Microsoft Entra Connect に関する FAQ

Microsoft では、Microsoft Entra Connect サーバーを強化して、IT 環境に含まれるこの重要なコンポーネントに対する、セキュリティの攻撃面を縮小することをお勧めしています。 以下の推奨事項に従うと、お客様の組織に対するセキュリティ リスクが低下します。

• ドメイン参加済みサーバーに Microsoft Entra Connect をデプロイし、管理アクセス権を、ドメイン管理者または他の厳格に管理されたセキュリティ グループに制限します

詳細については、以下をご覧ください。

• 管理者グループのセキュリティ保護

• ビルトイン Administrator アカウントのセキュリティ保護

• 攻撃対象領域の縮小によるセキュリティの向上と維持

• Active Directory の攻撃対象領域の縮小

2016 年 2 月のビルド時点で、このシナリオがサポートされています。

インストール ウィザードを使用する場合にのみ、Microsoft Entra Connect のインストールがサポートされます。 サイレント モードでの無人インストールはサポートされていません。

2016 年 2 月のビルド時点で、このシナリオがサポートされています。

はい。 エージェントをインストールした後、次の PowerShell コマンドレットを使って登録プロセスを実行できます。

Register-AzureADConnectHealthADDSAgent -Credentials $cred

はい、このシナリオはサポートされています。 複数のドメインに関するページを参照してください。

いいえ、同じ AD ドメインの複数のコネクタはサポートされていません。

はい、次の手順では、この移行方法に関する一般的なガイダンスを提供しています。 現在、より詳細なドキュメントの作成に取り組んでいます。

1. LocalDB ADSync データベースをバックアップします。 これを行う最も簡単な方法は、Microsoft Entra Connect と同じコンピューターにインストールされている SQL Server Management Studio を使うことです。 (LocalDb).\ADSync に接続し、ADSync データベースをバックアップします。

2. リモート SQL Server インスタンスに ADSync データベースを復元します

3. 既存のリモート SQL データベースに対して Microsoft Entra Connect をインストールします。 この記事では、ローカルの SQL Database を使用して移行する方法について説明します。 リモート SQL Database を使用して移行する場合は、手順 5 で Windows Sync サービスを実行する既存のサービス アカウントも入力する必要があります。 この同期エンジンのサービス アカウントを次に示します。

   既存のサービス アカウントを使用する: 既定では、Microsoft Entra Connect は同期サービスで使われる仮想サービス アカウントを使用します。 リモート SQL Server インスタンスを使用する場合、または認証が必要なプロキシを使用する場合は、ドメイン内のマネージド サービス アカウントまたはサービス アカウントを使用し、パスワードを知っている必要があります。 このような場合は、使用するアカウントを入力します。 サービス アカウントのログイン資格情報を作成できるように、インストールを実行しているユーザーが SQL のシステム管理者であることを確認します。 詳しくは、「Microsoft Entra Connect: アカウントとアクセス許可」をご覧ください。

   最新のビルドでは、SQL 管理者が帯域外でデータベースのプロビジョニングを実行した後、データベース所有者権限を持つ Microsoft Entra Connect 管理者がインストールできます。 詳しくは、「SQL によって委任された管理者のアクセス許可を使用した Microsoft Entra Connect のインストール」をご覧ください。

シンプルにするため、SQL のシステム管理者が Microsoft Entra Connect をインストールすることをお勧めします。 ただし、最近のビルドでは、「SQL の委任された管理者権限を使用した Microsoft Entra Connect をインストールする」で説明されているように、委任された SQL 管理者を使用できるようになりました。

以下は、エンジニアリング、サポート、および Microsoft のコンサルタントが長年にわたり開発してきたベスト プラクティスのいくつかについて情報を提供する文書です。 すばやく参照できる箇条書きで示されています。 この一覧を包括的なものとすることが試みられていますが、まだ一覧に反映されていない追加のベスト プラクティスが存在する可能性があります。

• 完全な SQL を使用する場合も、ローカルとリモートの比較には変わりがありません。
  • ホップ数がより少ない
  • トラブルシューティングがより簡単
  • 複雑さがより軽減されている
  • リソースを SQL に指定し、Microsoft Entra Connect と OS に対するオーバーヘッドを許可する必要があります。
• 可能な限りプロキシをバイパスします。プロキシをバイパスすることができない場合は、5 分を超えるタイムアウト値を確保する必要があります。
• プロキシが必要な場合は、machine.config ファイルにプロキシを追加する必要があります。
• ローカルの SQL ジョブとメンテナンス、およびそれらが Microsoft Entra Connect に与える影響 (特に再インデックス作成) に注意を払います。
• DNS を外部で確実に解決できるようにします。
• 物理サーバーまたは仮想サーバーのどちらを使用しているかに関わらず、サーバー仕様が確実に推奨に従っているようにします。
• 仮想サーバーを使用している場合、必要なリソースは確実に専用にします。
• ディスクおよびディスク構成が確実に SQL Server のベスト プラクティスに対応するようにします。
• Microsoft Entra Connect Health をインストールおよび構成して監視を行います。
• Microsoft Entra Connect に組み込まれている削除しきい値を使用します。
• 追加される可能性があるすべての変更および新しい属性に対して準備するために、リリースの更新情報を慎重に確認してください。
• すべてをバックアップする
  • キーをバックアップする
  • 同期規則をバックアップする
  • サーバーの構成をバックアップする
  • SQL データベースをバックアップする
• SQL VSS Writer (サード パーティ スナップショットを使用した仮想サーバーでは一般的) なしで SQL をバックアップしているサード パーティ製バックアップ エージェントが決して存在しないようにします。
• 使用されているカスタム同期規則によって複雑さが増す場合は、その規則の量を制限します。
• Microsoft Entra Connect サーバーを階層 0 サーバーとして扱います。
• 影響と適切なビジネス ドライバーをよく理解せずにクラウド同期規則を変更することに用心します
• Microsoft Entra Connect および Microsoft Entra Connect Health をサポートするために適切な URL およびファイアウォールのポートが開かれていることを確認します。
• クラウドでフィルター処理される属性を活用して、ファントム オブジェクトのトラブルシューティングを行い、そのオブジェクトを防止します。
• ステージング サーバーでは、サーバー間の一貫性を保つために Microsoft Entra Connect Configuration Documenter を確実に使用します。
• ステージング サーバーは個別のデータ センター (物理的な場所) に置く必要があります。
• ステージング サーバーは高可用性ソリューションになることを想定していませんが、複数のステージング サーバーを備えることができます。
• "ラグ" ステージング サーバーを導入すれば、エラーが発生した場合の潜在的なダウンタイムを軽減することが可能です。
• まず、ステージング サーバー上のすべてのアップグレードをテストおよび検証します。
• ステージング サーバーに切り替える前に、必ずエクスポートを検証してください。 完全インポートおよび完全同期用のステージング サーバーを活用して、ビジネスへの影響を軽減します
• Microsoft Entra Connect サーバー間でのバージョンの一貫性を可能な限り保持します。

不正解です。 Microsoft Entra Connector アカウントの自動作成を Microsoft Entra Connect に許可するには、該当するコンピューターがドメインに参加している必要があります。

すべてのネットワーク ソフトウェアや物理デバイスなど、接続を開ける最大時間を制限するものは、Microsoft Entra Connect クライアントがインストールされているサーバーと Microsoft Entra ID 間の接続に対して少なくとも 5 分 (300 秒) のしきい値を使用する必要があります。 この推奨事項は、以前リリースされたすべての Microsoft ID 同期ツールにも適用されます。

シングル ラベル ドメインのネットワーク構成が適切に機能している限り、このネットワーク構成に対しては、シングル ラベル ドメインを利用した Microsoft Entra Connect Sync の利用がサポートされることを強くお勧めします (こちらの記事を参照)。 Active Directory NetBIOS ドメイン名が FQDN ドメイン名と異なる SLD シナリオでは、Microsoft Entra Connect のインストールはサポートされていません。

いいえ。Microsoft Entra Connect は、切り離された名前空間を持つオンプレミスのフォレストはサポートしていません。

いいえ。Microsoft Entra Connect では、NetBios 名にドット (.) が含まれているオンプレミスのフォレストやドメインはサポートしていません。

いいえ。Microsoft Entra Connect は、純粋な IPv6 環境はサポートしていません。

いいえ。NAT を介した Microsoft Entra Connect の使用はサポートされていません。

証明書の更新方法については、証明書の更新に関する記事を参照してください。

証明書の更新に関する記事に記載されているガイダンスに従ってください。

不正解です。 サーバー名を変更すると、同期エンジンは SQL データベース インスタンスに接続できなくなり、サービスを開始できなくなります。

不正解です。 これらはサポートされていません。

同期されているデバイスは、オンプレミスで作成または管理されている場合があります。 同期されているデバイスがオンプレミスで有効になっているときは、前に管理者によって無効になった場合でも、Microsoft Entra 管理センターで再び有効になることがあります。 同期されているデバイスを無効にするには、オンプレミスの Active Directory を使用して、コンピューター アカウントを無効にします。

同期されているユーザーは、オンプレミスで作成または管理されている場合があります。 アカウントがオンプレミスで有効になっている場合、管理者によって実行されたサインイン ブロックは解除される可能性があります。

詳細については、以下の記事を参照してください。

• Microsoft 365、Azure、Intune におけるユーザー名が、オンプレミスの UPN または代替ログイン ID と一致しない
• 異なるフェデレーション ドメインを使用するようにユーザー アカウントの UPN を変更した後、Azure Active Directory 同期ツールによって変更が同期されない

また、「Microsoft Entra Connect 同期サービスの機能」で説明されているように、同期エンジンが UPN を更新できるよう Microsoft Entra ID を構成することもできます。

はい。このあいまい一致は proxyAddress に基づいています。 メールが有効でないグループに対して、あいまい一致はサポートされていません。

いいえ。既存の Microsoft Entra グループまたは連絡先オブジェクトに対して手動で設定された ImmutableId 属性の完全一致は現在サポートされていません。

このサイトに記載されているコマンドレットを除き、Microsoft Entra Connect で使用されている PowerShell コマンドレットは、ユーザーによる使用をサポートしていません。

不正解です。 このオプションはすべての構成設定を取得しないため、使用すべきではありません。 代わりに、2 台目のサーバーでウィザードを使用して基本構成を作成し、同期ルール エディターを使用して PowerShell スクリプトを生成し、サーバー間でカスタム ルールを移動してください。 詳細については、「スウィング移行」を参照してください。

現在、オートコンプリート タグを含め、[パスワード] フィールドの HTML 属性を変更することはできません。 現在、[パスワード] フィールドに属性を追加できるようカスタム Javascript を許可する機能の開発に取り組んでいます。

現在、オートコンプリート タグを含め、[パスワード] 入力フィールドの HTML 属性を変更することはできません。 現在、[パスワード] フィールドに属性を追加できるようカスタム Javascript を許可する機能の開発に取り組んでいます。

いいえ。

Microsoft では、すべてのお客様に対し、Microsoft Entra Connect インストールの自動アップグレードを有効にするようお勧めしています。 自動アップグレードの利点は、常に最新のパッチを適用できることです (Microsoft Entra Connect で確認された脆弱性に対応するセキュリティ更新プログラムなど)。 アップグレード プロセスは簡単で、新しいバージョンがリリースされ次第、自動的に実行されます。 Microsoft Entra Connect の何千ものお客様が、新しいリリースのたびに自動アップグレードを使用しています。

自動アップグレード プロセスでは、まずインストールが自動アップグレードの対象かどうかを確認します。 対象の場合は、アップグレードが実行され、テストされます。 このプロセスには、ルールおよび特定の環境要因に対するカスタム変更を検索する処理も含まれています。 テストの結果、アップグレードが失敗していた場合は、旧バージョンが自動的に復元されます。

環境の規模によっては、処理に数時間かかることがあります。 アップグレードの実行中は、Windows Server Active Directory と Microsoft Entra ID 間の同期は実行されません。

昨年リリースされた Microsoft Entra Connect のバージョンでは、特定の状況において、自動アップグレード機能がサーバー上で無効になることがあります。 この問題は、Microsoft Entra Connect バージョン 1.1.750.0 で修正しました。 この問題の影響を受けている場合は、PowerShell スクリプトを実行して修復するか、手動で最新バージョンの Microsoft Entra Connect にアップグレードすることで軽減できます。

PowerShell スクリプトを実行するには、スクリプトをダウンロードして、Microsoft Entra Connect サーバーの管理 PowerShell ウィンドウで実行します。 スクリプトの実行方法については、この短い動画をご覧ください。

手動でアップグレードするには、AADConnect.msi ファイルの最新バージョンをダウンロードして実行する必要があります。

• 現在のバージョンが 1.1.750.0 よりも前の場合は、最新バージョンをダウンロードしてアップグレードしてください。
• Microsoft Entra Connect のバージョンが 1.1.750.0 以降の場合、追加の操作は必要ありません。 自動アップグレードの修正プログラムを含むバージョンを既に使用しています。

はい。バージョン 1.1.750.0 以降にアップグレードして、自動アップグレードを再度有効にする必要があります。 最新バージョンをダウンロードしてアップグレードしてください。

はい。1.1.750.0 以降のバージョンにアップグレードする必要があります。 PowerShell を使用して自動アップグレード サービスを有効にした場合、1.1.750.0 より前のバージョンで見つかった自動アップグレードの問題は回避されません

Microsoft Entra Connect の初回アップグレードに使用したユーザー名とパスワードを把握しておく必要はありません。 全体管理者ロールを持つ任意の Microsoft Entra アカウントを使用します。

サーバーにインストールされている Microsoft Entra Connect のバージョンを確認するには、コントロール パネルに移動し、次のように [プログラム]>[Programs and Features] (プログラムと機能) の順に選択して、インストールされている Microsoft Entra Connect のバージョンを調べてください。

最新バージョンにアップグレードする方法については、「Microsoft Entra Connect: 旧バージョンから最新バージョンにアップグレードする」を参照してください。

Microsoft Entra Connect チームは、このサービスを頻繁に更新しています。 バグの修正プログラムやセキュリティ更新プログラムだけでなく、新機能を利用するには、サーバーを最新バージョンの状態に保つことが重要です。 自動アップグレードを有効にしておけば、ソフトウェアのバージョンは自動的に更新されます。 Microsoft Entra Connect のバージョン リリース履歴を確認するには、Microsoft Entra Connect のバージョン リリース履歴に関するページを参照してください。

アップグレードに必要な時間は、テナントのサイズによって変わります。 大規模な組織の場合は、夜間や週末にアップグレードを実行することをお勧めします。 アップグレード中は、同期アクティビティは実行されません。

Office チームでは、Office ポータルに現在の製品名が反映されるようにするべく取り組んでいます。 使用している同期ツールは反映されません。

以前のバージョンでは、特定の状況において、自動アップグレードの状態が "中断" に設定されたままになるというバグが確認されています。 技術的には手動で有効にすることはできますが、いくつかの複雑な手順が必要です。 Microsoft Entra Connect の最新バージョンをインストールすることをお勧めします。

いいえ。現在、そのような機能はありません。 この機能は、今後のリリースのために評価されています。

アップグレードの結果は通知されません。 この機能は、今後のリリースのために評価されています。

自動アップグレードは、新しいバージョンのリリース プロセスの第一歩です。 新しいリリースがあるたびに、アップグレードが自動的にプッシュされます。 Microsoft Entra Connect の新しいバージョンは、Microsoft Entra ロードマップに関するページで事前に案内されます。

はい。自動アップグレードでは、Microsoft Entra Connect Health もアップグレードされます。

はい。ステージング モードの Microsoft Entra Connect サーバーは自動アップグレードされます。

まれに、アップグレードの実行後、Microsoft Entra Connect サービスが開始されないことがあります。 そのような場合は、サーバーを再起動してください。通常はこれで問題が解決します。 それでも Microsoft Entra Connect サービスが開始されない場合は、サポート チケットを発行してください。 詳細については、サービス要求を作成して Microsoft 365 サポートに問い合わせる方法に関する記事を参照してください。

新しいバージョンの Microsoft Entra Connect にアップグレードする場合は、サービス要求を作成して Microsoft 365 サポートに問い合わせる方法に関する記事を参照してサポート チケットを発行してください。

Windows Server Active Directory と Microsoft Entra Directory 間で同期を行う場合に実行する必要があるベスト プラクティスを次に示します。

同期されるすべてのアカウントに多要素認証を適用する Microsoft Entra の多要素認証は、ユーザーに対する簡便さを保ちながら、データやアプリケーションへのアクセスを保護するのに役立ちます。 第 2 の認証方式を要求することでセキュリティが向上し、使用が簡単なさまざまな認証方法によって強力な認証を実現しています。 ユーザーは、管理者が行う構成上の決定に基づいて、MFA で認証が行われる場合と行われない場合があります。 MFA の詳細は、こちら https://www.microsoft.com/security/business/identity/mfa?rtc=1 を参照してください。

Microsoft Entra Connect サーバーのセキュリティ ガイドラインに従う Microsoft Entra Connect サーバーは、重要な ID データが格納されているため、Active Directory 管理階層モデルの説明に従い、階層 0 のコンポーネントとして取り扱う必要があります。 Microsoft Entra Connect サーバーのセキュリティ保護についてのガイドラインに関する記事もご覧ください。

資格情報の漏洩に対して PHS を有効にする パスワード ハッシュの同期では、ご自分のハイブリッド アカウントの漏洩資格情報検出も有効になります。 Microsoft はダーク Web の研究者や法執行機関と協力し、公で利用できるユーザー名とパスワードのペアを見つけています。 これらの任意のペアがご自分のユーザーのものと一致する場合、関連付けられているアカウントは高リスクに移されます。

Microsoft サポート技術情報 (KB) の検索

• Microsoft Entra Connect のサポートに関する一般的な破損時補償の技術的な解決策について、KB を検索してください。

Microsoft Entra ID に関する Microsoft &QA の質問ページ

• Microsoft Entra コミュニティにアクセスして、技術的な質問と回答を探し、質問をすることができます。

Microsoft Entra ID のサポートを受ける

イベント 6311 - "The server encountered an unexpected error while performing a callback (コールバックの実行中にサーバーで予期しないエラーが発生しました) " および 6401 - "管理エージェント コントローラーで予期しないエラーが発生しました" は、同期ステップのエラー後に常にログに記録されます。 これらのエラーを解決するには、同期ステップのエラーをクリーンアップする必要があります。 詳細については、同期中のエラーのトラブルシューティングに関する記事、および「Microsoft Entra Connect Sync を使用したオブジェクト同期のトラブルシューティング」を参照してください