpress settings installation

簡易設定のインストール ウィザードでは、次の情報の入力が求められます。In Express settings, the installation wizard asks for the following:

  • AD DS エンタープライズ管理者の資格情報AD DS Enterprise Administrator credentials
  • Azure AD 全体管理者の資格情報Azure AD Global Administrator credentials

AD DS エンタープライズ管理者の資格情報AD DS Enterprise Admin credentials

AD DS エンタープライズ管理者アカウントは、オンプレミスの Active Directory を構成する目的で使用します。The AD DS Enterprise Admin account is used to configure your on-premises Active Directory. これらの資格情報を使用するのはインストール中のみであり、インストールの完了後には使用しません。These credentials are only used during the installation and are not used after the installation has completed. ドメイン管理者ではなく、エンタープライズ管理者が Active Directory のアクセス許可をすべてのドメインで設定できることを確認します。The Enterprise Admin, not the Domain Admin should make sure the permissions in Active Directory can be set in all domains.

DirSync からアップグレードする場合は、AD DS エンタープライズ管理者の資格情報を使用して、DirSync で使用されるアカウントのパスワードをリセットします。If you are upgrading from DirSync, the AD DS Enterprise Admins credentials are used to reset the password for the account used by DirSync. Azure AD グローバル管理者の資格情報も必要になります。You also need Azure AD Global Administrator credentials.

Azure AD 全体管理者の資格情報Azure AD Global Admin credentials

これらの資格情報を使用するのはインストール中のみであり、インストールの完了後には使用しません。These credentials are only used during the installation and are not used after the installation has completed. この資格情報は、Azure AD への変更の同期に使用される Azure AD コネクタ アカウントを作成するために使用します。It is used to create the Azure AD Connector account used for synchronizing changes to Azure AD. また、このアカウントにより、同期が Azure AD の機能として有効化されます。The account also enables sync as a feature in Azure AD.

AD DS コネクタ アカウントの必須のアクセス許可 (簡単設定の場合)AD DS Connector account required permissions for express settings

AD DS コネクタ アカウントは、Windows Server AD の読み取りと書き込みを目的に作成され、簡単設定によって作成された場合、以下のアクセス許可を持ちます。The AD DS Connector account is created for reading and writing to Windows Server AD and has the following permissions when created by express settings:

アクセス許可Permission 使用対象Used for
  • ディレクトリの変更のレプリケートReplicate Directory Changes
  • ディレクトリの変更をすべてにレプリケートReplicate Directory Changes All
  • パスワード ハッシュの同期Password hash sync
    すべてのプロパティの読み取り/書き込み (ユーザー)Read/Write all properties User インポートおよび Exchange ハイブリッドImport and Exchange hybrid
    すべてのプロパティの読み取り/書き込み (iNetOrgPerson)Read/Write all properties iNetOrgPerson インポートおよび Exchange ハイブリッドImport and Exchange hybrid
    すべてのプロパティの読み取り/書き込み (グループ)Read/Write all properties Group インポートおよび Exchange ハイブリッドImport and Exchange hybrid
    すべてのプロパティの読み取り/書き込み (連絡先)Read/Write all properties Contact インポートおよび Exchange ハイブリッドImport and Exchange hybrid
    [パスワードのリセット]Reset password パスワード ライトバックを有効にするための準備Preparation for enabling password writeback

    高速インストール ウィザードの概要Express installation wizard summary

    高速インストール

    次の表は、高速インストール ウィザードの各ページと収集される資格情報、その使用目的をまとめたものです。The following is a summary of the express installation wizard pages, the credentials collected, and what they are used for.

    ウィザード ページWizard Page 収集される資格情報Credentials Collected 必要なアクセス許可Permissions Required 用途Used For
    該当なしN/A インストール ウィザードを実行するユーザーUser running the installation wizard ローカル サーバーの管理者Administrator of the local server
  • 同期サービスの実行に使用する ADSync サービス アカウントを作成します。Creates the ADSync service account that is used as to run the synchronization service.
  • Azure への接続Connect to Azure AD Azure AD ディレクトリの資格情報Azure AD directory credentials Azure AD でのグローバル管理者ロールGlobal administrator role in Azure AD
  • Azure AD ディレクトリの同期を有効にします。Enabling sync in the Azure AD directory.
  • Azure AD で進行中の同期操作に使用する Azure AD コネクタ アカウントを作成します。Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • AD DS に接続Connect to AD DS オンプレミスの Active Directory の資格情報On-premises Active Directory credentials Active Directory 内の Enterprise Admins (EA) グループのメンバーMember of the Enterprise Admins (EA) group in Active Directory
  • Active Directory で AD DS コネクタ アカウントを作成し、それに対するアクセス許可を付与します。Creates the AD DS Connector account in Active Directory and grants permissions to it. この作成されたアカウントは、同期中にディレクトリ情報を読み取るまたは書き込むために使用されます。This created account is used to read and write directory information during synchronization.
  • カスタム インストールの設定Custom installation settings

    カスタム設定のインストール ウィザードでは、より多くの選択肢とオプションが提供されます。With the custom settings installation, the wizard offers you more choices and options.

    カスタム インストール ウィザードの概要Custom installation wizard summary

    次の表は、カスタム インストール ウィザードの各ページと収集される資格情報、その使用目的をまとめたものです。The following is a summary of the custom installation wizard pages, the credentials collected, and what they are used for.

    高速インストール

    ウィザード ページWizard Page 収集される資格情報Credentials Collected 必要なアクセス許可Permissions Required 用途Used For
    該当なしN/A インストール ウィザードを実行するユーザーUser running the installation wizard
  • ローカル サーバーの管理者Administrator of the local server
  • 完全な SQL Server を使用する場合、ユーザーは SQL のシステム管理者 (SA) である必要がありますIf using a full SQL Server, the user must be System Administrator (SA) in SQL
  • 既定では、同期エンジン サービス アカウントとして使用するローカル アカウントを作成します。By default, creates the local account that is used as the sync engine service account. このアカウントは、管理者が特定のアカウントを指定しなかった場合のみ作成します。The account is only created when the admin does not specify a particular account.
    同期サービスのインストール、サービス アカウントのオプションInstall synchronization services, Service account option AD またはローカル ユーザー アカウントの資格情報AD or local user account credentials ユーザー。アクセス許可は、インストール ウィザードにより付与されます。User, permissions are granted by the installation wizard 管理者がアカウントを指定している場合は、このアカウントは、同期サービスのサービス アカウントとして使用します。If the admin specifies an account, this account is used as the service account for the sync service.
    Azure への接続Connect to Azure AD Azure AD ディレクトリの資格情報Azure AD directory credentials Azure AD でのグローバル管理者ロールGlobal administrator role in Azure AD
  • Azure AD ディレクトリの同期を有効にします。Enabling sync in the Azure AD directory.
  • Azure AD で進行中の同期操作に使用する Azure AD コネクタ アカウントを作成します。Creation of the Azure AD Connector account that is used for on-going sync operations in Azure AD.
  • ディレクトリの接続Connect your directories Azure AD に接続する各フォレストのオンプレミス Active Directory の資格情報On-premises Active Directory credentials for each forest that is connected to Azure AD アクセス許可はどの機能を有効にするかによって異なります。詳細については、「AD DS コネクタ アカウントの作成」を参照してください。The permissions depend on which features you enable and can be found in Create the AD DS Connector account このアカウントは、同期中にディレクトリ情報を読み取るまたは書き込むために使用されます。This account is used to read and write directory information during synchronization.
    AD FS サーバーAD FS Servers 一覧の各サーバーに対して、ウィザードを実行しているユーザーのサインイン資格情報が不十分で接続できない場合に、ウィザードは資格情報を収集します。For each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect ドメイン管理者Domain Administrator AD FS サーバー ロールをインストールして構成します。Installation and configuration of the AD FS server role.
    Web アプリケーション プロキシ サーバーWeb application proxy servers 一覧の各サーバーに対して、ウィザードを実行しているユーザーのサインイン資格情報が不十分で接続できない場合に、ウィザードは資格情報を収集します。For each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect ターゲット コンピューターのローカル管理者Local admin on the target machine WAP サーバー ロールをインストールして構成します。Installation and configuration of WAP server role.
    プロキシ信頼資格情報Proxy trust credentials フェデレーション サービスの信頼資格情報 (FS からの信頼証明書の登録にプロキシが使用する資格情報)Federation service trust credentials (the credentials the proxy uses to enroll for a trust certificate from the FS ドメイン アカウント (AD FS サーバーのローカル管理者)Domain account that is a local administrator of the AD FS server FS-WAP 信頼証明書の初回登録Initial enrollment of FS-WAP trust certificate.
    AD FS サービス アカウントのページ、[ドメイン ユーザー アカウントの使用オプション]AD FS Service Account page, "Use a domain user account option" AD ユーザー アカウントの資格情報AD user account credentials ドメイン ユーザーDomain user 資格情報が提供されている Azure AD ユーザー アカウントは、AD FS サービスのサインイン アカウントとして使用されます。The Azure AD user account whose credentials are provided is used as the sign-in account of the AD FS service.

    AD DS コネクタ アカウントの作成Create the AD DS Connector account

    重要

    ADSyncConfig.psm1 という名前の新しい PowerShell モジュールがビルド 1.1.880.0 (2018 年 8 月にリリース) に導入されました。これには、Azure AD DS コネクタ アカウント用の適切な Active Directory アクセス許可を構成するのに役立つコマンドレットのコレクションが含まれています。A new PowerShell Module named ADSyncConfig.psm1 was introduced with build 1.1.880.0 (released in August 2018) that includes a collection of cmdlets to help you configure the correct Active Directory permissions for the Azure AD DS Connector account.

    詳しくは、「Azure AD Connect: AD DS コネクタ アカウントのアクセス許可の構成」を参照してください。For more information see Azure AD Connect: Configure AD DS Connector Account Permission

    [ディレクトリの接続] ページで指定するアカウントは、インストールの前に Active Directory に存在している必要があります。The account you specify on the Connect your directories page must be present in Active Directory prior to installation. Azure AD Connect バージョン 1.1.524.0 以降には、Azure AD Connect ウィザードが Active Directory への接続に使う AD DS コネクタ アカウントを作成できるオプションがあります。Azure AD Connect version 1.1.524.0 and later has the option to let the Azure AD Connect wizard create the AD DS Connector account used to connect to Active Directory.

    また、必要なアクセス許可を付与されている必要があります。It must also have the required permissions granted. インストール ウィザードではアクセス許可は検証されません。問題があれば、同期中に検出されます。The installation wizard does not verify the permissions and any issues are only found during synchronization.

    必要なアクセス許可は、有効にしたオプションの機能によって異なります。Which permissions you require depends on the optional features you enable. 複数のドメインがある場合は、フォレスト内のすべてのドメインにアクセス許可を付与する必要があります。If you have multiple domains, the permissions must be granted for all domains in the forest. これらのいずれの機能も有効にしなかった場合、既定の ドメイン ユーザー アクセス許可で十分対応できます。If you do not enable any of these features, the default Domain User permissions are sufficient.

    機能Feature アクセス許可Permissions
    ms-DS-ConsistencyGuid 機能ms-DS-ConsistencyGuid feature 設計概念 - sourceAnchor としての ms-DS-ConsistencyGuid の使用」に記載された msDS-ConsistencyGuid 属性への書き込みアクセス許可。Write permissions to the ms-DS-ConsistencyGuid attribute documented in Design Concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.
    パスワード ハッシュの同期Password hash sync
  • ディレクトリの変更のレプリケートReplicate Directory Changes
  • ディレクトリの変更をすべてにレプリケートReplicate Directory Changes All
  • Exchange ハイブリッドのデプロイメントExchange hybrid deployment ユーザー、グループ、連絡先用の「Exchange ハイブリッドの書き戻し」に記載された属性への書き込みアクセス許可。Write permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Exchange メールのパブリック フォルダーExchange Mail Public Folder パブリック フォルダーに関して、「Exchange メールのパブリック フォルダー」に記載された属性への読み取りアクセス許可。Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    パスワードの書き戻しPassword writeback ユーザー向けの「パスワード管理の概要」に記載された属性への書き込みアクセス許可。Write permissions to the attributes documented in Getting started with password management for users.
    デバイスの書き戻しDevice writeback デバイスの書き戻し」に説明されているように、PowerShell スクリプトを使用して付与されたアクセス許可。Permissions granted with a PowerShell script as described in device writeback.
    グループの書き戻しGroup writeback Office 365 グループを Exchange がインストールされているフォレストに書き戻すことができます。Allows you to writeback Office 365 Groups to a forest with Exchange installed. 詳しくは、「グループの書き戻し」をご覧ください。For more information see Group Writeback.

    アップグレードUpgrade

    Azure AD Connect のいずれかのバージョンから新しいリリースにアップグレードする場合、次のアクセス許可が必要です。When you upgrade from one version of Azure AD Connect to a new release, you need the following permissions:

    重要

    ビルド 1.1.484 以降の Azure AD Connect には回帰バグがあり、SQL データベースのアップグレードに sysadmin アクセス許可が必要です。Starting with build 1.1.484, Azure AD Connect introduced a regression bug which requires sysadmin permissions to upgrade the SQL database. このバグはビルド 1.1.647 で修正されています。This bug is corrected in build 1.1.647. このビルドにアップグレードする場合は、sysadmin アクセス許可が必要です。If you are upgrading to this build, you will need sysadmin permissions. dbo アクセス許可では不十分です。Dbo permissions are not sufficient. sysadmin アクセス許可がないユーザーが Azure AD Connect をアップグレードしようとすると、アップグレードは失敗し、Azure AD Connect が正しく機能しなくなります。If you attempt to upgrade Azure AD Connect without having sysadmin permissions, the upgrade will fail and Azure AD Connect will no longer function correctly afterwards. Microsoft はこの問題を認識しており、解決に取り組んでいます。Microsoft is aware of this and is working to correct this.

    プリンシパルPrincipal 必要なアクセス許可Permissions required 使用対象Used for
    インストール ウィザードを実行するユーザーUser running the installation wizard ローカル サーバーの管理者Administrator of the local server バイナリを更新します。Update binaries.
    インストール ウィザードを実行するユーザーUser running the installation wizard ADSyncAdmins のメンバーMember of ADSyncAdmins 同期規則などの構成を変更します。Make changes to Sync Rules and other configuration.
    インストール ウィザードを実行するユーザーUser running the installation wizard 完全バージョンの SQL Server を使用している場合: 同期エンジン データベースの DBO (または類似のもの)If you use a full SQL server: DBO (or similar) of the sync engine database 新しい列でテーブルを更新するなど、データベース レベルを変更します。Make database level changes, such as updating tables with new columns.

    作成されたアカウントの詳細情報More about the created accounts

    AD DS コネクタ アカウントAD DS Connector account

    簡単設定を使用した場合、アカウントは、同期に使用される Active Directory に作成されます。If you use express settings, then an account is created in Active Directory that is used for synchronization. 作成されたアカウントはユーザー コンテナーのフォレスト ルート ドメインに配置され、名前の先頭に MSOL_ が付けられます。The created account is located in the forest root domain in the Users container and has its name prefixed with MSOL_. アカウントの作成時には、有効期限のない長く複雑なパスワードが設定されます。The account is created with a long complex password that does not expire. ドメインにパスワード ポリシーがある場合は、このアカウントに対して長い複雑なパスワードが許可されることを確認してください。If you have a password policy in your domain, make sure long and complex passwords would be allowed for this account.

    AD アカウント

    カスタム設定を使用した場合、インストールを開始する前に、アカウントを作成する必要があります。If you use custom settings, then you are responsible for creating the account before you start the installation. 「AD DS コネクタ アカウントの作成」を参照してください。See Create the AD DS Connector account.

    ADSync サービス アカウントADSync service account

    同期サービスは、複数のアカウントで実行できます。The sync service can run under different accounts. これは、仮想サービス アカウント (VSA)、グループの管理されたサービス アカウント (gMSA/sMSA)、または通常のユーザー アカウントで実行できます。It can run under a Virtual Service Account (VSA), a Group Managed Service Account (gMSA/sMSA), or a regular user account. サポートされるオプションは、新規インストールを実行した場合、Connect の 2017 年 4 月のリリースで変更されます。The supported options were changed with the 2017 April release of Connect when you do a fresh installation. Azure AD Connect の以前のリリースからアップグレードする場合は、これらの追加のオプションは利用できません。If you upgrade from an earlier release of Azure AD Connect, these additional options are not available.

    アカウントの種類Type of account インストール オプションInstallation option 説明Description
    仮想サービス アカウントVirtual Service Account 高速およびカスタム、2017 年 4 月以降Express and custom, 2017 April and later これは、ドメイン コントローラーでのインストールを除くすべての高速インストールに使用されるオプションです。This is the option used for all express installations, except for installations on a Domain Controller. カスタムでは、別のオプションが使われていない限り、これが既定のオプションです。For custom, it is the default option unless another option is used.
    グループの管理されたサービス アカウントGroup Managed Service Account カスタム、2017 年 4 月以降Custom, 2017 April and later リモートの SQL サーバーを使用した場合、グループの管理されたサービス アカウントを使用することをお勧めします。If you use a remote SQL server, then we recommend to use a group managed service account.
    ユーザー アカウントUser account 高速およびカスタム、2017 年 4 月以降Express and custom, 2017 April and later AAD_ というプレフィックスが付いたユーザー アカウントが、Windows Server 2008 およびドメイン コントローラーにインストールした場合のインストール時にのみ作成されます。A user account prefixed with AAD_ is only created during installation when installed on Windows Server 2008 and when installed on a Domain Controller.
    ユーザー アカウントUser account 高速およびカスタム、2017 年 3 月以前Express and custom, 2017 March and earlier AAD_ というプレフィックスが付いたローカル アカウントがインストール時に作成されます。A local account prefixed with AAD_ is created during installation. カスタム インストールを使用した場合は、別のアカウントを指定できます。When using custom installation, another account can be specified.

    2017 年 3 月以前のバージョンのビルドで Connect を使用した場合、Windows は、セキュリティ上の理由から暗号化キーを破棄するため、サービス アカウントのパスワードをリセットする必要はありません。If you use Connect with a build from 2017 March or earlier, then you should not reset the password on the service account since Windows destroys the encryption keys for security reasons. アカウントを他のアカウントに変更するには、Azure AD Connect を再インストールする必要があります。You cannot change the account to any other account without reinstalling Azure AD Connect. 2017 年 4 月以降のビルドにアップグレードする場合、サービス アカウントのパスワードを変更することはできますが、使用されるアカウントを変更することはできません。If you upgrade to a build from 2017 April or later, then it is supported to change the password on the service account but you cannot change the account used.

    重要

    サービス アカウントを設定できるのは、初回のインストール時のみです。You can only set the service account on first installation. インストールが完了した後にサービス アカウントを変更することはできません。It is not supported to change the service account after the installation has completed.

    次の表に、同期サービス アカウントの既定のオプション、推奨されるオプション、サポートされているオプションを示します。This is a table of the default, recommended, and supported options for the sync service account.

    凡例:Legend:

    • 太字は既定のオプションを示し、ほとんどの場合、推奨されるオプションです。Bold indicates the default option and in most cases the recommended option.
    • 斜体は既定のオプションではないが、推奨されるオプションを示します。Italic indicates the recommended option when it is not the default option.
    • 2008 - Windows Server 2008 にインストールした場合の既定のオプション2008 - Default option when installed on Windows Server 2008
    • 太字でない部分 - サポートされているオプションNon-bold - Supported option
    • ローカル アカウント - サーバー上のローカル ユーザー アカウントLocal account - Local user account on the server
    • ドメイン アカウント - ドメイン ユーザー アカウントDomain account - Domain user account
    • sMSA - スタンドアロンの管理されたサービス アカウントsMSA - standalone Managed Service account
    • gMSA - グループの管理されたサービス アカウントgMSA - group Managed Service account
    LocalDBLocalDB
    ExpressExpress
    LocalDB/LocalSQLLocalDB/LocalSQL
    カスタムCustom
    リモート SQLRemote SQL
    カスタムCustom
    スタンドアロン/ワークグループ コンピューターstandalone/workgroup machine サポートされていませんNot supported VSAVSA
    ローカル アカウント (2008)Local account (2008)
    ローカル アカウントLocal account
    サポートされていませんNot supported
    ドメインに参加しているコンピューターdomain-joined machine VSAVSA
    ローカル アカウント (2008)Local account (2008)
    VSAVSA
    ローカル アカウント (2008)Local account (2008)
    ローカル アカウントLocal account
    ドメイン アカウントDomain account
    sMSA、gMSAsMSA,gMSA
    gMSAgMSA
    ドメイン アカウントDomain account
    ドメイン コントローラーDomain Controller ドメイン アカウントDomain account gMSAgMSA
    ドメイン アカウントDomain account
    sMSAsMSA
    gMSAgMSA
    ドメイン アカウントDomain account

    仮想サービス アカウントVirtual service account

    仮想サービス アカウントは、パスワードのない特殊な種類のアカウントで、Windows によって管理されます。A virtual service account is a special type of account that does not have a password and is managed by Windows.

    VSA

    VSA は、同期エンジンと SQL が同じサーバー上にあるシナリオで使用するためのものです。The VSA is intended to be used with scenarios where the sync engine and SQL are on the same server. リモートの SQL を使用する場合は、代わりにグループの管理されたサービス アカウントを使用することをお勧めします。If you use remote SQL, then we recommend to use a Group Managed Service Account instead.

    この機能では、Windows Server 2008 R2 以降が必要です。This feature requires Windows Server 2008 R2 or later. Windows Server 2008 に Azure AD Connect をインストールする場合、インストールは代わりにユーザー アカウントを使用してフォールバックします。If you install Azure AD Connect on Windows Server 2008, then the installation falls back to using a user account instead.

    グループの管理されたサービス アカウントGroup managed service account

    リモートの SQL サーバーを使う場合は、グループの管理されたサービス アカウントを使うことをお勧めします。If you use a remote SQL server, then we recommend to using a group managed service account. グループの管理されたサービス アカウント用の Active Directory を準備する方法について詳しくは、「グループの管理されたサービス アカウントの概要」をご覧ください。For more information on how to prepare your Active Directory for Group Managed Service account, see Group Managed Service Accounts Overview.

    このオプションを使用するには、[必須コンポーネントのインストール] ページで [既存のサービス アカウントを使用する] を選択し、 [管理されたサービス アカウント] を選択します。To use this option, on the Install required components page, select Use an existing service account, and select Managed Service Account.
    VSAVSA
    スタンドアロンの管理されたサービス アカウントを使用することもできます。It is also supported to use a standalone managed service account. ただし、これらはローカル コンピューターでのみ使うことができ、既定の仮想サービス アカウントでこれらを使うことにメリットはありません。However, these can only be used on the local machine and there is no benefit to use them over the default virtual service account.

    この機能では、Windows Server 2012 以降が必要です。This feature requires Windows Server 2012 or later. 以前のオペレーティング システムを使用し、リモート SQL を使用する必要がある場合は、ユーザー アカウントを使用する必要があります。If you need to use an older operating system and use remote SQL, then you must use a user account.

    ユーザー アカウントUser account

    ローカル サービス アカウントはインストール ウィザードで作成します (カスタム設定で使用するアカウントを指定しない限り)。A local service account is created by the installation wizard (unless you specify the account to use in custom settings). アカウントは、先頭に AAD_ が付き、実際の同期サービスがそのアカウントで実行されます。The account is prefixed AAD_ and used for the actual sync service to run as. Azure AD Connect をドメイン コントローラーにインストールした場合、アカウントはドメインに作成されます。If you install Azure AD Connect on a Domain Controller, the account is created in the domain. 次の場合、AAD_ サービス アカウントがドメインに存在する必要があります。The AAD_ service account must be located in the domain if:

    • SQL Server を実行しているリモート サーバーを使っているyou use a remote server running SQL server
    • 認証が必要なプロキシを使っているyou use a proxy that requires authentication

    同期サービス アカウント

    アカウントの作成時には、有効期限のない長く複雑なパスワードが設定されます。The account is created with a long complex password that does not expire.

    このアカウントを使用して、安全な方法で他のアカウントのパスワードを保存します。This account is used to store the passwords for the other accounts in a secure way. これらの他のアカウントのパスワードは暗号化されて、データベースに格納されます。These other accounts passwords are stored encrypted in the database. 暗号化キーの秘密キーは、Windows データ保護 API (DPAPI) を使用する暗号化サービスの秘密キー暗号化によって保護されています。The private keys for the encryption keys are protected with the cryptographic services secret-key encryption using Windows Data Protection API (DPAPI).

    完全バージョンの SQL Server を使用した場合、サービス アカウントは、同期エンジン用に作成されたデータベースの DBO になります。If you use a full SQL Server, then the service account is the DBO of the created database for the sync engine. サービスは、他のアクセス許可では意図したように機能しません。The service will not function as intended with any other permissions. SQL ログインも作成されます。A SQL login is also created.

    アカウントには、ファイル、レジストリ キー、また同期エンジンに関連するその他のオブジェクトへのアクセス許可も付与されます。The account is also granted permissions to files, registry keys, and other objects related to the Sync Engine.

    Azure AD コネクタ アカウントAzure AD Connector account

    Azure AD のアカウントは、同期サービスで使用するために作成されます。An account in Azure AD is created for the sync service's use. このアカウントは、その表示名で識別できます。This account can be identified by its display name.

    AD アカウント

    アカウントが使用されるサーバーの名前は、ユーザー名の 2 番目の部分で識別できます。The name of the server the account is used on can be identified in the second part of the user name. 図では、サーバー名は DC1 です。In the picture, the server name is DC1. ステージング サーバーがある場合、各サーバーに独自のアカウントが指定されます。If you have staging servers, each server has its own account.

    アカウントの作成時には、有効期限のない長く複雑なパスワードが設定されます。The account is created with a long complex password that does not expire. このアカウントには、ディレクトリ同期タスクの実行権限のみを持つ特別なロール ディレクトリ同期アカウント が付与されます。It is granted a special role Directory Synchronization Accounts that has only permissions to perform directory synchronization tasks. この特別な組み込みロールを Azure AD Connect ウィザードの外部で付与することはできません。This special built-in role cannot be granted outside of the Azure AD Connect wizard. Azure Portal ではこのアカウントにはユーザー ロールが表示されます。The Azure portal shows this account with the role User.

    Azure AD での同期サービスのアカウント数の上限は 20 です。There is a limit of 20 sync service accounts in Azure AD. Azure AD で既存の Azure AD サービス アカウントの一覧を取得するには、次の Azure AD PowerShell コマンドレットを実行します。Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMemberTo get the list of existing Azure AD service accounts in your Azure AD, run the following Azure AD PowerShell cmdlet: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

    使用されていない Azure AD サービス アカウントを削除するには、次の Azure AD PowerShell コマンドレットを実行します。Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>To remove unused Azure AD service accounts, run the following Azure AD PowerShell cmdlet: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

    注意

    上記の PowerShell コマンドを使用する前に、Graph モジュール用の Azure Active Directory PowerShell をインストールし、Azure AD のインスタンスを Connect-AzureAD を使用して接続する必要があります。Before you can use the above PowerShell commands you will need to install the Azure Active Directory PowerShell for Graph module and connect to your instance of Azure AD using Connect-AzureAD

    Azure AD コネクタ アカウントのパスワードの管理またはリセット方法の詳細については、「Azure AD Connect アカウントの管理」を参照してください。For additional information on how to manage or reset the password for the Azure AD Connector account see Manage the Azure AD Connect account

    オンプレミス ID と Azure Active Directory の統合」をまだお読みでない方のために、次の表に関連トピックへのリンクを示します。If you did not read the documentation on Integrating your on-premises identities with Azure Active Directory, the following table provides links to related topics.

    トピックTopic LinkLink
    Azure AD Connect のダウンロードDownload Azure AD Connect Azure AD Connect のダウンロードDownload Azure AD Connect
    Express 設定を使用したインストールInstall using Express settings Azure AD Connect の高速インストールExpress installation of Azure AD Connect
    カスタマイズした設定を使用したインストールInstall using Customized settings Azure AD Connect のカスタム インストールCustom installation of Azure AD Connect
    DirSync からのアップグレードUpgrade from DirSync Azure AD 同期ツール (DirSync) からのアップグレードUpgrade from Azure AD sync tool (DirSync)
    インストール後にAfter installation インストールの確認とライセンスの割り当てVerify the installation and assign licenses

    次の手順Next steps

    オンプレミス ID と Azure Active Directory の統合」をご覧ください。Learn more about Integrating your on-premises identities with Azure Active Directory.