Azure AD Connect:バージョンのリリース履歴Azure AD Connect: Version release history

Azure Active Directory (Azure AD) チームは、Azure AD Connect を定期的に更新し、新機能を追加しています。The Azure Active Directory (Azure AD) team regularly updates Azure AD Connect with new features and functionality. すべての追加機能がすべてのユーザーに適用されるわけではありません。Not all additions are applicable to all audiences.

この記事は、リリースされたバージョンを追跡し、最新バージョンで変更された点を確認するためのものです。This article is designed to help you keep track of the versions that have been released, and to understand what the changes are in the latest version.

次の表に関連トピックの一覧を示します。This table is a list of related topics:

トピックTopic 詳細Details
Azure AD Connect からのアップグレード手順Steps to upgrade from Azure AD Connect Azure AD Connect の 以前のバージョンから最新バージョンにアップグレード するさまざまな方法を説明しています。Different methods to upgrade from a previous version to the latest Azure AD Connect release.
必要なアクセス許可Required permissions 更新プログラムの適用に必要なアクセス許可については、アカウントとアクセス許可に関するページを参照してください。For permissions required to apply an update, see accounts and permissions.

ダウンロード | Azure AD Connect をダウンロードします。Download| Download Azure AD Connect.

注意

Azure AD Connect の新バージョンのリリースは、サービスの操作の機能性を確保するためのいくつかの品質管理手順が必要なプロセスであり、このプロセスを進めている間、新しいリリースのバージョン番号とリリースの状態が、最新の状況を反映するように更新されます。Releasing a new version of Azure AD Connect is a process that requires several quality control step to ensure the operation functionality of the service, and while we go through this process the version number of a new release as well as the release status will be updated to reflect the most recent state. このプロセスを進めている間、リリースのバージョン番号では、"1.3.X.0" のようにマイナー リリース番号の位置に "X" が表示されます。これは、このドキュメントのリリース ノートは、"1.3." で始まるすべてのバージョンで有効であることを示しています。While we go through this process, the version number of the release will be shown with an "X" in the minor release number position, as in "1.3.X.0" - this indicates that the release notes in this document are valid for all versions beginning with "1.3.". リリース プロセスが終了すると、すぐにリリース バージョン番号が最近リリースされたバージョンに更新され、リリースの状態が "ダウンロードと自動アップグレード用にリリース済み" に更新されます。As soon as we have finalized the release process the release version number will be updated to the most recently released version and the release status will be updated to "Released for download and auto upgrade". Azure AD Connect のすべてのリリースが自動アップグレードに対応しているわけではありません。Not all releases of Azure AD Connect will be made available for auto upgrade. リリースの状態により、リリースが自動アップグレードに対応しているか、ダウンロードにのみ対応しているかが分かります。The release status will indicate whether a release is made available for auto upgrade or for download only. Azure AD Connect サーバーに対して自動アップグレードが有効になっている場合、そのサーバーは、自動アップグレードのためにリリースされた Azure AD Connect の最新バージョンに自動的にアップグレードされます。If auto upgrade was enabled on your Azure AD Connect server then that server will automatically upgrade to the latest version of Azure AD Connect that is released for auto upgrade. Azure AD Connect のすべての構成が自動アップグレードの対象となっているわけではないので注意してください。Note that not all Azure AD Connect configurations are eligible for auto upgrade. 詳細については、自動アップグレードに関するこのリンクを参照してください。Please follow this link to read more about auto upgrade

1.3.21.01.3.21.0

重要

Azure AD Connect の以前のバージョンから 1.3.21.0 へのアップグレードに関する既知の問題 (Azure AD Connect が正常にアップグレードされても O365 ポータルによって更新されたバージョンが反映されない) があります。There is a known issue with upgrading Azure AD Connect from an earlier version to 1.3.21.0 where the O365 portal does not reflect the updated version even though Azure AD Connect upgraded successfully.

これを解決するには、AdSync モジュールをインポートしてから、Azure AD Connect サーバー上で Set-ADSyncDirSyncConfiguration PowerShell コマンドレットを実行します。To resolve this you need to import the AdSync module and then run theSet-ADSyncDirSyncConfiguration powershell cmdlet on the Azure AD Connect server. 次の手順を使用できます。You can use the following steps:

  1. 管理者モードで PowerShell を開くOpen Powershell in administator mode
  2. Import-Module "ADSync" を実行します。Run Import-Module "ADSync"
  3. Set-ADSyncDirSyncConfiguration -AnchorAttribute "" を実行します。Run Set-ADSyncDirSyncConfiguration -AnchorAttribute ""

リリースの状態Release status

2019/05/14:ダウンロード対象としてリリース済み05/14/2019: Released for download

修正された問題Fixed issues

  • Microsoft Azure Active Directory Connect ビルド 1.3.20.0 に存在する特権の昇格の脆弱性を修正しました。Fixed an elevation of privilege vulnerability that exists in Microsoft Azure Active Directory Connect build 1.3.20.0. この脆弱性により、特定の条件下で、攻撃者は特権アカウントのコンテキストで 2 つの PowerShell コマンドレットを実行し、特権の必要なアクションを実行することができる可能性があります。This vulnerability, under certain conditions, may allow an attacker to execute two powershell cmdlets in the context of a privileged account, and perform privileged actions. このセキュリティ更新プログラムは、これらのコマンドレットを無効にすることで問題を修正します。This security update addresses the issue by disabling these cmdlets. 詳細については、セキュリティ更新プログラムに関する記事を参照してください。For more information see security update.

1.3.20.01.3.20.0

リリースの状態Release status

2019/04/24:ダウンロード対象としてリリース済み04/24/2019: Released for download

新機能と機能強化New features and improvements

  • ドメインの更新に対するサポートが追加されました。Add support for Domain Refresh
  • Exchange メールのパブリック フォルダー機能が一般提供されました。Exchange Mail Public Folders feature goes GA
  • サービス エラーに対するウィザードのエラー処理が機能強化されました。Improve wizard error handling for service failures
  • コネクタのプロパティ ページで、古い UI の警告リンクが追加されました。Added warning link for old UI on connector properties page.
  • 統合グループの書き戻し機能が一般提供されるようになりました。The Unified Groups Writeback feature is now GA
  • DC で LDAP コントロールがない場合の SSPR エラー メッセージが改善されました。Improved SSPR error message when the DC is missing an LDAP control
  • インストール時の DCOM レジストリ エラーに対する診断が追加されました。Added diagnostics for DCOM registry errors during install
  • PHS RPC エラーのトレースが機能強化されました。Improved tracing of PHS RPC errors
  • 子ドメインからの EA 資格情報が許可されるようになりました。Allow EA creds from a child domain
  • インストール中のデータベース名の入力が許可されるようになりました (既定名 ADSync)。Allow database name to be entered during install (default name ADSync)
  • Ping での WS-Trust の修正をピックアップするためと新しい Azure インスタンスに対するサポートを追加するために ADAL 3.19.8 へのアップグレードが行われました。Upgrade to ADAL 3.19.8 to pick up a WS-Trust fix for Ping and add support for new Azure instances
  • samAccountName、DomainNetbios、および DomainFQDN をクラウドに送信するためのグループ同期規則が変更されました (要求で必要)。Modify Group Sync Rules to flow samAccountName, DomainNetbios and DomainFQDN to cloud - needed for claims
  • 同期規則の既定の処理が変更されました。詳細についてはこちらを参照してください。Modified Default Sync Rule Handling – read more here.
  • Windows サービスとして実行される新しいエージェントが追加されました。Added a new agent running as a windows service. “Admin Agent” という名前のこのエージェントでは、Azure AD Connect サーバーの詳細なリモート診断が可能であり、お客様がサポート ケースを開いたときに Microsoft のエンジニアがトラブルシューティングを行う際に役に立ちます。This agent, named “Admin Agent”, enables deeper remote diagnostics of the Azure AD Connect server to help Microsoft Engineers troubleshoot when you open a support case. エージェントはインストールされず、既定で有効になっています。This agent is not installed and enabled by default. エージェントをインストールして有効にする方法の詳細については、「Azure AD Connect 管理エージェントとは」を参照してください。For more information on how to install and enable the agent see What is the Azure AD Connect Admin Agent?.
  • エンド ユーザー ライセンス契約 (EULA) が更新されました。Updated the End User License Agreement (EULA)
  • ログインの種類として AD FS を使用するデプロイに対する自動アップグレードのサポートが追加されました。Added auto upgrade support for deployments that use AD FS as their login type. これにより、アップグレード プロセスの一環として AD FS の Azure AD 証明書利用者信頼を更新するという要件が削除されます。This also removed the requirement of updating the AD FS Azure AD Relying Party Trust as part of the upgrade process.
  • 分析/更新の信頼とリセットの信頼という 2 つのオプションがある Azure AD 信頼管理タスクが追加されました。Added an Azure AD trust management task that provides two options: analyze/update trust and reset trust.
  • AD FS Azure AD 証明書利用者信頼の動作が、常に -SupportMultipleDomain スイッチを使用するように変更されました。 (信頼と Azure AD ドメインの更新が含まれます)。Changed the AD FS Azure AD Relying Party trust behavior so that it always uses the -SupportMultipleDomain switch (includes trust and Azure AD domain updates).
  • インストール済みの証明書を使用するオプションの削除によって、新しい AD FS ファームのインストール動作で .pfx 証明書が必要になるように変更されました。Changed the install new AD FS farm behavior so that it requires a .pfx certificate by removing the option of using a pre-installed certificate.
  • 新しい AD FS ファームのワークフローのインストールが、1 台の AD FS と 1 台の WAP サーバーのデプロイのみを許可するように更新されました。Updated the install new AD FS farm workflow so that it only allows deploying 1 AD FS and 1 WAP server. すべてのサーバーの追加は、初期インストールの後で実行されます。All additional servers will be done after initial installation.

修正された問題Fixed issues

  • ADSync サービスの SQL 再接続ロジックが修正されました。Fix the SQL reconnect logic for ADSync service
  • 空の SQL AOA DB を使用したクリーン インストールを許可するための修正が行われました。Fix to allow clean Install using an empty SQL AOA DB
  • GWB アクセス許可を絞り込むための PS アクセス許可が修正されました。Fix PS Permissions script to refine GWB permissions
  • LocalDB での VSS エラーが修正されました。Fix VSS Errors with LocalDB
  • オブジェクトの種類が範囲外の場合の誤解されやすいエラー メッセージが修正されました。Fix misleading error message when object type is not in scope
  • サーバーでの Azure AD PowerShell のインストールで、Azure AD Connect とのアセンブリの競合が発生する可能性があるという問題が修正されました。Corrected an issue where installation of Azure AD PowerShell on a server could potentially cause an assembly conflict with Azure AD Connect.
  • 古い UI でコネクタの資格情報が更新されるときのステージング サーバーでの PHS のバグが修正されました。Fixed PHS bug on Staging Server when Connector Credentials are updated in the old UI.
  • いくつかのメモリ リークが修正されました。Fixed some memory leaks
  • 自動更新に関するさまざまな修正が行われました。Miscellaneous Autoupgrade fixes
  • エクスポートと未確認のインポート処理に対するさまざまな修正が行われました。Miscellaneous fixes to Export and Unconfirmed Import Processing
  • ドメインと OU のフィルター処理でのバックスラッシュの処理のバグが修正されました。Fixed a bug with handling a backslash in Domain and OU filtering
  • ADSync サービスが停止するまで 2 分以上かかり、アップグレード時間に問題が発生するという問題を修正しました。Fixed an issue where ADSync service takes more than 2 minutes to stop and causes a problem at upgrade time.

1.2.70.01.2.70.0

リリースの状態Release status

2018/12/18:ダウンロード対象としてリリース済み12/18/2018: Released for download

修正された問題Fixed issues

このビルドでは、Azure AD Connect に付属の非標準コネクタ (Generic LDAP コネクタや Generic SQL コネクタなど) を更新します。This build updates the non-standard connectors (for example, Generic LDAP Connector and Generic SQL Connector) shipped with Azure AD Connect. 適用可能なコネクタの詳細については、「コネクタ バージョンのリリース履歴」でバージョン 1.1.911.0 を参照してください。For more information on applicable connectors, see version 1.1.911.0 in Connector Version Release History.

1.2.69.01.2.69.0

リリースの状態Release status

2018 年 12 月 11 日:ダウンロード対象としてリリース済み12/11/2018: Released for download

修正された問題Fixed issues

この修正プログラムのビルドでは、デバイス ライトバックを有効にするときに、RegisteredDevices コンテナーに対して、指定されたフォレスト内でターゲット ドメインを選択できます。This hotfix build allows the user to select a target domain, within the specified forest, for the RegisteredDevices container when enabling device writeback. 新しいデバイス オプション機能が含まれる、以前のバージョン (1.1.819.0 から 1.2.68.0) で、RegisteredDevices コンテナーの場所はフォレストのルートに制限されており、子ドメインが許可されていませんでした。In the previous versions that contain the new Device Options functionality (1.1.819.0 – 1.2.68.0), the RegisteredDevices container location was limited to the forest root and did not allow child domains. この制限は、新しいデプロイのみで表面化し、配置済みのアップグレードは影響を受けませんでした。This limitation only manifested itself on new deployments – in-place upgrades were unaffected.

更新されたデバイスのオプション機能を含む任意のビルドを新しいサーバーにデプロイして、デバイス ライトバックを有効にする場合、フォレスト ルート内に配置しないためには、コンテナーの場所を手動で指定する必要があります。If any build containing the updated Device Options functionality was deployed to a new server and device writeback was enabled, you will need to manually specify the location of the container if you do not want it in the forest root. これを行うには、[ライトバック フォレスト] ページで、デバイス ライトバックを無効にして、コンテナーの場所を指定できるように再度有効にする必要があります。To do this, you need to disable device writeback and re-enable it which will allow you to specify the container location on the “Writeback forest” page.

1.2.68.01.2.68.0

リリースの状態Release status

2018 年 11 月 30 日:ダウンロード対象としてリリース済み11/30/2018: Released for download

修正された問題Fixed issues

この修正プログラムのビルドでは、同期サーバー上の MSOnline PowerShell ギャラリー モジュールが独立して存在するため、認証エラーが発生する競合が修正されます。This hotfix build fixes a conflict where an authentication error might occur due to the independent presence of the MSOnline PowerShell Gallery module on the synchronization server.

1.2.67.01.2.67.0

リリースの状態Release status

2018 年 11 月 19 日:ダウンロード対象としてリリース済み11/19/2018: Released for download

修正された問題Fixed issues

この修正プログラムのビルドでは、Windows Server 2008/R2 で ADDS ドメイン コントローラーを使用するとパスワード ライトバックが失敗する前回のビルドでの回帰が修正されます。This hotfix build fixes a regression in the previous build where Password Writeback fails when using an ADDS Domain Controller on Windows Server 2008/R2.

1.2.65.01.2.65.0

リリースの状態Release status

2018 年 10 月 25 日: ダウンロード対象としてリリース済み10/25/2018: released for download

新機能と機能強化New features and improvements

  • ホストされているボイス メールが期待どおりに動作していることを確認するために、属性の書き戻し機能が変更されました。Changed the functionality of attribute write-back to ensure hosted voice-mail is working as expected. 一部のシナリオでは、Azure AD は、null 値での書き戻し中に msExchUcVoicemailSettings 属性を上書きしていました。Under certain scenarios, Azure AD was overwriting the msExchUcVoicemailSettings attribute during write-back with a null value. これで Azure AD は、クラウドの値が設定されていない場合は、この属性のオンプレミスの値をクリアしないようになりました。Azure AD will now no longer clear the on-premises value of this attribute if the cloud value is not set.
  • Azure AD への接続の問題を調査および特定するため、Azure AD Connect ウィザードに診断が追加されました。Added diagnostics in the Azure AD Connect wizard to investigate and identify Connectivity issues to Azure AD. これらと同じ診断は、Test- AdSyncAzureServiceConnectivity コマンドレットを使用して Powershell を介して直接実行することもできます。These same diagnostics can also be run directly through Powershell using the Test- AdSyncAzureServiceConnectivity Cmdlet.
  • AD への接続の問題を調査および特定するため、Azure AD Connect ウィザードに診断が追加されました。Added diagnostics in the Azure AD Connect wizard to investigate and identify Connectivity issues to AD. これらと同じ診断は、ADConnectivityTools Powershell モジュールの Start-ConnectivityValidation 関数を使用して、Powershell を介して直接実行することもできます。These same diagnostics can also be run directly through Powershell using the Start-ConnectivityValidation function in the ADConnectivityTools Powershell module. 詳細については、ADConnectivityTool PowerShell モジュールに関するページを参照してくださいFor more information see What is the ADConnectivityTool PowerShell Module?
  • ハイブリッド Azure Active Directory Join とデバイスの書き戻し用の AD スキーマのバージョンの事前チェックが追加されましたAdded an AD schema version pre-check for Hybrid Azure Active Directory Join and device write-back
  • ディレクトリ拡張ページ属性の検索で大文字と小文字が区別されないように変更されました。Changed the Directory Extension page attribute search to be non-case sensitive.
  • TLS 1.2 の完全なサポートが追加されました。Added full support for TLS 1.2. このリリースでは、Azure AD Connect がインストールされているマシン上で、他のすべてのプロトコルを無効にし、TLS 1.2 のみを有効にすることがサポートされています。This release supports all other protocols being disabled and only TLS 1.2 being enabled on the machine where Azure AD Connect is installed. 詳細については、Azure AD Connect への TLS 1.2 の適用に関するページを参照してくださいFor more information see TLS 1.2 enforcement for Azure AD Connect

修正された問題Fixed issues

  • SQL Always On が使用されている場合に Azure AD Connect のアップグレードが失敗したバグを修正しました。Fixed a bug where Azure AD Connect Upgrade would fail if SQL Always On was being used.
  • スラッシュが含まれている OU 名が正しく解析されるよう、バグを修正しました。Fixed a bug to correctly parse OU names that contain a forward slash.
  • ステージング モードでのクリーン インストールの場合にパススルー認証が無効になる問題を修正しました。Fixed an issue where Pass-Through Authentication would be disabled for a clean install in staging mode.
  • トラブルシューティング ツールの実行中に PowerShell モジュールの読み込みを妨げるバグを修正しましたFixed a bug that prevented the PowerShell module to be loaded when running the Troubleshooting tools
  • 顧客がホスト名の最初の文字に数値を使用できないバグを修正しました。Fixed a bug that would block customers from using numeric values in the first character of a host name.
  • Azure AD Connect が無効なパーティションとコンテナーの選択を許可するバグを修正しましたFixed a bug where Azure AD Connect would allow invalid partitions and container selection
  • デスクトップ SSO が有効になっている場合の「無効なパスワードです」というエラー メッセージを修正しました。Fixed the “Invalid Password” error message when Desktop SSO is enabled.
  • AD FS 信頼管理に関するさまざまなバグの修正Various Bug fixes for AD FS Trust Management
  • デバイスの書き戻しの構成時 - msDs-DeviceContainer オブジェクト クラス (WS2012 R2 で導入) を検索するためのスキーマの確認を修正しましたWhen configuring Device Writeback - fixed the schema check to look for the msDs-DeviceContainer object class (introduced on WS2012 R2)

1.1.882.01.1.882.0

9/7/2018: ダウンロード向けにリリース済み。自動アップグレード向けにはリリース予定なし9/7/2018: released for download, will not be release for auto upgrade

修正された問題Fixed issues

SQL Always On 可用性が ADSync DB に対して構成されている場合に Azure AD Connect のアップグレードが失敗します。Azure AD Connect Upgrade fails if SQL Always On Availability is configured for the ADSync DB. この修正プログラムはこの問題に対処し、アップグレードが成功するようにします。This hotfix addresses this issue and allows Upgrade to succeed.

1.1.880.01.1.880.0

リリースの状態Release status

2018 年 8 月 21 日:ダウンロードと自動アップグレード向けにリリース済み。8/21/2018: Released for download and auto upgrade.

新機能と機能強化New features and improvements

  • Azure AD Connect の Ping Federate 統合が一般提供となりました。The Ping Federate integration in Azure AD Connect is now available for General Availability. Azure AD と Ping Federate のフェデレーションについて詳しくは、こちらをご覧くださいLearn more about how to federated Azure AD with Ping Federate
  • Azure AD Connect は、Azure AD 信頼のバックアップを更新のたびに AD FS に作成し、さらに、必要に応じて簡単に復元できるよう別個のファイルにそれを格納するようになりました。Azure AD Connect now creates the backup of Azure AD trust in AD FS every time an update is made and stores it in a separate file for easy restore if required. Azure AD Connect における Azure AD の信頼管理と新機能の詳細をご覧くださいLearn more about the new functionality and Azure AD trust management in Azure AD Connect.
  • 通常の電子メール アドレスを変更したり、グローバル アドレス一覧に対してアカウントを非表示にしたりする際に発生した問題のトラブルシューティングを支援するトラブルシューティング ツールが導入されました。New troubleshooting tooling helps troubleshoot changing primary email address and hiding account from global address list
  • Azure AD Connect が更新されて、最新の SQL Server 2012 Native Client が追加されました。Azure AD Connect was updated to include the latest SQL Server 2012 Native Client
  • [ユーザー サインインの変更] タスクで、ユーザーのサインインをパスワード ハッシュ同期またはパススルー認証に切り替えたとき、[シームレスなシングル サインオン] チェック ボックスが既定で有効になります。When you switch user sign-in to Password Hash Synchronization or Pass-through Authentication in the "Change user sign-in" task, the Seamless Single Sign-On checkbox is enabled by default.
  • Windows Server Essentials 2019 のサポートが追加されましたAdded support for Windows Server Essentials 2019
  • Azure AD Connect Health エージェントが最新バージョンの 3.1.7.0 に更新されましたThe Azure AD Connect Health agent was updated to the latest version 3.1.7.0
  • アップグレード中、既定の同期規則に対する変更をインストーラーが検出した場合、変更された規則を上書きする前に、管理者に警告が表示されます。During an upgrade, if the installer detects changes to the default sync rules, the admin is prompted with a warning before overwriting the modified rules. ユーザーは是正措置を講じたうえで、後から再開することができます。This will allow the user to take corrective actions and resume later. 従来は、標準の規則に変更が加えられていた場合、それらの規則は、ユーザーへの警告なしで手動アップグレードによって上書きされ、同期スケジューラは、ユーザーへの通知なしで無効にされていました。Old Behavior: If there was any modified out-of-box rule then manual upgrade was overwriting those rules without giving any warning to the user and sync scheduler was disabled without informing user. 今後は、標準の同期規則に変更が加えられていた場合、それらを上書きする前にユーザーに警告が表示されます。New Behavior: User will be prompted with warning before overwriting the modified out-of-box sync rules. ユーザーはアップグレード処理を停止し、是正措置を講じたうえで後から再開することができます。User will have choice to stop the upgrade process and resume later after taking corrective action.
  • FIPS への準拠に関する問題の処理能力が向上しました。FIPS に準拠している環境で MD5 ハッシュ生成のエラー メッセージが表示されるようになったほか、この問題の回避策を記載したドキュメントへのリンクが提供されます。Provide a better handling of a FIPS compliance issue, providing an error message for MD5 hash generation in a FIPS compliant environment and a link to documentation that provides a work around for this issue.
  • ウィザードのフェデレーション関連タスクの改善を図るために UI が更新されています。これらのタスクは、フェデレーション用の独立したサブ グループに表示されます。UI update to improve federation tasks in the wizard, which are now under a separate sub group for federation.
  • フェデレーション関連の追加タスクはすべて、使いやすいよう単一のサブメニューにグループ化されています。All federation additional tasks are now grouped under a single sub-menu for ease of use.
  • 新しく改良された ADSyncConfig Posh Module (AdSyncConfig.psm1) と新しい AD Permissions 機能が、以前の ADSyncPrep.psm1 (間もなく非推奨となる予定) から移動されましたA new revamped ADSyncConfig Posh Module (AdSyncConfig.psm1) with new AD Permissions functions moved from the old ADSyncPrep.psm1 (which may be deprecated shortly)

修正された問題Fixed issues

  • .NET 4.7.2 へのアップグレード後に AAD Connect サーバーで高い CPU 使用率が表示されるバグを修正しましたFixed a bug where the AAD Connect server would show high CPU usage after upgrading to .NET 4.7.2
  • 自動的に解決された SQL デッドロックの問題に関して、エラー メッセージが断続的に生成されるバグを修正しましたFixed a bug that would intermittently produce an error message for an auto-resolved SQL deadlock issue
  • Sync Rules Editor と Sync Service Manager のアクセシビリティに関するいくつかの問題を修正しましたFixed several accessibility issues for the Sync Rules Editor and the Sync Service Manager
  • Azure AD Connect がレジストリ設定情報を取得できないバグを修正しましたFixed a bug where Azure AD Connect can not get registry setting information
  • ウィザードでユーザーが前後に移動する際の問題を引き起こしていたバグを修正しましたFixed a bug that created issues when the user goes forward/back in the wizard
  • ウィザード内でのマルチスレッド処理の誤りに起因したエラーの発生を防ぐためにバグを修正しましたFixed a bug to prevent an error happening due to incorrect multi-thread handing in the wizard
  • Group Sync Filtering ページでセキュリティ グループを解決する際に LDAP エラーが発生した場合、詳細な情報を忠実に含んだ例外が Azure AD Connect から返されるようになりました。When Group Sync Filtering page encounters an LDAP error when resolving security groups, Azure AD Connect now returns the exception with full fidelity. 紹介例外の根本的な原因はまだ不明であり、別のバグで対処される予定です。The root cause for the referral exception is still unknown and will be addressed by a different bug.
  • STK キーと NGC キー (WHfB のユーザー/デバイス オブジェクトの ms-DS-KeyCredentialLink 属性) のアクセス許可が正しく設定されないバグを修正しました。Fixed a bug where permissions for STK and NGC keys (ms-DS-KeyCredentialLink attribute on User/Device objects for WHfB) were not correctly set.
  • "Set-ADSyncRestrictedPermissions" が正しく呼び出されないバグを修正しましたFixed a bug where 'Set-ADSyncRestrictedPermissions’ was not called correctly
  • AADConnect のインストール ウィザードで、グループの書き戻しに対するアクセス許可を付与できるようになりましたAdding support for permission granting on Group Writeback in AADConnect's installation wizard
  • サインイン方法をパスワード ハッシュ同期から AD FS に変更してもパスワード ハッシュ同期が無効になりませんでした。When changing sign in method from Password Hash Sync to AD FS, Password Hash Sync was not disabled.
  • AD FS の構成で IPv6 アドレスの検証を追加しましたAdded verification for IPv6 addresses in AD FS configuration
  • 既存の構成が存在することを知らせるための通知メッセージを更新しました。Updated the notification message to inform that an existing configuration exists.
  • デバイス ライトバックで、信頼されていないフォレストのコンテナーを検出することはできません。Device writeback fails to detect container in untrusted forest. この点について、エラー メッセージと適切なドキュメントへのリンクを提供するように更新しましたThis has been updated to provide a better error message and a link to the appropriate documentation
  • OU の選択を解除すると、その OU に対応する同期/書き戻しで一般的な同期エラーが発生します。Deselecting an OU and then synchronization/writeback corresponding to that OU gives a generic sync error. この点について、もっと理解しやすいエラー メッセージが表示されるように変更されています。This has been changed to create a more understandable error message.

1.1.819.01.1.819.0

リリースの状態Release status

2018 年 5 月 14 日:自動アップグレードとダウンロード向けにリリース済み。5/14/2018: Released for auto upgrade and download.

新機能と機能強化New features and improvements

新機能と機能強化New features and improvements

  • このリリースには、Azure AD Connect での PingFederate の統合のパブリック プレビューが含まれます。This release includes the public preview of the integration of PingFederate in Azure AD Connect. このリリースでは、PingFederate をフェデレーション プロバイダーとして使用するように Azure Active Directory 環境を簡単かつ確実に構成できます。With this release, customers can easily, and reliably configure their Azure Active Directory environment to leverage PingFederate as their federation provider. この新しい機能を使用する方法の詳細については、こちらのオンライン ドキュメントを参照してください。To learn more about how to use this new feature, please visit our online documentation.
  • Azure AD Connect ウィザードのトラブルシューティング ユーティリティが更新され、分析されるエラー シナリオが増えました (リンクされたメールボックスや AD の動的グループなど)。Updated the Azure AD Connect Wizard Troubleshooting Utility, where it now analyzes more error scenario’s, such as Linked Mailboxes and AD Dynamic Groups. トラブルシューティング ユーティリティの詳細については、こちらを参照してください。Read more about the troubleshooting utility here.
  • デバイスの書き戻しの構成は、Azure AD Connect ウィザード内でのみ管理されるようになりました。Device Writeback configuration is now managed solely within the Azure AD Connect Wizard.
  • SQL 接続の問題とその他のさまざまなトラブルシューティング ユーティリティをトラブルシューティングするために使用できる ADSyncTools.psm1 という名前の新しい PowerShell モジュールが追加されました。A new PowerShell Module called ADSyncTools.psm1 is added that can be used to troubleshoot SQL Connectivity issues and various other troubleshooting utilities. ADSyncTools モジュールの詳細については、こちらを参照してください。Read more about the ADSyncTools module here.
  • 新しいタスクである "デバイス オプションの構成" が追加されました。A new additional task “Configure device options” has been added. このタスクを使用して、次の 2 つの操作を構成できます。You can use the task to configure the following two operations:
    • Hybrid Azure AD 参加:環境にオンプレミスの AD フットプリントがあるときに、Azure Active Directory が提供する機能も活用したい場合は、ハイブリッド Azure AD 参加済みデバイスを実装できます。Hybrid Azure AD join: If your environment has an on-premises AD footprint and you also want benefit from the capabilities provided by Azure Active Directory, you can implement hybrid Azure AD joined devices. これらのデバイスは、オンプレミスの Active Directory と Azure Active Directory の両方に参加しているデバイスです。These are devices that are both, joined to your on-premises Active Directory and your Azure Active Directory.

    • デバイス ライトバック:デバイス ライトバックを使うと、AD FS (2012 R2 以降) で保護されているデバイスへの、デバイスに基づく条件付きアクセスを有効にできます。Device writeback: Device writeback is used to enable Conditional Access based on devices to AD FS (2012 R2 or higher) protected devices

      注意

      • 同期カスタマイズ オプションからデバイスの書き戻しを有効にするオプションはグレー表示されます。The option to enable device writeback from Customize synchronization options will be greyed out.
      • このリリースでは、ADPrep の PowerShell モジュールは非推奨になりました。The PowerShell module for ADPrep is deprecated with this release.

修正された問題Fixed issues

  • このリリースでは、SQL Server 2012 SP4 への SQL Server Express のインストールを更新します。とりわけ、複数のセキュリティの脆弱性の修正プログラムを提供します。This release updates the SQL Server Express installation to SQL Server 2012 SP4, which, among others, provides fixes for several security vulnerabilities. SQL Server 2012 SP4 の詳細については、こちらを参照してください。Please see here for more information about SQL Server 2012 SP4.
  • 同期ルールの処理: 親同期規則が適用可能でなくなった場合、結合条件のない送信結合同期規則は適用されないSync Rule Processing: outbound Join sync rules with no Join Condition should be de-applied if the parent sync rule is no longer applicable
  • 複数のアクセシビリティの修正が Synchronization Service Manager の UI と Sync Rules Editor に適用されているSeveral accessibility fixes have been applied to the Synchronization Service Manager UI and the Sync Rules Editor
  • Azure AD Connect ウィザード:Azure AD Connect がワークグループに含まれている場合の AD Connect アカウント作成エラーAzure AD Connect Wizard: Error creating AD Connector account when Azure AD Connect is in a workgroup
  • Azure AD Connect ウィザード:AD ドメインと Azure AD の確認済みドメインが食い違う場合に常にAzure AD サインイン ページに検証チェックボックスが表示されるAzure AD Connect Wizard: On the Azure AD Sign-in page display the verification checkbox whenever there is any mismatch in AD domains and Azure AD Verified domains
  • 自動アップグレードの試行後、特定の状況で自動アップグレードの状態を正しく設定するように自動アップグレード PowerShell を修正Auto-upgrade PowerShell fix to set auto upgrade state correctly in certain cases after auto upgrade attempted.
  • Azure AD Connect ウィザード:前回見逃していた情報を取り込むようにテレメトリを更新Azure AD Connect Wizard: Updated telemetry to capture previously missing information
  • Azure AD Connect ウィザード:AD FS からパススルー認証に切り替えるためにユーザー サインインの変更タスクを使用するときに、次の変更が加えられています。Azure AD Connect Wizard: The following changes have been made when you use the Change user sign-in task to switch from AD FS to Pass-through Authentication:
    • ドメインをフェデレーションから管理対象に変換する前に、Azure AD Connect サーバーにパススルー認証エージェントがインストールされ、パススルー認証機能が有効になります。The Pass-through Authentication Agent is installed on the Azure AD Connect server and the Pass-through Authentication feature is enabled, before we convert domain(s) from federated to managed.
    • ユーザーがフェデレーションから管理対象に変換されることはなくなります。Users are no longer converted from federated to managed. ドメインのみが変換されます。Only domain(s) are converted.
  • Azure AD Connect ウィザード:ユーザーの UPN に特殊文字がある場合、AD FS マルチドメイン Regex が正確ではない。特殊文字をサポートするように Regex を更新Azure AD Connect Wizard: AD FS Multi Domain Regex is not correct when user UPN has ' special character Regex update to support special characters
  • Azure AD Connect ウィザード:変更がない場合の偽の "ソース アンカー属性を構成します" メッセージを削除Azure AD Connect Wizard: Remove spurious "Configure source anchor attribute" message when no change
  • Azure AD Connect ウィザード:AD FS でデュアル フェデレーション シナリオをサポートAzure AD Connect Wizard: AD FS support for the dual federation scenario
  • Azure AD Connect ウィザード:管理対象ドメインのフェデレーションへの変換時に追加されたドメインでは AD FS 要求は更新されないAzure AD Connect Wizard: AD FS Claims are not updated for added domain when converting a managed domain to federated
  • Azure AD Connect ウィザード:インストール済みのパッケージの検出中に古い Dirsync/Azure AD Sync/Azure AD Connect 関連製品が検出される。Azure AD Connect Wizard: During detection of installed packages, we find stale Dirsync/Azure AD Sync/Azure AD Connect related products. 今後、古い製品がアンインストールされるように修正We will now attempt to uninstall the stale products.
  • Azure AD Connect ウィザード:パススルー認証エージェントのインストールが失敗した場合のエラー メッセージのマッピングを修正Azure AD Connect Wizard: Correct Error Message Mapping when installation of passthrough authentication agent fails
  • Azure AD Connect ウィザード:[ドメインと OU のフィルタリング] ページから "構成" コンテナーを削除Azure AD Connect Wizard: Removed "Configuration" container from Domain OU Filtering page
  • 同期エンジンのインストール: 失敗することがある不要なレガシ ロジックを同期エンジンのインストール msi から削除Sync Engine install: remove unnecessary legacy logic that occasionally failed from Sync Engine install msi
  • Azure AD Connect ウィザード:パスワード ハッシュ同期の [オプション機能] ページのポップアップ ヘルプ テキストを修正Azure AD Connect Wizard: Fix popup help text on Optional Features page for Password Hash Sync
  • 同期エンジン ランタイム:CS オブジェクトに削除がインポートされているときに同期規則がそのオブジェクトの再プロビジョニングを試行するシナリオを修正Sync Engine runtime: Fix the scenario where a CS object has an imported delete and Sync Rules attempt to re-provision the object.
  • 同期エンジン ランタイム:インポート エラーのイベント ログにオンライン接続トラブルシューティング ガイドへのリンクを追加Sync Engine runtime: Add help link for Online connectivity troubleshooting guide to the event log for an Import Error
  • 同期エンジン ランタイム:コネクタの列挙時に同期スケジューラが使用するメモリの量を削減Sync Engine runtime: Reduced memory usage of Sync Scheduler when enumerating Connectors
  • Azure AD Connect ウィザード:AD 読み取り特権がないカスタム同期サービス アカウントの解決問題を修正Azure AD Connect Wizard: Fix an issue resolving a custom Sync Service Account which has no AD Read privileges
  • Azure AD Connect ウィザード:ドメインと OU の選択内容のログ記録を改善Azure AD Connect Wizard: Improve logging of Domain and OU filtering selections
  • Azure AD Connect ウィザード:MFA シナリオ用に作成されたフェデレーションの信頼に AD FS の既定の要求を追加Azure AD Connect Wizard: AD FS Add default claims to federation trust created for MFA scenario
  • Azure AD Connect ウィザード:AD FS デプロイ WAP:新しい証明書を使用するサーバーの追加が失敗するAzure AD Connect Wizard: AD FS Deploy WAP: Adding server fails to use new certificate
  • Azure AD Connect ウィザード:onPremCredentials がドメインに対して初期化されていない場合に DSSO 例外が発生Azure AD Connect Wizard: DSSO exception when onPremCredentials aren't initialized for a domain
  • アクティブなユーザー オブジェクトから AD の distinguishedName属性を優先的にフローPreferentially flow the AD distinguishedName attribute from the Active User object.
  • 最初の OOB の同期ルールの優先順位が 100 ではなく 99 に設定される表面的なバグを修正Fixed a cosmetic bug were the Precedence of the first OOB Sync Rule was set to 99 instead of 100

1.1.751.01.1.751.0

状態: 2018 年 4 月 12 日:ダウンロード用のみにリリース済みStatus 4/12/2018: Released for download only

注意

このリリースは Azure AD Connect の修正プログラムですThis release is a hotfix for Azure AD Connect

Azure AD Connect SyncAzure AD Connect sync

修正された問題Fixed issues

中国のテナント用の Azure の自動インスタンス検出が失敗することがある問題が修正されました。Corrected an issue were automatic Azure instance discovery for China tenants was occasionally failing.

AD FS の管理AD FS Management

修正された問題Fixed issues

構成再試行ロジックに問題があり、"同一のキーを含む項目が既に追加されています" を示す ArgumentException が発生していました。There was a problem in the configuration retry logic that would result in an ArgumentException stating “an item with the same key has already been added.” これにより、再試行操作がすべて失敗します。This would cause all retry operations to fail.

1.1.750.01.1.750.0

状態: 2018 年 3 月 22 日:自動アップグレードとダウンロード向けにリリース済み。Status 3/22/2018: Released for auto-upgrade and download.

注意

この新しいバージョンへのアップグレードが完了すると、Azure AD コネクタの完全同期とフル インポート、および AD コネクタの完全同期が自動的にトリガーされます。When the upgrade to this new version completes, it will automatically trigger a full sync and full import for the Azure AD connector and a full sync for the AD connector. Azure AD Connect 環境のサイズによっては、これには時間がかかる場合があるため、これに対応できるように必要な手順を確実に実施していることを確認してください。また、好都合なタイミングが見つかるまでアップグレードを見合わせるようにしてください。Since this may take some time, depending on the size of your Azure AD Connect environment, make sure that you have taken the necessary steps to support this or hold off on upgrading until you have found a convenient moment to do so.

注意

“1.1.524.0 より後にビルドをデプロイしたテナントの一部で、AutoUpgrade 機能が間違って無効化されました。“AutoUpgrade functionality was incorrectly disabled for some tenants who deployed builds later than 1.1.524.0. Azure AD Connect インスタンスで引き続き AutoUpgrade 機能が適用されるように、PowerShell コマンドレット "Set-ADSyncAutoUpgrade -AutoupGradeState Enabled" を実行してください。To ensure that your Azure AD Connect instance is still eligible for AutoUpgrade, run the following PowerShell cmdlet: “Set-ADSyncAutoUpgrade -AutoupGradeState Enabled”

Azure AD ConnectAzure AD Connect

修正された問題Fixed issues

  • 自動アップグレードの状態が一時停止に設定されている場合に、Set-ADSyncAutoUpgrade コマンドレットによって Autoupgrade がブロックされます。Set-ADSyncAutoUpgrade cmdlet would previously block Autoupgrade if auto-upgrade state is set to Suspended. この機能は変更されました。将来のビルドでは AutoUpgrade はブロックされません。This functionality has now changed so it does not block AutoUpgrade of future builds.
  • ユーザー サインイン ページの "パスワード同期" オプションが "パスワード ハッシュの同期" オプションに変更されました。Changed the User Sign-in page option "Password Synchronization" to "Password Hash Synchronization". Azure AD Connect ではパスワードではなくパスワード ハッシュが同期されるため、この変更は実際の動作と一致しています。Azure AD Connect synchronizes password hashes, not passwords, so this aligns with what is actually occurring. 詳細については、「Azure AD Connect 同期を使用したパスワード ハッシュ同期の実装」を参照してください。For more information see Implement password hash synchronization with Azure AD Connect sync

1.1.749.01.1.749.0

状態:一部のお客様にリリースStatus: Released to select customers

注意

この新しいバージョンへのアップグレードが完了すると、Azure AD コネクタの完全同期とフル インポート、および AD コネクタの完全同期が自動的にトリガーされます。When the upgrade to this new version completes, it will automatically trigger a full sync and full import for the Azure AD connector and a full sync for the AD connector. Azure AD Connect 環境のサイズによっては、これには時間がかかる場合があるため、これに対応できるように必要な手順を確実に実施していることを確認してください。また、好都合なタイミングが見つかるまでアップグレードを見合わせるようにしてください。Since this may take some time, depending on the size of your Azure AD Connect environment, please make sure that you have taken the necessary steps to support this or hold off on upgrading until you have found a convenient moment to do so.

Azure AD ConnectAzure AD Connect

修正された問題Fixed issues

  • 次のページに切り替えるときの、パーティション フィルター処理ページのバック グラウンド タスクにおけるタイミング ウィンドウの修正。Fix timing window on background tasks for Partition Filtering page when switching to next page.

  • ConfigDB カスタム アクションの実行中にアクセス違反を引き起こしていたバグを修正しましたFixed a bug that caused Access violation during the ConfigDB custom action.

  • SQL 接続のタイムアウトから復旧できるようにバグを修正しました。Fixed a bug to recover from SQL connection timeout.

  • SAN ワイルドカードを含む証明書で前提条件の確認に失敗するというバグを修正しました。Fixed a bug where certificates with SAN wildcards failed a prerequisite check.

  • Azure AD コネクタのエクスポート中に miiserver.exe がクラッシュするというバグを修正しました。Fixed a bug which causes miiserver.exe to crash during an Azure AD connector export.

  • Azure AD Connect ウィザードを実行しているときに DC に間違ったパスワードの試行が記録されると構成が変更されるというバグを修正しました。Fixed a bug which bad password attempt logged on DC when running the Azure AD Connect wizard to change configuration.

新機能と機能強化New features and improvements

  • 一般データ保護規則 (GDPR) のプライバシー設定の追加。Adding Privacy Settings for the General Data Protection Regulation (GDPR). 詳しくは、こちらの記事をご覧ください。For more information see the article here.

注意

この記事は、デバイスまたはサービスから個人用データを削除する手順について説明しており、GDPR での義務を果たすために使用できます。This article provides steps for how to delete personal data from the device or service and can be used to support your obligations under the GDPR. GDPR に関する全般情報については、Service Trust ポータルの GDPR に関するセクションをご覧ください。If you’re looking for general info about GDPR, see the GDPR section of the Service Trust portal.

  • アプリケーション テレメトリ - このデータ クラスのオン/オフは、管理者が任意に切り替えることができますapplication telemetry - admin can switch this class of data on/off at will

  • Azure AD の正常性データ - 正常性の設定を制御するには、管理者が正常性ポータルにアクセスする必要があります。Azure AD Health data - admin must visit the health portal to control their health settings. サービス ポリシーが変更された場合、エージェントがこれを読み取って強制します。Once the service policy has been changed, the agents will read and enforce it.

  • デバイスの書き戻し構成アクションと、ページの初期化の進行状況バーを追加しましたAdded device write-back configuration actions and a progress bar for page initialization

  • HTML レポートでの一般的な診断と、ZIP テキスト/HTML レポートの完全なデータ コレクションが向上しましたImproved General Diagnostics with HTML report and full data collection in a ZIP-Text / HTML Report

  • 自動アップグレードの信頼性が向上しました。また、サーバーの正常性を確認できるように、テレメトリを追加しましたImproved the reliability of auto upgrade and added additional telemetry to ensure the health of the server can be determined

  • AD コネクタ アカウントの特権アカウントで使用できるアクセス許可の制限Restrict permissions available to privileged accounts on AD Connector account

    • 新規インストールの場合、MSOL アカウントの作成後に特権アカウントが MSOL アカウントに対して持つアクセス許可がウィザードによって制限されます。For new installations, the wizard will restrict the permissions that privileged accounts have on the MSOL account after creating the MSOL account.

変更により、次に対応します。The changes will take care of following:

  1. 高速インストールExpress Installations
  2. 自動作成アカウントでのカスタム インストールCustom Installations with Auto-Create account
  3. Azure AD Connect のクリーン インストールで SA 特権が求められないようにインストーラーを変更しましたChanged the installer so it doesn't require SA privilege on clean install of Azure AD Connect
  • 特定のオブジェクトの同期に関する問題のトラブルシューティングを行う新しいユーティリティを追加しました。Added a new utility to troubleshoot synchronization issues for a specific object. これは、Azure AD Connect ウィザードのトラブルシューティングの追加タスクにある "オブジェクトの同期のトラブルシューティング" オプションで使用できます。It is available under 'Troubleshoot Object Synchronization' option of Azure AD Connect Wizard Troubleshoot Additional Task. 現時点では、このユーティリティは以下を確認します。Currently, the utility checks for the following:

    • 同期されたユーザー オブジェクトと Azure AD テナントのユーザー アカウントの間の UserPrincipalName の不一致。UserPrincipalName mismatch between synchronized user object and the user account in Azure AD Tenant.
    • ドメインのフィルター処理によって、オブジェクトが同期からフィルター処理されているかどうかIf the object is filtered from synchronization due to domain filtering
    • 組織単位 (OU) のフィルター処理によって、オブジェクトが同期からフィルター処理されているかどうかIf the object is filtered from synchronization due to organizational unit (OU) filtering
  • 特定のユーザー アカウントを対象に、オンプレミス Active Directory に格納されている現在のパスワード ハッシュを同期する新しいユーティリティを追加しました。Added a new utility to synchronize the current password hash stored in the on-premises Active Directory for a specific user account.

このユーティリティでは、パスワードの変更は必要ありません。The utility does not require a password change. これは、Azure AD Connect ウィザードのトラブルシューティングの追加タスクにある "パスワード ハッシュの同期のトラブルシューティング" オプションで使用できます。It is available under 'Troubleshoot Password Hash Synchronization' option of Azure AD Connect Wizard Troubleshoot Additional Task.

1.1.654.01.1.654.0

状態:2017 年 12 月 12 日Status: December 12th, 2017

注意

このリリースは、Azure AD Connect のセキュリティに関連する修正プログラムですThis release is a security related hotfix for Azure AD Connect

Azure AD ConnectAzure AD Connect

Azure AD Connect バージョン 1.1.654.0 (以降) が強化され、Azure AD Connect が AD DS アカウントを作成するときに「AD DS アカウントへのアクセスのロックダウン」のセクションで説明されている推奨されるアクセス許可の変更が自動的に適用されます。An improvement has been added to Azure AD Connect version 1.1.654.0 (and after) to ensure that the recommended permission changes described under section Lock down access to the AD DS account are automatically applied when Azure AD Connect creates the AD DS account.

  • Azure AD Connect をセットアップするときにインストールを実行する管理者は、既存の AD DS アカウントを指定するか、Azure AD Connect でアカウントを自動的に作成できます。When setting up Azure AD Connect, the installing administrator can either provide an existing AD DS account, or let Azure AD Connect automatically create the account. アクセス許可の変更は、セットアップ中に Azure AD Connect によって作成される AD DS アカウントに自動的に適用されます。The permission changes are automatically applied to the AD DS account that is created by Azure AD Connect during setup. インストールを実行する管理者が指定した既存の AD DS アカウントには適用されません。They are not applied to existing AD DS account provided by the installing administrator.
  • 以前のバージョンの Azure AD Connect から 1.1.654.0 (またはそれ以降) にアップグレードしたお客様の場合、アクセス許可の変更は、アップグレードの前に作成された既存の AD DS アカウントにさかのぼって適用されません。For customers who have upgraded from an older version of Azure AD Connect to 1.1.654.0 (or after), the permission changes will not be retroactively applied to existing AD DS accounts created prior to the upgrade. アップグレード後に作成された新しい AD DS アカウントにのみ適用されます。They will only be applied to new AD DS accounts created after the upgrade. これは、Azure AD に同期する新しい AD フォレストを追加するときに行われます。This occurs when you are adding new AD forests to be synchronized to Azure AD.

注意

このリリースでは、サービス アカウントがインストール プロセスによって作成される Azure AD Connect の新規インストールに対してのみ脆弱性が除去されます。This release only removes the vulnerability for new installations of Azure AD Connect where the service account is created by the installation process. 既存のインストールの場合、または自分でアカウントを指定する場合は、この脆弱性が存在しないことを確認する必要があります。For existing installations, or in cases where you provide the account yourself, you should ensure that this vulnerability does not exist.

AD DS アカウントへのアクセスのロックダウンLock down access to the AD DS account

オンプレミスの AD で次のアクセス許可の変更を実装して、AD DS アカウントへのアクセスをロックダウンします。Lock down access to the AD DS account by implementing the following permission changes in the on-premises AD:

  • 指定したオブジェクトの継承を無効にしますDisable inheritance on the specified object
  • SELF に固有の ACE を除き、特定のオブジェクトのすべての ACE を削除します。Remove all ACEs on the specific object, except ACEs specific to SELF. SELF については、既定のアクセス許可を維持します。We want to keep the default permissions intact when it comes to SELF.
  • 以下の特定のアクセス許可を割り当てます。Assign these specific permissions:
TypeType 名前Name AccessAccess 適用対象Applies To
AllowAllow SYSTEMSYSTEM フル コントロールFull Control このオブジェクトThis object
AllowAllow Enterprise AdminsEnterprise Admins フル コントロールFull Control このオブジェクトThis object
AllowAllow Domain AdminsDomain Admins フル コントロールFull Control このオブジェクトThis object
AllowAllow 管理者Administrators フル コントロールFull Control このオブジェクトThis object
AllowAllow Enterprise Domain ControllersEnterprise Domain Controllers コンテンツの一覧List Contents このオブジェクトThis object
AllowAllow Enterprise Domain ControllersEnterprise Domain Controllers すべてのプロパティの読み取りRead All Properties このオブジェクトThis object
AllowAllow Enterprise Domain ControllersEnterprise Domain Controllers 読み取りのアクセス許可Read Permissions このオブジェクトThis object
AllowAllow Authenticated UsersAuthenticated Users コンテンツの一覧List Contents このオブジェクトThis object
AllowAllow Authenticated UsersAuthenticated Users すべてのプロパティの読み取りRead All Properties このオブジェクトThis object
AllowAllow Authenticated UsersAuthenticated Users 読み取りのアクセス許可Read Permissions このオブジェクトThis object

AD DS アカウントの設定を強化するために、この PowerShell スクリプトを実行できます。To tighten the settings for the AD DS account you can run this PowerShell script. PowerShell スクリプトでは、AD DS アカウントに上記のアクセス許可が割り当てられます。The PowerShell script will assign the permissions mentioned above to the AD DS account.

既存のサービス アカウントを強化する PowerShell スクリプトPowerShell script to tighten a pre-existing service account

PowerShell スクリプトを使用して、(組織で指定した、または Azure AD Connect の以前のインストールによって作成された) 既存の AD DS アカウントにこれらの設定を適用するには、上記のリンクからスクリプトをダウンロードしてください。To use the PowerShell script, to apply these settings, to a pre-existing AD DS account, (ether provided by your organization or created by a previous installation of Azure AD Connect, please download the script from the provided link above.

用途:Usage:
Set-ADSyncRestrictedPermissions -ObjectDN <$ObjectDN> -Credential <$Credential>

WhereWhere

$ObjectDN = アクセス許可のセキュリティを強化する必要がある Active Directory アカウント。$ObjectDN = The Active Directory account whose permissions need to be tightened.

$Credential = $ObjectDN アカウントに対するアクセス許可を制限するために必要な権限を持つ管理者資格情報。$Credential = Administrator credential that has the necessary privileges to restrict the permissions on the $ObjectDN account. 通常、これらの権限はエンタープライズ管理者またはドメイン管理者が持っています。These privileges are typically held by the Enterprise or Domain administrator. アカウント参照の失敗を回避するには、管理者アカウントの完全修飾ドメイン名を使用します。Use the fully qualified domain name of the administrator account to avoid account lookup failures. 例: contoso.com\admin。Example: contoso.com\admin.

注意

$credential.UserName は FQDN\username 形式である必要があります。$credential.UserName should be in FQDN\username format. 例: contoso.com\adminExample: contoso.com\admin

例:Example:
Set-ADSyncRestrictedPermissions -ObjectDN "CN=TestAccount1,CN=Users,DC=bvtadwbackdc,DC=com" -Credential $credential 

この脆弱性が未承認のアクセスに使用されたかWas this vulnerability used to gain unauthorized access?

この脆弱性が Azure AD Connect 構成の侵害に使用されたかどうかを確認するには、サービス アカウントのパスワードが最後にリセットされた日付を確認する必要があります。To see if this vulnerability was used to compromise your Azure AD Connect configuration you should verify the last password reset date of the service account. 予期しないタイムスタンプがある場合は、イベント ログでそのパスワードのリセット イベントをさらに調査する必要があります。If the timestamp in unexpected, further investigation, via the event log, for that password reset event, should be undertaken.

詳しくは、マイクロソフト セキュリティ アドバイザリ 4056318 をご覧くださいFor more information, see Microsoft Security Advisory 4056318

1.1.649.01.1.649.0

状態:2017 年 10 月 27 日Status: October 27 2017

注意

このビルドは、Azure AD Connect の自動アップグレード機能では提供されません。This build is not available to customers through the Azure AD Connect Auto Upgrade feature.

Azure AD ConnectAzure AD Connect

修正された問題Fixed issue

  • Azure AD Connect と Azure AD Connect Health エージェント (同期用) 間の、バージョンの互換性に関する問題が修正されました。Fixed a version compatibility issue between Azure AD Connect and Azure AD Connect Health Agent (for sync). この問題は、Azure AD Connect のバージョン 1.1.647.0 へのインプレース アップグレードを実行していて、現在の Health Agent のバージョンが 3.0.127.0 である場合に影響があります。This issue affects customers who are performing Azure AD Connect in-place upgrade to version 1.1.647.0, but currently has Health Agent version 3.0.127.0. アップグレード後に、Health Agent は Azure AD Connect 同期サービスについての正常性データを Azure AD ヘルス サービスに送信できなくなります。After the upgrade, the Health Agent can no longer send health data about Azure AD Connect Synchronization Service to Azure AD Health Service. この修正により、Azure AD Connect のインプレース アップグレード中に Health Agent バージョン 3.0.129.0 がインストールされます。With this fix, Health Agent version 3.0.129.0 is installed during Azure AD Connect in-place upgrade. Health Agent バージョン 3.0.129.0 には、Azure AD Connect バージョン 1.1.649.0 との互換性の問題はありません。Health Agent version 3.0.129.0 does not have compatibility issue with Azure AD Connect version 1.1.649.0.

1.1.647.01.1.647.0

状態:2017 年 10 月 19 日Status: October 19 2017

重要

Azure AD Connect バージョン 1.1.647.0 と Azure AD Connect Health エージェント (同期用) バージョン 3.0.127.0 間で、互換性に関する既知の問題があります。There is a known compatibility issue between Azure AD Connect version 1.1.647.0 and Azure AD Connect Health Agent (for sync) version 3.0.127.0. この問題によって、Health エージェントは、Azure AD Connect 同期サービスに関する正常性データ (オブジェクト同期エラーと実行履歴データを含む) を Azure AD Health サービスに送信できません。This issue prevents the Health Agent from sending health data about the Azure AD Connect Synchronization Service (including object synchronization errors and run history data) to Azure AD Health Service. Azure AD Connect のデプロイをバージョン 1.1.647.0 に手動でアップグレードする前に、Azure AD Connect サーバーにインストールされている Azure AD Connect Health エージェントの現在のバージョンを確認してください。Before manually upgrading your Azure AD Connect deployment to version 1.1.647.0, please verify the current version of Azure AD Connect Health Agent installed on your Azure AD Connect server. これを実行するには、 [コントロール パネル]→[プログラムの追加と削除] の順に選択し、 [Microsoft Azure AD Connect Health Agent for Sync](同期用 Microsoft Azure AD Connect Health エージェント) のアプリケーションを探します。このバージョンが 3.0.127.0 の場合は、Azure AD Connect の次のバージョンが利用可能になってからアップグレードすることをお勧めします。You can do so by going to Control Panel → Add Remove Programs and look for application Microsoft Azure AD Connect Health Agent for Sync. If its version is 3.0.127.0, it is recommended that you wait for the next Azure AD Connect version to be available before upgrade. Health エージェントのバージョンが 3.0.127.0 でない場合は、手動でインプレース アップグレードを続行できます。If the Health Agent version isn't 3.0.127.0, it is fine to proceed with the manual, in-place upgrade. この問題は、スウィング アップデートや、Azure AD Connect の新しいインストールを実行しているお客様には影響しません。Note that this issue does not affect swing upgrade or customers who are performing new installation of Azure AD Connect.

Azure AD ConnectAzure AD Connect

修正された問題Fixed issues

  • Azure AD Connect ウィザードの [ユーザー サインインの変更] タスクの問題を修正しました。Fixed an issue with the Change user sign-in task in Azure AD Connect wizard:

    • この問題は、Azure AD Connect の既存のデプロイでパスワード同期が有効になっており、ユーザーのサインイン方法をパススルー認証に設定しようとするときに発生します。The issue occurs when you have an existing Azure AD Connect deployment with Password Synchronization enabled, and you are trying to set the user sign-in method as Pass-through Authentication. 変更が適用される前に、ウィザードに "パスワード同期を無効にする" という内容のメッセージが間違って表示されます。Before the change is applied, the wizard incorrectly shows the "Disable Password Synchronization" prompt. ただし、変更が適用された後もパスワード同期は引き続き有効です。However, Password Synchronization remains enabled after the change is applied. この修正により、今後はウィザードでこのメッセージが表示されることはありません。With this fix, the wizard no longer shows the prompt.

    • 仕様上、お客様が [ユーザー サインインの変更] タスクを使用してユーザーのサインイン方法を更新するときに、ウィザードによってパスワード同期が無効化されることはありません。By design, the wizard does not disable Password Synchronization when you update the user sign-in method using the Change user sign-in task. これは、ユーザーの主要なサインイン方法としてパススルー認証またはフェデレーションを有効にする場合でも、パスワード同期を維持する必要があるお客様への中断を避けるためです。This is to avoid disruption to customers who want to keep Password Synchronization, even though they are enabling Pass-through Authentication or federation as their primary user sign-in method.

    • ユーザーのサインイン方法を更新した後にパスワード同期を無効にする場合は、ウィザードで [Customize Synchronization Configuration](同期構成のカスタマイズ) タスクを実行する必要があります。If you wish to disable Password Synchronization after updating the user sign-in method, you must execute the Customize Synchronization Configuration task in the wizard. [Optional features](オプション機能) ページに移動して、 [パスワード同期] オプションをオフにします。When you navigate to the Optional features page, uncheck the Password Synchronization option.

    • シームレス シングル サインオンを有効または無効にしようとする場合にも、同じ問題が発生することに注意してください。Note that the same issue also occurs if you try to enable/disable Seamless Single Sign-On. 特に、Azure AD Connect の既存のデプロイでパスワード同期が有効になっており、ユーザーのサインイン方法が既にパススルー認証に構成されている場合です。Specifically, you have an existing Azure AD Connect deployment with Password Synchronization enabled and the user sign-in method is already configured as Pass-through Authentication. ユーザーのサインイン方法が "パススルー認証" に構成されたままで、 [ユーザー サインインの変更] タスクを使用して、 [Enable Seamless Single Sign-On](シームレス シングル サインオンを有効にする) オプションをオンまたはオフにしようとすると、Using the Change user sign-in task, you try to check/uncheck the Enable Seamless Single Sign-On option while the user sign-in method remains configured as "Pass-through Authentication". 変更が適用される前に、ウィザードに "パスワード同期を無効にする" という内容のメッセージが間違って表示されます。Before the change is applied, the wizard incorrectly shows the "Disable Password Synchronization" prompt. ただし、変更が適用された後もパスワード同期は引き続き有効です。However, Password Synchronization remains enabled after the change is applied. この修正により、今後はウィザードでこのメッセージが表示されることはありません。With this fix, the wizard no longer shows the prompt.

  • Azure AD Connect ウィザードの [ユーザー サインインの変更] タスクの問題を修正しました。Fixed an issue with the Change user sign-in task in Azure AD Connect wizard:

    • この問題は、Azure AD Connect の既存のデプロイでパスワード同期が無効になっており、ユーザーのサインイン方法をパススルー認証に設定しようとしているときに発生します。The issue occurs when you have an existing Azure AD Connect deployment with Password Synchronization disabled, and you are trying to set the user sign-in method as Pass-through Authentication. 変更が適用されるときに、ウィザードによってパススルー認証とパスワード同期の両方が有効になります。When the change is applied, the wizard enables both Pass-through Authentication and Password Synchronization. この修正により、ウィザードでパスワード同期が有効化されなくなりました。With this fix, the wizard no longer enables Password Synchronization.

    • 以前は、パスワード同期は、パススルー認証を有効にするための前提条件でした。Previously, Password Synchronization was a pre-requisite for enabling Pass-through Authentication. ユーザーのサインイン方法をパススルー認証に設定すると、ウィザードによってパススルー認証とパスワード同期の両方が有効化されていました。When you set the user sign-in method as Pass-through Authentication, the wizard would enable both Pass-through Authentication and Password Synchronization. 最近、パスワード同期が前提条件から削除されました。Recently, Password Synchronization was removed as a pre-requisite. Azure AD Connect バージョン 1.1.557.0 の一環として、ユーザーのサインイン方法がパススルー認証に設定される場合に、パスワード同期を有効にしない変更が Azure AD Connect に対して行われました。As part of Azure AD Connect version 1.1.557.0, a change was made to Azure AD Connect to not enable Password Synchronization when you set the user sign-in method as Pass-through Authentication. ただし、この変更は Azure AD Connect のインストールにのみ適用されていました。However, the change was only applied to Azure AD Connect installation. この修正により、同じ変更が [ユーザー サインインの変更] タスクにも適用されます。With this fix, the same change is also applied to the Change user sign-in task.

    • シームレス シングル サインオンを有効または無効にしようとする場合にも、同じ問題が発生することに注意してください。Note that the same issue also occurs if you try to enable/disable Seamless Single Sign-On. 特に、Azure AD Connect の既存のデプロイでパスワード同期が無効になっており、ユーザーのサインイン方法が既にパススルー認証に構成されている場合です。Specifically, you have an existing Azure AD Connect deployment with Password Synchronization disabled and the user sign-in method is already configured as Pass-through Authentication. ユーザーのサインイン方法が "パススルー認証" に構成されたままで、 [ユーザー サインインの変更] タスクを使用して、 [Enable Seamless Single Sign-On](シームレス シングル サインオンを有効にする) オプションをオンまたはオフにしようとすると、Using the Change user sign-in task, you try to check/uncheck the Enable Seamless Single Sign-On option while the user sign-in method remains configured as "Pass-through Authentication". 変更が適用されるときに、ウィザードによってパスワード同期が有効になります。When the change is applied, the wizard enables Password Synchronization. この修正により、ウィザードでパスワード同期が有効化されなくなりました。With this fix, the wizard no longer enables Password Synchronization.

  • Azure AD Connect のアップグレードが失敗して "Unable to upgrade the Synchronization Service"(同期サービスをアップグレードできません) というエラーが表示される問題を修正しました。Fixed an issue that caused Azure AD Connect upgrade to fail with error "Unable to upgrade the Synchronization Service". また、今後は同期サービスの起動時にイベント エラー "The service was unable to start because the version of the database is newer than the version of the binaries installed"(データベースのバージョンが、インストールされているバイナリのバージョンよりも新しいため、サービスを開始できませんでした) が表示されることはありません。Further, the Synchronization Service can no longer start with event error "The service was unable to start because the version of the database is newer than the version of the binaries installed". この問題は、アップグレードを実行している管理者が、Azure AD Connect で使用されている SQL サーバーに対して sysadmin 権限を持っていない場合に発生します。The issue occurs when the administrator performing the upgrade does not have sysadmin privilege to the SQL server that is being used by Azure AD Connect. この修正により、Azure AD Connect ではアップグレード時に、管理者が ADSync データベースに対する db_owner 権限を持っていることのみが求められます。With this fix, Azure AD Connect only requires the administrator to have db_owner privilege to the ADSync database during upgrade.

  • シームレス シングル サインオンを有効にしているお客様に影響を与える、Azure AD Connect のアップグレードの問題を修正しました。Fixed an Azure AD Connect Upgrade issue that affected customers who have enabled Seamless Single Sign-On. Azure AD Connect をアップグレードした後に、シームレス シングル サインオンが引き続き有効で完全に機能するにもかかわらず、Azure AD Connect ウィザードに "無効" と間違って表示されます。After Azure AD Connect is upgraded, Seamless Single Sign-On incorrectly appears as disabled in Azure AD Connect wizard, even though the feature remains enabled and fully functional. この修正により、この機能がウィザードで正しく "有効" と表示されるようになりました。With this fix, the feature now appears correctly as enabled in the wizard.

  • Azure AD Connect ウィザードで、ソース アンカーに関連する変更が行われていない場合にも、 [構成の準備完了] ページに "ソース アンカーの構成" メッセージが常に表示される問題を修正しました。Fixed an issue that caused Azure AD Connect wizard to always show the “Configure Source Anchor” prompt on the Ready to Configure page, even if no changes related to Source Anchor were made.

  • Azure AD Connect のインプレース アップグレードを手動で実行する際、お客様には、対応する Azure AD テナントのグローバル管理者の資格情報を入力することが求められます。When performing manual in-place upgrade of Azure AD Connect, the customer is required to provide the Global Administrator credentials of the corresponding Azure AD tenant. 以前は、入力されたグローバル管理者の資格情報が別の Azure AD テナントに属している場合でも、アップグレードを続行できました。Previously, upgrade could proceed even though the Global Administrator's credentials belonged to a different Azure AD tenant. アップグレードが正常に完了したように見えても、特定の構成はアップグレードで正しく保持されません。While upgrade appears to complete successfully, certain configurations are not correctly persisted with the upgrade. この変更により、入力された資格情報が該当する Azure AD テナントに一致しない場合、ウィザードでアップグレードを続行できません。With this change, the wizard prevents the upgrade from proceeding if the credentials provided do not match the Azure AD tenant.

  • 手動でのアップグレードの開始時に Azure AD Connect Health サービスを不必要に再起動させる冗長なロジックを削除しました。Removed redundant logic that unnecessarily restarted Azure AD Connect Health service at the beginning of a manual upgrade.

新機能と機能強化New features and improvements

  • Microsoft Germany Cloud で Azure AD Connect を設定するために必要な手順を簡略化するロジックを追加しました。Added logic to simplify the steps required to set up Azure AD Connect with Microsoft Germany Cloud. 以前は、この記事で説明しているように、Microsoft Germany Cloud で正しく機能するためには、Azure AD Connect サーバー上の特定のレジストリ キーを更新する必要がありました。Previously, you are required to update specific registry keys on the Azure AD Connect server for it to work correctly with Microsoft Germany Cloud, as described in this article. 今後は、セットアップ時に入力されたグローバル管理者の資格情報に基づいて、Microsoft Germany Cloud 内に存在するテナントかどうかが Azure AD Connect で自動的に検出されます。Now, Azure AD Connect can automatically detect if your tenant is in Microsoft Germany Cloud based on the global administrator credentials provided during setup.

Azure AD Connect 同期Azure AD Connect Sync

注意

注:同期サービスには、独自のカスタム スケジューラを作成できる WMI インターフェイスがあります。Note: The Synchronization Service has a WMI interface that lets you develop your own custom scheduler. このインターフェイスは現在非推奨であり、2018 年 6 月 30 日以降にリリースされる Azure AD Connect の将来のバージョンから削除される予定です。This interface is now deprecated and will be removed from future versions of Azure AD Connect shipped after June 30, 2018. 同期スケジュールをカスタマイズしようとする顧客は、組み込みスケジューラを使用する必要があります。Customers who want to customize synchronization schedule should use the built-in scheduler.

修正された問題Fixed issues

  • Azure AD Connect ウィザードで、オンプレミス Active Directory からの変更を同期するために必要な AD Connector アカウントを作成するときに、PublicFolder オブジェクトの読み取りに必要なアクセス許可がアカウントに正しく割り当てられません。When Azure AD Connect wizard creates the AD Connector account required to synchronize changes from on-premises Active Directory, it does not correctly assign the account the permission required to read PublicFolder objects. この問題は、高速インストールとカスタム インストールの両方に影響します。This issue affects both Express installation and Custom installation. 今回の変更により、この問題が修正されました。This change fixes the issue.

  • Windows Server 2016 から実行している管理者に、Azure AD Connect ウィザードのトラブルシューティング ページが正しく表示されない問題を修正しました。Fixed an issue that caused the Azure AD Connect Wizard troubleshooting page to not render correctly for administrators running from Windows Server 2016.

新機能と機能強化New features and improvements

  • Azure AD Connect ウィザードのトラブルシューティング ページを使用してパスワード同期をトラブルシューティングすると、トラブルシューティング ページによって、ドメイン固有の状態が返されるようになりました。When troubleshooting Password Synchronization using the Azure AD Connect wizard troubleshooting page, the troubleshooting page now returns domain-specific status.

  • 以前は、パスワード ハッシュ同期を有効にしようとする際に、オンプレミス AD からのパスワード ハッシュを同期するために必要なアクセス許可が AD Connector アカウントにあるかどうかが、Azure AD Connect で検証されませんでした。Previously, if you tried to enable Password Hash Synchronization, Azure AD Connect does not verify whether the AD Connector account has required permissions to synchronize password hashes from on-premises AD. 今後は、Azure AD Connect ウィザードが検証を行い、AD Connector アカウントに適切なアクセス許可がない場合は警告メッセージが表示されます。Now, Azure AD Connect wizard will verify and warn you if the AD Connector account does not have sufficient permissions.

AD FS の管理AD FS Management

修正された問題Fixed issue

  • ソース アンカーとしての ms-DS-ConsistencyGuid 機能の使用に関連する問題を修正しました。Fixed an issue related to the use of ms-DS-ConsistencyGuid as Source Anchor feature. この問題は、ユーザーのサインイン方法として AD FS とのフェデレーションを構成しているお客様に影響します。This issue affects customers who have configured Federation with AD FS as the user sign-in method. ウィザードで [ソース アンカーの構成] タスクを実行すると、Azure AD Connect では、immutableId のソース属性として *ms-DS-ConsistencyGuid を使用するように切り替わります。When you execute Configure Source Anchor task in the wizard, Azure AD Connect switches to using *ms-DS-ConsistencyGuid as source attribute for immutableId. この変更の一環として、Azure AD Connect は、AD FS で ImmutableId の要求規則を更新しようとします。As part of this change, Azure AD Connect attempts to update the claim rules for ImmutableId in AD FS. ただし、Azure AD Connect には AD FS の構成に必要な管理者の資格情報がないため、このステップは失敗していました。However, this step failed because Azure AD Connect did not have the administrator credentials required to configure AD FS. この修正により、 [ソース アンカーの構成] タスクを実行すると、AD FS の管理者の資格情報を入力するように求めるメッセージが Azure AD Connect に表示されるようになります。With this fix, Azure AD Connect now prompts you to enter the administrator credentials for AD FS when you execute the Configure Source Anchor task.

1.1.614.01.1.614.0

状態:2017 年 9 月 5 日Status: September 05 2017

Azure AD ConnectAzure AD Connect

既知の問題Known issues

  • Azure AD Connect のアップグレードが失敗して "Unable to upgrade the Synchronization Service"(同期サービスをアップグレードできません) というエラーが表示される既知の問題があります。There is a known issue that is causing Azure AD Connect upgrade to fail with error "Unable to upgrade the Synchronization Service". また、今後は同期サービスの起動時にイベント エラー "The service was unable to start because the version of the database is newer than the version of the binaries installed"(データベースのバージョンが、インストールされているバイナリのバージョンよりも新しいため、サービスを開始できませんでした) が表示されることはありません。Further, the Synchronization Service can no longer start with event error "The service was unable to start because the version of the database is newer than the version of the binaries installed". この問題は、アップグレードを実行している管理者が、Azure AD Connect で使用されている SQL サーバーに対して sysadmin 権限を持っていない場合に発生します。The issue occurs when the administrator performing the upgrade does not have sysadmin privilege to the SQL server that is being used by Azure AD Connect. dbo アクセス許可では不十分です。Dbo permissions are not sufficient.

  • シームレス シングル サインオンを有効にしているお客様に影響する、Azure AD Connect のアップグレードに関する既知の問題があります。There is a known issue with Azure AD Connect Upgrade that is affecting customers who have enabled Seamless Single Sign-On. Azure AD Connect をアップグレードすると、機能は引き続き有効であるにもかかわらず、ウィザードには無効と表示されます。After Azure AD Connect is upgraded, the feature appears as disabled in the wizard, even though the feature remains enabled. この問題は、今後のリリースで修正される予定です。A fix for this issue will be provided in future release. この表示の問題が気になるお客様は、ウィザードでシームレス シングル サインオンを有効にすることで、問題を手動で修正できます。Customers who are concerned about this display issue can manually fix it by enabling Seamless Single Sign-On in the wizard.

修正された問題Fixed issues

  • ソース アンカーとしての ms-DS-ConsistencyGuid 機能を有効する際に Azure AD Connect でオンプレミスの AD FS の要求規則を更新できない問題を修正しました。Fixed an issue that prevented Azure AD Connect from updating the claims rules in on-premises AD FS while enabling the ms-DS-ConsistencyGuid as Source Anchor feature. この問題は、Azure AD Connect の既存のデプロイでサインインの方法として AD FS が構成されている場合に、上記機能を有効にしようとすると発生します。The issue occurs if you try to enable the feature for an existing Azure AD Connect deployment that has AD FS configured as the sign-in method. この問題は、ウィザードで AD FS の要求規則の更新に先立ち ADFS の資格情報の入力を求めるプロンプトを表示していなかったことによるものです。The issue occurs because the wizard does not prompt for ADFS credentials before trying to update the claims rules in AD FS.
  • オンプレミスの AD フォレストで NTLM が無効になっている場合に Azure AD Connect のインストールが失敗する問題を修正しました。Fixed an issue that caused Azure AD Connect to fail installation if the on-premises AD forest has NTLM disabled. この問題は、Kerberos 認証に必要なセキュリティ コンテキストを作成するときに、Azure AD Connect ウィザードが完全に修飾された資格情報を提供しないことによるものです。The issue is due to Azure AD Connect wizard not providing fully qualified credentials when creating the security contexts required for Kerberos authentication. それが原因で Kerberos 認証が失敗し、Azure AD Connect ウィザードは NTLM の使用に戻ります。This causes Kerberos authentication to fail and Azure AD Connect wizard to fall back to using NTLM.

Azure AD Connect 同期Azure AD Connect Sync

修正された問題Fixed issues

  • Tag 属性が指定されていないと新しい同期ルールを作成できない問題を修正しました。Fixed an issue where new synchronization rule cannot be created if the Tag attribute isn’t populated.
  • Kerberos を使用できる場合でも、Azure AD Connect がオンプレミスの AD に接続して NTLM を使用したパスワード同期を行う問題を修正しました。Fixed an issue that caused Azure AD Connect to connect to on-premises AD for Password Synchronization using NTLM, even though Kerberos is available. この問題は、オンプレミス AD トポロジに、バックアップから復元された 1 つまたは複数のドメイン コントローラーが存在する場合に発生します。This issue occurs if the on-premises AD topology has one or more domain controllers that were restored from a backup.
  • アップグレード後に完全な同期手順が不必要に発生する問題を修正しました。Fixed an issue that caused full synchronization steps to occur unnecessarily after upgrade. 一般に、アップグレード後の完全な同期手順は、既定の同期ルールが変更されている場合に実行する必要があります。In general, running full synchronization steps is required after upgrade if there are changes to out-of-box synchronization rules. この問題は、同期ルール式に改行文字が出現したときに変更が間違って検出される変更検出ロジックのエラーが原因でした。The issue was due to an error in the change detection logic that incorrectly detected a change when encountering synchronization rule expression with newline characters. 改行文字は、読みやすさを向上させるために同期ルール式に挿入されます。Newline characters are inserted into sync rule expression to improve readability.
  • Azure AD Connect サーバーが自動アップグレード後に正常に動作しない可能性がある問題を修正しました。Fixed an issue that can cause the Azure AD Connect server to not work correctly after Automatic Upgrade. この問題は、Azure AD Connect サーバーのバージョン 1.1.443.0 (またはそれ以前) に影響を与えます。This issue affects Azure AD Connect servers with version 1.1.443.0 (or earlier). この問題の詳細については、「Azure AD Connect is not working correctly after an automatic upgrade」(Azure AD Connect が自動アップグレード後に正常に動作しない) を参照してください。For details about the issue, refer to article Azure AD Connect is not working correctly after an automatic upgrade.
  • エラーが発生したときに、自動アップグレードが 5 分間隔で再試行される可能性がある問題を修正しました。Fixed an issue that can cause Automatic Upgrade to be retried every 5 minutes when errors are encountered. 修正により、エラー発生時の自動アップグレードの再試行は、指数バックオフで行われます。With the fix, Automatic Upgrade retries with exponential back-off when errors are encountered.
  • パスワード同期イベント 611 がWindows アプリケーション イベント ログにエラーではなく情報と間違って表示される問題を修正しました。Fixed an issue where password synchronization event 611 is incorrectly shown in Windows Application Event logs as informational instead of error. イベント 611 は、パスワード同期で問題が発生するたびに生成されます。Event 611 is generated whenever password synchronization encounters an issue.
  • Azure AD Connect ウィザードで、グループの書き戻し機能が、グループを書き戻すために必要な OU を選択しなくても有効化できる問題を修正しました。Fixed an issue in the Azure AD Connect wizard that allows Group writeback feature to be enabled without selecting an OU required for Group writeback.

新機能と機能強化New features and improvements

  • Azure AD Connect ウィザードの追加タスクに、トラブルシューティング タスクを追加しました。Added a Troubleshoot task to Azure AD Connect wizard under Additional Tasks. このタスクを活用して、パスワード同期に関連する問題のトラブルシューティングと一般的な診断の収集を実行できます。Customers can leverage this task to troubleshoot issues related to password synchronization and collect general diagnostics. 今後、トラブルシューティング タスクは、他のディレクトリの同期に関連する問題を含むように拡張されます。In the future, the Troubleshoot task will be extended to include other directory synchronization-related issues.
  • Azure AD Connect で、 [既存のデータベースを使用する] という名前の新しいインストール モードをサポートするようになりました。Azure AD Connect now supports a new installation mode called Use Existing Database. このインストール モードを使用すると、既存の ADSync データベースを指定する Azure AD Connect をインストールできます。This installation mode allows customers to install Azure AD Connect that specifies an existing ADSync database. この機能の詳細については、既存のデータベースの使用に関する記事を参照してください。For more information about this feature, refer to article Use an existing database.
  • セキュリティを強化するため、Azure AD Connect は、ディレクトリを同期する際に、既定で TLS1.2 を使用して Azure AD に接続するようになりました。For improved security, Azure AD Connect now defaults to using TLS1.2 to connect to Azure AD for directory synchronization. 以前の既定値は TLS1.0 でした。Previously, the default was TLS1.0.
  • Azure AD Connect のパスワード同期エージェントは、起動時に Azure AD の既知のエンドポイントに接続してパスワード同期を試行します。When Azure AD Connect Password Synchronization Agent starts up, it tries to connect to Azure AD well-known endpoint for password synchronization. 接続が成功すると、リージョン固有のエンドポイントにリダイレクトされます。Upon successful connection, it is redirected to a region-specific endpoint. 以前は、パスワード同期エージェントは、リージョン固有のエンドポイントが再起動するまで、それをキャッシュしていました。Previously, the Password Synchronization Agent caches the region-specific endpoint until it is restarted. 現在、エージェントは、リージョン固有のエンドポイントで接続問題が発生した場合は、キャッシュをクリアし、既知のエンドポイントで再試行します。Now, the agent clears the cache and retries with the well-known endpoint if it encounters connection issue with the region-specific endpoint. この変更により、キャッシュされたリージョン固有のエンドポイントが使用できなった場合に、パスワード同期を別のリージョン固有のエンドポイントに確実にフェールオーバーできます。This change ensures that password synchronization can failover to a different region-specific endpoint when the cached region-specific endpoint is no longer available.
  • オンプレミスの AD フォレストの変更を同期するには、AD DS アカウントが必要です。To synchronize changes from an on-premises AD forest, an AD DS account is required. (i) AD DS アカウントを自分で作成してその資格情報を Azure AD Connect に提供するか、(ii) エンタープライズ管理者の資格情報を指定して Azure AD Connect に AD DS アカウントの作成を任せることができます。You can either (i) create the AD DS account yourself and provide its credential to Azure AD Connect, or (ii) provide an Enterprise Admin's credentials and let Azure AD Connect create the AD DS account for you. 以前は、(i) が Azure AD Connect ウィザードの既定のオプションでした。Previously, (i) is the default option in the Azure AD Connect wizard. 現在は、(ii) が既定のオプションです。Now, (ii) is the default option.

Azure AD Connect HealthAzure AD Connect Health

新機能と機能強化New features and improvements

  • Microsoft Azure Government Cloud と Microsoft Cloud Germany のサポートを追加しました。Added support for Microsoft Azure Government Cloud and Microsoft Cloud Germany.

AD FS の管理AD FS Management

修正された問題Fixed issues

  • AD prep powershell モジュールの Initialize-ADSyncNGCKeysWriteBack コマンドレットが、ACL をデバイス登録コンテナーに間違って適用し、そのために既存のアクセス許可のみが継承されていました。The Initialize-ADSyncNGCKeysWriteBack cmdlet in the AD prep powershell module was incorrectly applying ACLs to the device registration container and would therefore only inherit existing permissions. これが、同期サービス アカウントが適切なアクセス許可を持つように更新されました。This was updated so that the sync service account has the correct permissions.

新機能と機能強化New features and improvements

  • AAD Connect の ADFS ログイン確認タスクが、ADFS からのトークンの取得だけではなく、Microsoft Online に対するログインも確認するように更新されました。The AAD Connect Verify ADFS Login task was updated so that it verifies logins against Microsoft Online and not just token retrieval from ADFS.
  • AAD Connect を使用した新しい ADFS ファームの設定時に表示される ADFS の資格情報を求めるページが移動され、ユーザーに ADFS サーバーと WAP サーバーの指定を求める前に表示されるようになりました。When setting up a new ADFS farm using AAD Connect, the page asking for ADFS credentials was moved so that it now occurs before the user is asked to provide ADFS and WAP servers. これにより、AAD Connect は、指定されたアカウントに適切なアクセス許可があることを確認できます。This allows AAD Connect to check that the account specified has the correct permissions.
  • AAD Connect のアップグレード中に ADFS AAD Trust の更新に失敗しても、アップグレードが失敗することはありません。During AAD Connect upgrade, we will no longer fail an upgrade if the ADFS AAD Trust fails to update. これが発生した場合は、適切な警告メッセージが表示され、ユーザーは、AAD Connect の追加タスクを使用して信頼をリセットする操作に進む必要があります。If that happens, the user will be shown an appropriate warning message and should proceed to reset the trust via the AAD Connect additional task.

シームレス シングル サインオンSeamless Single Sign-On

修正された問題Fixed issues

  • シームレス シングル サインオンの有効化が試行されたときに Azure AD Connect ウィザードがエラーを返す問題を修正しました。Fixed an issue that caused Azure AD Connect wizard to return an error if you try to enable Seamless Single Sign-On. エラー メッセージは、"Configuration of Microsoft Azure AD Connect Authentication Agent failed. (Microsoft Azure AD Connect の認証エージェントを構成できませんでした) " です。The error message is “Configuration of Microsoft Azure AD Connect Authentication Agent failed.” この問題は、パススルー認証用の認証エージェントのプレビュー バージョンをこちらの記事に記載されている手順に基づいて手動でアップグレードしたお客様に影響します。This issue affects existing customers who had manually upgraded the preview version of the Authentication Agents for Pass-through Authentication based on the steps described in this article.

1.1.561.01.1.561.0

状態:2017 年 7 月 23 日Status: July 23 2017

Azure AD ConnectAzure AD Connect

修正された問題Fixed issue

  • 既定の同期規則 “AD への送信 – ユーザー ImmutableId” の削除を招く問題を修正しました。Fixed an issue that caused the out-of-box synchronization rule “Out to AD - User ImmutableId” to be removed:

    • この問題は、Azure AD Connect をアップグレードする際か、Azure AD Connect ウィザード内のタスク オプション [Update Synchronization Configuration] (同期構成の更新) を使用して Azure AD Connect 同期構成を更新する際に発生します。The issue occurs when Azure AD Connect is upgraded, or when the task option Update Synchronization Configuration in the Azure AD Connect wizard is used to update Azure AD Connect synchronization configuration.

    • この同期規則は、ソース アンカーとしての ms-DS-ConsistencyGuid 機能を有効にしているお客様に適用されます。This synchronization rule is applicable to customers who have enabled the ms-DS-ConsistencyGuid as Source Anchor feature. この機能は、バージョン 1.1.524.0 以降で導入されました。This feature was introduced in version 1.1.524.0 and after. この同期規則が削除されると、Azure AD Connect でオンプレミスの AD ms-DS-ConsistencyGuid 属性に ObjectGuid 属性値を設定することができなくなります。When the synchronization rule is removed, Azure AD Connect can no longer populate on-premises AD ms-DS-ConsistencyGuid attribute with the ObjectGuid attribute value. これによって新しいユーザーが Azure AD にプロビジョニングされなくなることはありません。It does not prevent new users from being provisioned into Azure AD.

    • この修正により、上記の機能が有効になっていれば、アップグレード中や構成の変更中にこの同期規則が削除されなくなります。The fix ensures that the synchronization rule will no longer be removed during upgrade, or during configuration change, as long as the feature is enabled. この問題による影響を受けている既存のお客様の場合、この修正により、このバージョンの Azure AD Connect へのアップグレード後に、この同期規則がもう一度追加されるようにもなります。For existing customers who have been affected by this issue, the fix also ensures that the synchronization rule is added back after upgrading to this version of Azure AD Connect.

  • 既定の同期規則の優先順位値が 100 未満になる原因の問題を修正しました。Fixed an issue that causes out-of-box synchronization rules to have precedence value that is less than 100:

    • 一般に、カスタム同期規則のために優先順位値 0 から 99 までが予約されています。In general, precedence values 0 - 99 are reserved for custom synchronization rules. アップグレード中に、既定の同期規則の優先順位値は、同期規則の変更に対応して更新されます。During upgrade, the precedence values for out-of-box synchronization rules are updated to accommodate sync rule changes. この問題のために、既定の同期規則に 100 未満の優先順位値が割り当てられる可能性があります。Due to this issue, out-of-box synchronization rules may be assigned precedence value that is less than 100.

    • この修正により、アップグレード中にこの問題が発生しなくなります。The fix prevents the issue from occurring during upgrade. しかし、この問題の影響を受けている既存のお客様の優先順位値は復元されません。However, it does not restore the precedence values for existing customers who have been affected by the issue. 将来、復元に役立つ別個の修正が提供される予定です。A separate fix will be provided in the future to help with the restoration.

  • Azure AD Connect ウィザード内の [ドメインと OU のフィルター処理] 画面で、OU ベースのフィルター処理が有効になっている場合でも、 [すべてのドメインと OU の同期] オプションが選択済みとして表示される問題を修正しました。Fixed an issue where the Domain and OU Filtering screen in the Azure AD Connect wizard is showing Sync all domains and OUs option as selected, even though OU-based filtering is enabled.

  • Synchronization Service Manager の[ディレクトリ パーティションの構成] 画面[更新] ボタンをクリックするとエラーが返される原因となる問題を修正しました。Fixed an issue that caused the Configure Directory Partitions screen in the Synchronization Service Manager to return an error if the Refresh button is clicked. エラー メッセージは “An error was encountered while refreshing domains:Unable to cast object of type ‘System.Collections.ArrayList’ to type ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject.” (ドメインの更新中にエラーが発生しました。型 ‘System.Collections.ArrayList’ のオブジェクトを型 'Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject' にキャストできません。) です。The error message is “An error was encountered while refreshing domains: Unable to cast object of type ‘System.Collections.ArrayList’ to type ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject.” このエラーは、新しい AD ドメインが既存の AD フォレストに追加されている場合に、[更新] ボタンを使用して Azure AD Connect を更新しようとすると発生します。The error occurs when new AD domain has been added to an existing AD forest and you are trying to update Azure AD Connect using the Refresh button.

新機能と機能強化New features and improvements

  • 自動アップグレード機能が、次のような構成のお客様をサポートするように拡張されています。Automatic Upgrade feature has been expanded to support customers with the following configurations:

    • デバイスの書き戻し機能を有効にしました。You have enabled the device writeback feature.
    • グループの書き戻し機能を有効にしました。You have enabled the group writeback feature.
    • インストールが簡単設定でも DirSync のアップグレードでもありません。The installation is not an Express settings or a DirSync upgrade.
    • メタバース内のオブジェクトが 100,000 を超えています。You have more than 100,000 objects in the metaverse.
    • 現在、複数のフォレストに接続しています。You are connecting to more than one forest. 高速セットアップで接続するフォレストは 1 つのみです。Express setup only connects to one forest.
    • AD Connector アカウントは、既定の MSOL_ アカウントではなくなりました。The AD Connector account is not the default MSOL_ account anymore.
    • サーバーがステージング モードに設定されています。The server is set to be in staging mode.
    • ユーザーの書き戻し機能を有効にしました。You have enabled the user writeback feature.

    注意

    自動アップグレード機能の範囲の拡大は、Azure AD Connect ビルド 1.1.105.0 以降のお客様に影響します。The scope expansion of the Automatic Upgrade feature affects customers with Azure AD Connect build 1.1.105.0 and after. Azure AD Connect サーバーが自動的にアップグレードされないようにするには、Azure AD Connect サーバーで Set-ADSyncAutoUpgrade -AutoUpgradeState disabled コマンドレットを実行する必要があります。If you do not want your Azure AD Connect server to be automatically upgraded, you must run following cmdlet on your Azure AD Connect server: Set-ADSyncAutoUpgrade -AutoUpgradeState disabled. 自動アップグレードの有効化/無効化の詳細については、「Azure AD Connect:自動アップグレード」を参照してください。For more information about enabling/disabling Automatic Upgrade, refer to article Azure AD Connect: Automatic upgrade.

1.1.558.01.1.558.0

状態:リリース予定なし。Status: Will not be released. このビルドの変更は、バージョン 1.1.561.0 に組み込まれています。Changes in this build are included in version 1.1.561.0.

Azure AD ConnectAzure AD Connect

修正された問題Fixed issue

  • OU ベースのフィルター処理構成の更新時に、既定の同期規則 “AD への送信 – ユーザー ImmutableId” が削除を招く問題を修正しました。Fixed an issue that caused the out-of-box synchronization rule “Out to AD - User ImmutableId” to be removed when OU-based filtering configuration is updated. この同期規則は、ソース アンカーとしての ms-DS-ConsistencyGuid 機能にとって必要です。This synchronization rule is required for the ms-DS-ConsistencyGuid as Source Anchor feature.

  • Azure AD Connect ウィザード内の [ドメインと OU のフィルター処理] 画面で、OU ベースのフィルター処理が有効になっている場合でも、 [すべてのドメインと OU の同期] オプションが選択済みとして表示される問題を修正しました。Fixed an issue where the Domain and OU Filtering screen in the Azure AD Connect wizard is showing Sync all domains and OUs option as selected, even though OU-based filtering is enabled.

  • Synchronization Service Manager の[ディレクトリ パーティションの構成] 画面[更新] ボタンをクリックするとエラーが返される原因となる問題を修正しました。Fixed an issue that caused the Configure Directory Partitions screen in the Synchronization Service Manager to return an error if the Refresh button is clicked. エラー メッセージは “An error was encountered while refreshing domains:Unable to cast object of type ‘System.Collections.ArrayList’ to type ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject.” (ドメインの更新中にエラーが発生しました。型 ‘System.Collections.ArrayList’ のオブジェクトを型 'Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject' にキャストできません。) です。The error message is “An error was encountered while refreshing domains: Unable to cast object of type ‘System.Collections.ArrayList’ to type ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject.” このエラーは、新しい AD ドメインが既存の AD フォレストに追加されている場合に、[更新] ボタンを使用して Azure AD Connect を更新しようとすると発生します。The error occurs when new AD domain has been added to an existing AD forest and you are trying to update Azure AD Connect using the Refresh button.

新機能と機能強化New features and improvements

  • 自動アップグレード機能が、次のような構成のお客様をサポートするように拡張されています。Automatic Upgrade feature has been expanded to support customers with the following configurations:

    • デバイスの書き戻し機能を有効にしました。You have enabled the device writeback feature.
    • グループの書き戻し機能を有効にしました。You have enabled the group writeback feature.
    • インストールが簡単設定でも DirSync のアップグレードでもありません。The installation is not an Express settings or a DirSync upgrade.
    • メタバース内のオブジェクトが 100,000 を超えています。You have more than 100,000 objects in the metaverse.
    • 現在、複数のフォレストに接続しています。You are connecting to more than one forest. 高速セットアップで接続するフォレストは 1 つのみです。Express setup only connects to one forest.
    • AD Connector アカウントは、既定の MSOL_ アカウントではなくなりました。The AD Connector account is not the default MSOL_ account anymore.
    • サーバーがステージング モードに設定されています。The server is set to be in staging mode.
    • ユーザーの書き戻し機能を有効にしました。You have enabled the user writeback feature.

    注意

    自動アップグレード機能の範囲の拡大は、Azure AD Connect ビルド 1.1.105.0 以降のお客様に影響します。The scope expansion of the Automatic Upgrade feature affects customers with Azure AD Connect build 1.1.105.0 and after. Azure AD Connect サーバーが自動的にアップグレードされないようにするには、Azure AD Connect サーバーで Set-ADSyncAutoUpgrade -AutoUpgradeState disabled コマンドレットを実行する必要があります。If you do not want your Azure AD Connect server to be automatically upgraded, you must run following cmdlet on your Azure AD Connect server: Set-ADSyncAutoUpgrade -AutoUpgradeState disabled. 自動アップグレードの有効化/無効化の詳細については、「Azure AD Connect:自動アップグレード」を参照してください。For more information about enabling/disabling Automatic Upgrade, refer to article Azure AD Connect: Automatic upgrade.

1.1.557.01.1.557.0

状態:2017 年 7 月Status: July 2017

注意

このビルドは、Azure AD Connect の自動アップグレード機能では提供されません。This build is not available to customers through the Azure AD Connect Auto Upgrade feature.

Azure AD ConnectAzure AD Connect

修正された問題Fixed issue

  • Initialize-ADSyncDomainJoinedComputerSync コマンドレットによって、既存のサービス接続ポイント オブジェクトで構成されている確認済みドメインが、有効なドメインであるにもかかわらず、変更される問題を修正しました。Fixed an issue with the Initialize-ADSyncDomainJoinedComputerSync cmdlet that caused the verified domain configured on the existing service connection point object to be changed even if it is still a valid domain. この問題は、サービス接続ポイントの構成に使用できる確認済みドメインが、Azure AD テナントに複数ある場合に発生します。This issue occurs when your Azure AD tenant has more than one verified domains that can be used for configuring the service connection point.

新機能と機能強化New features and improvements

  • Microsoft Azure Government クラウドと Microsoft Cloud Germany のプレビューで、パスワード ライトバックを利用できるようになりました。Password writeback is now available for preview with Microsoft Azure Government cloud and Microsoft Cloud Germany. さまざまなサービス インスタンスの Azure AD Connect サポートの詳細については、「Azure AD Connect:インスタンスに関する特別な考慮事項」を参照してください。For more information about Azure AD Connect support for the different service instances, refer to article Azure AD Connect: Special considerations for instances.

  • Initialize-ADSyncDomainJoinedComputerSync コマンドレットで、AzureADDomain という新しい省略可能なパラメーターを利用できるようになりました。The Initialize-ADSyncDomainJoinedComputerSync cmdlet now has a new optional parameter named AzureADDomain. このパラメーターを使用すると、サービス接続ポイントの構成に使用する確認済みドメインを指定できます。This parameter lets you specify which verified domain to be used for configuring the service connection point.

パススルー認証Pass-through Authentication

新機能と機能強化New features and improvements

  • パススルー認証に必要なエージェントの名前が、"Microsoft Azure AD アプリケーション プロキシ コネクタ" から "Microsoft Azure AD Connect 認証エージェント" に変更されました。The name of the agent required for Pass-through Authentication has been changed from Microsoft Azure AD Application Proxy Connector to Microsoft Azure AD Connect Authentication Agent.

  • パススルー認証を有効にしても、既定では、パスワード ハッシュ同期は有効化されなくなりました。Enabling Pass-through Authentication no longer enables Password Hash Synchronization by default.

1.1.553.01.1.553.0

状態:2017 年 6 月Status: June 2017

重要

このビルドでは、スキーマと同期規則に変更が加えられています。There are schema and sync rule changes introduced in this build. アップグレードの後、フル インポートの手順と完全同期の手順が Azure AD Connect 同期サービスによってトリガーされます。Azure AD Connect Synchronization Service will trigger Full Import and Full Synchronization steps after upgrade. 変更の詳細は以下で説明しています。Details of the changes are described below. アップグレード後、フル インポートと完全な同期の手順を一時的に保留にするには、「How to defer full synchronization after upgrade (アップグレード後に完全な同期を保留にする方法)」を参照してください。To temporarily defer Full Import and Full Synchronization steps after upgrade, refer to article How to defer full synchronization after upgrade.

Azure AD Connect 同期Azure AD Connect Sync

既知の問題Known issue

  • Azure AD Connect 同期で OU ベースのフィルター処理を使用している顧客に影響する問題があります。Azure AD Connect ウィザードで [ドメインと OU のフィルタリング] ページに移動すると、通常は、次のように動作します。There is an issue that affects customers who are using OU-based filtering with Azure AD Connect sync. When you navigate to the Domain and OU Filtering page in the Azure AD Connect wizard, the following behavior is expected:
    • OU ベースのフィルター処理が有効になっている場合は、 [選択したドメインと OU の同期] オプションが選択されます。If OU-based filtering is enabled, the Sync selected domains and OUs option is selected.
    • それ以外の場合は、 [すべてのドメインと OU の同期] オプションが選択されます。Otherwise, the Sync all domains and OUs option is selected.

問題は、ウィザードを実行したときに、常に [すべてのドメインと OU の同期] が選択されることです。The issue that arises is that the Sync all domains and OUs option is always selected when you run the Wizard. この問題は、OU ベースのフィルター処理が構成されている場合でも発生します。This occurs even if OU-based filtering was previously configured. AAD Connect 構成の変更を保存する前に、 [選択したドメインと OU の同期] オプションを必ず選択し、同期する必要があるすべての OU が有効になっていることをもう一度確認します。Before saving any AAD Connect configuration changes, make sure the Sync selected domains and OUs option is selected and confirm that all OUs that need to synchronize are enabled again. これを行わないと、OU ベースのフィルター処理は無効になります。Otherwise, OU-based filtering will be disabled.

修正された問題Fixed issues

  • パスワード ライトバックによって Azure AD 管理者がオンプレミスの AD 特権ユーザー アカウントのパスワードをリセットできる、という問題を修正しました。Fixed an issue with Password writeback that allows an Azure AD Administrator to reset the password of an on-premises AD privileged user account. この問題は、特権アカウントに対するパスワードのリセット アクセス許可が、Azure AD Connect に付与されている場合に発生します。The issue occurs when Azure AD Connect is granted the Reset Password permission over the privileged account. このバージョンの Azure AD Connect で問題を解決するには、オンプレミスの AD 特権ユーザー アカウントの所有者でない Azure AD 管理者が、任意の AD 特権ユーザー アカウントのパスワードをリセットできないようにします。The issue is addressed in this version of Azure AD Connect by not allowing an Azure AD Administrator to reset the password of an arbitrary on-premises AD privileged user account unless the administrator is the owner of that account. 詳しくは、セキュリティ アドバイザリ 4033453 を参照してください。For more information, refer to Security Advisory 4033453.

  • Azure AD Connect がオンプレミスの AD ms-DS-ConsistencyGuid 属性へのライトバックを行わないという、ソース アンカーとしての ms-DS-ConsistencyGuid 機能に関連する問題を修正しました。Fixed an issue related to the ms-DS-ConsistencyGuid as Source Anchor feature where Azure AD Connect does not writeback to on-premises AD ms-DS-ConsistencyGuid attribute. この問題は、オンプレミスの AD フォレストに複数の Azure AD Connect が追加され、" [複数のディレクトリにユーザー ID が存在します] オプション" が選択されているときに発生します。The issue occurs when there are multiple on-premises AD forests added to Azure AD Connect and the User identities exist across multiple directories option is selected. このような構成が使用されている場合、結果の同期ルールでは、メタバースの sourceAnchorBinary 属性が設定されません。When such configuration is used, the resultant synchronization rules do not populate the sourceAnchorBinary attribute in the Metaverse. sourceAnchorBinary 属性は、ms-DS-ConsistencyGuid 属性のソース属性として使用されます。The sourceAnchorBinary attribute is used as the source attribute for ms-DS-ConsistencyGuid attribute. このため、ms-DSConsistencyGuid 属性へのライトバックが行われません。As a result, writeback to the ms-DSConsistencyGuid attribute does not occur. この問題を修正するために、メタバースの sourceAnchorBinary 属性が常に設定されるように、次の同期規則が更新されました。To fix the issue, following sync rules have been updated to ensure that the sourceAnchorBinary attribute in the Metaverse is always populated:

    • AD からの受信 - InetOrgPerson AccountEnabled.xmlIn from AD - InetOrgPerson AccountEnabled.xml
    • AD からの受信 - InetOrgPerson Common.xmlIn from AD - InetOrgPerson Common.xml
    • AD からの受信 - ユーザー AccountEnabled.xmlIn from AD - User AccountEnabled.xml
    • AD からの受信 - ユーザー Common.xmlIn from AD - User Common.xml
    • AD からの受信 - ユーザー結合 SOAInAAD.xmlIn from AD - User Join SOAInAAD.xml
  • ソース アンカーとしての ms-DS-ConsistencyGuid 機能が有効になっていなくても、"AD への送信 – ユーザー ImmutableId" 同期規則は引き続き Azure AD Connect に追加されたままです。Previously, even if the ms-DS-ConsistencyGuid as Source Anchor feature isn’t enabled, the “Out to AD – User ImmutableId” synchronization rule is still added to Azure AD Connect. これが原因で問題が発生することはなく、ms-DS-ConsistencyGuid 属性のライトバックも行われません。The effect is benign and does not cause writeback of ms-DS-ConsistencyGuid attribute to occur. 混乱を避けるために、機能が有効の場合にのみ同期規則が追加されるロジックが追加されました。To avoid confusion, logic has been added to ensure that the sync rule is only added when the feature is enabled.

  • パスワード ハッシュ同期がエラー イベント 611 で失敗する問題を修正しました。Fixed an issue that caused password hash synchronization to fail with error event 611. この問題は、1 つ以上のドメイン コントローラーがオンプレミスの AD から削除された後に発生します。This issue occurs after one or more domain controllers have been removed from on-premises AD. パスワード同期サイクルの終了時、オンプレミスの AD によって発行された同期 Cookie には、削除されたドメイン コントローラーの、USN (Update Sequence Number) 値が 0 の呼び出し ID が含まれています。At the end of each password synchronization cycle, the synchronization cookie issued by on-premises AD contains Invocation IDs of the removed domain controllers with USN (Update Sequence Number) value of 0. パスワード同期マネージャーは、USN 値 0 を含む同期 Cookie を保持できないため、エラー イベント 611 で失敗します。The Password Synchronization Manager is unable to persist synchronization cookie containing USN value of 0 and fails with error event 611. 次の同期サイクル中、パスワード同期マネージャーは、USN 値 0 を含まない、最後に保持された同期 Cookie を再利用します。During the next synchronization cycle, the Password Synchronization Manager reuses the last persisted synchronization cookie that does not contain USN value of 0. これにより、同じパスワードの変更が再同期されます。This causes the same password changes to be resynchronized. この修正により、パスワード同期マネージャーは同期 Cookie を正しく保持します。With this fix, the Password Synchronization Manager persists the synchronization cookie correctly.

  • Set-ADSyncAutoUpgrade コマンドレットで自動アップグレードを無効にしても、自動アップグレード プロセスにより、アップグレードは引き続き定期的にチェックされ、アップグレードの無効化には、ダウンロードしたインストーラーを使っていました。Previously, even if Automatic Upgrade has been disabled using the Set-ADSyncAutoUpgrade cmdlet, the Automatic Upgrade process continues to check for upgrade periodically, and relies on the downloaded installer to honor disablement. この修正により、自動アップグレード プロセスによって、アップグレードが定期的にチェックされなくなっています。With this fix, the Automatic Upgrade process no longer checks for upgrade periodically. この修正は、この Azure AD Connect バージョンのアップグレード インストーラーが 1 回実行されたときに、自動的に適用されます。The fix is automatically applied when upgrade installer for this Azure AD Connect version is executed once.

新機能と機能強化New features and improvements

  • 以前は、ソース アンカーとしての ms-DS-ConsistencyGuid 機能は、新しいデプロイでのみ使用できました。Previously, the ms-DS-ConsistencyGuid as Source Anchor feature was available to new deployments only. 現在、この機能は、既存のでデプロイでも使用することができます。Now, it is available to existing deployments. 具体的には次のとおりです。More specifically:

    • 機能にアクセスするには、Azure AD Connect ウィザードを開始し、"ソース アンカーの更新" オプションを選択します。To access the feature, start the Azure AD Connect wizard and choose the Update Source Anchor option.
    • このオプションは、objectGuid を sourceAnchor 属性として使用している既存のデプロイにのみ表示されます。This option is only visible to existing deployments that are using objectGuid as sourceAnchor attribute.
    • オプションを構成するとき、オンプレミス Active Directory の ms-DS-ConsistencyGuid 属性の状態がウィザードによって検証されます。When configuring the option, the wizard validates the state of the ms-DS-ConsistencyGuid attribute in your on-premises Active Directory. この属性がディレクトリ内のどのユーザー オブジェクトに対しても構成されていない場合は、ms-DS-ConsistencyGuid が sourceAnchor 属性として使用されます。If the attribute isn't configured on any user object in the directory, the wizard uses the ms-DS-ConsistencyGuid as the sourceAnchor attribute. ディレクトリ内の 1 つ以上のユーザー オブジェクトに対してこの属性が構成済みであった場合は、この属性が他のアプリケーションによって使用されており、sourceAnchor 属性としては適さないため、ソース アンカーの変更を続行できないと判断されます。If the attribute is configured on one or more user objects in the directory, the wizard concludes the attribute is being used by other applications and is not suitable as sourceAnchor attribute and does not permit the Source Anchor change to proceed. この属性が、既存のアプリケーションで使用されていないことが確実である場合は、サポートに連絡してエラーの抑制方法を入手する必要があります。If you are certain that the attribute isn't used by existing applications, you need to contact Support for information on how to suppress the error.
  • デバイス オブジェクトの userCertificate 属性に固有の機能として、Azure AD Connect は、Azure AD との同期の前に、Windows 10 エクスペリエンスのためにドメイン参加済みデバイスを Azure AD に接続するときに必要な証明書の値を探して、それ以外の部分を除外できるようになりました。Specific to userCertificate attribute on Device objects, Azure AD Connect now looks for certificates values required for Connecting domain-joined devices to Azure AD for Windows 10 experience and filters out the rest before synchronizing to Azure AD. この動作を有効にするために、既定の同期規則 "AAD への送信 - デバイス結合 SOAInAD" が更新されました。To enable this behavior, the out-of-box sync rule “Out to AAD - Device Join SOAInAD” has been updated.

  • Azure AD Connect が、オンプレミス AD publicDelegates 属性への Exchange Online cloudPublicDelegates 属性のライトバックをサポートするようになりました。Azure AD Connect now supports writeback of Exchange Online cloudPublicDelegates attribute to on-premises AD publicDelegates attribute. これにより、オンプレミスの Exchange メールボックスを持つユーザーに送信するための SendOnBehalfTo 権限を、Exchange Online メールボックスに付与できるシナリオが有効になります。This enables the scenario where an Exchange Online mailbox can be granted SendOnBehalfTo rights to users with on-premises Exchange mailbox. この機能をサポートするために、既定の同期規則 "AD への送信 – ユーザー Exchange ハイブリッド PublicDelegates ライトバック" が新しく追加されました。To support this feature, a new out-of-box sync rule “Out to AD – User Exchange Hybrid PublicDelegates writeback” has been added. この同期規則は、Exchange ハイブリッド機能が有効になっている場合にのみ、Azure AD Connect に追加されます。This sync rule is only added to Azure AD Connect when Exchange Hybrid feature is enabled.

  • Azure AD Connect が、Azure AD からの altRecipient 属性の同期をサポートするようになりました。Azure AD Connect now supports synchronizing the altRecipient attribute from Azure AD. この変更をサポートするために、次の既定の同期規則が更新され、必須の属性フローが追加されています。To support this change, following out-of-box sync rules have been updated to include the required attribute flow:

    • AD からの受信 - ユーザー ExchangeIn from AD – User Exchange
    • AAD への送信 – ユーザー ExchangeOnlineOut to AAD – User ExchangeOnline
  • メタバースの cloudSOAExchMailbox 属性は、特定のユーザーに Exchange Online メールボックスがあるかどうかを示します。The cloudSOAExchMailbox attribute in the Metaverse indicates whether a given user has Exchange Online mailbox or not. その定義は、追加の Exchange Online RecipientDisplayTypes、つまり備品用メールボックスや会議室のメールボックスを含めるように更新されました。Its definition has been updated to include additional Exchange Online RecipientDisplayTypes as such Equipment and Conference Room mailboxes. この変更を有効にするために、既定の同期規則 "AAD からの受信 – ユーザー Exchange ハイブリッド" にある次の cloudSOAExchMailbox 属性の定義が更新されています。To enable this change, the definition of the cloudSOAExchMailbox attribute, which is found under out-of-box sync rule “In from AAD – User Exchange Hybrid”, has been updated from:

CBool(IIF(IsNullOrEmpty([cloudMSExchRecipientDisplayType]),NULL,BitAnd([cloudMSExchRecipientDisplayType],&amp;HFF) = 0))

更新後の定義は次のとおりです。... to the following:

CBool(
  IIF(IsPresent([cloudMSExchRecipientDisplayType]),(
    IIF([cloudMSExchRecipientDisplayType]=0,True,(
      IIF([cloudMSExchRecipientDisplayType]=2,True,(
        IIF([cloudMSExchRecipientDisplayType]=7,True,(
          IIF([cloudMSExchRecipientDisplayType]=8,True,(
            IIF([cloudMSExchRecipientDisplayType]=10,True,(
              IIF([cloudMSExchRecipientDisplayType]=16,True,(
                IIF([cloudMSExchRecipientDisplayType]=17,True,(
                  IIF([cloudMSExchRecipientDisplayType]=18,True,(
                    IIF([cloudMSExchRecipientDisplayType]=1073741824,True,(
                       IF([cloudMSExchRecipientDisplayType]=1073741840,True,False)))))))))))))))))))),False))

  • 同期規則の式を作成するために、X509Certificate2 対応の次の関数を追加しました。これにより、userCertificate 属性の証明書の値が処理されます。Added the following set of X509Certificate2-compatible functions for creating synchronization rule expressions to handle certificate values in the userCertificate attribute:

    CertSubjectCertSubject CertIssuerCertIssuer CertKeyAlgorithmCertKeyAlgorithm
    CertSubjectNameDNCertSubjectNameDN CertIssuerOidCertIssuerOid CertNameInfoCertNameInfo
    CertSubjectNameOidCertSubjectNameOid CertIssuerDNCertIssuerDN IsCertIsCert
    CertFriendlyNameCertFriendlyName CertThumbprintCertThumbprint CertExtensionOidsCertExtensionOids
    CertFormatCertFormat CertNotAfterCertNotAfter CertPublicKeyOidCertPublicKeyOid
    CertSerialNumberCertSerialNumber CertNotBeforeCertNotBefore CertPublicKeyParametersOidCertPublicKeyParametersOid
    CertVersionCertVersion CertSignatureAlgorithmOidCertSignatureAlgorithmOid 選択Select
    CertKeyAlgorithmParamsCertKeyAlgorithmParams CertHashStringCertHashString WhereWhere
    WithWith
  • 次のスキーマ変更が行われ、グループ オブジェクトについては sAMAccountName、domainNetBios、および domainFQDN を、ユーザー オブジェクトについては distinguishedName をフローするカスタム同期規則を、顧客が作成できます。Following schema changes have been introduced to allow customers to create custom synchronization rules to flow sAMAccountName, domainNetBios, and domainFQDN for Group objects, as well as distinguishedName for User objects:

    • 次の属性が、MV スキーマに追加されました。Following attributes have been added to MV schema:

      • グループ:AccountNameGroup: AccountName
      • グループ: domainNetBiosGroup: domainNetBios
      • グループ: domainFQDNGroup: domainFQDN
      • ユーザー: distinguishedNamePerson: distinguishedName
    • 次の属性が、Azure AD コネクタ スキーマに追加されました。Following attributes have been added to Azure AD Connector schema:

      • グループ:OnPremisesSamAccountNameGroup: OnPremisesSamAccountName
      • グループ:NetBiosNameGroup: NetBiosName
      • グループ:DnsDomainNameGroup: DnsDomainName
      • ユーザー:OnPremisesDistinguishedNameUser: OnPremisesDistinguishedName
  • ADSyncDomainJoinedComputerSync コマンドレット スクリプトで、AzureEnvironment という新しい省略可能なパラメーターを利用できるようになりました。The ADSyncDomainJoinedComputerSync cmdlet script now has a new optional parameter named AzureEnvironment. このパラメーターを使用して、対応する Azure Active Directory テナントがホストされているリージョンを指定します。The parameter is used to specify which region the corresponding Azure Active Directory tenant is hosted in. 有効な値は、次のとおりです。Valid values include:

    • AzureCloud (既定)AzureCloud (default)
    • AzureChinaCloudAzureChinaCloud
    • AzureGermanyCloudAzureGermanyCloud
    • USGovernmentUSGovernment
  • 同期規則の作成中、リンクの種類の既定値として、(プロビジョニングではなく) 結合が使用されるように同期規則エディターを更新しました。Updated Sync Rule Editor to use Join (instead of Provision) as the default value of link type during sync rule creation.

AD FS の管理AD FS management

修正された問題Issues fixed

  • 次の URL は、認証の障害に対する回復性を向上させるために Azure AD によって導入された新しい WS-Federation エンドポイントで、オンプレミスの AD FS 証明書利用者信頼の構成に追加されます。Following URLs are new WS-Federation endpoints introduced by Azure AD to improve resiliency against authentication outage and will be added to on-premises AD FS replying party trust configuration:

  • AD FS によって不正確な要求の値が IssuerID に対して生成される問題を修正しました。Fixed an issue that caused AD FS to generate incorrect claim value for IssuerID. この問題は、Azure AD テナントに複数の確認済みドメインがあり、IssuerID 要求の生成に使用される userPrincipalName 属性のドメイン サフィックスの深さが 3 レベル以上 (たとえば、johndoe@us.contoso.com) の場合に発生します。The issue occurs if there are multiple verified domains in the Azure AD tenant and the domain suffix of the userPrincipalName attribute used to generate the IssuerID claim is at least 3-levels deep (for example, johndoe@us.contoso.com). 問題を解決するには、要求規則によって使用される正規表現を更新します。The issue is resolved by updating the regex used by the claim rules.

新機能と機能強化New features and improvements

  • 以前は、Azure AD Connect が提供する ADFS 証明書の管理機能は、Azure AD Connect で管理されている ADFS ファームでのみ使用できました。Previously, the ADFS Certificate Management feature provided by Azure AD Connect can only be used with ADFS farms managed through Azure AD Connect. 現在、この機能は、Azure AD Connect で管理されていない ADFS ファームでも使用できます。Now, you can use the feature with ADFS farms that are not managed using Azure AD Connect.

1.1.524.01.1.524.0

リリース日:2017 年 5 月Released: May 2017

重要

このビルドでは、スキーマと同期規則に変更が加えられています。There are schema and sync rule changes introduced in this build. アップグレードの後、フル インポートの手順と完全同期の手順が Azure AD Connect 同期サービスによってトリガーされます。Azure AD Connect Synchronization Service will trigger Full Import and Full Sync steps after upgrade. 変更の詳細は以下で説明しています。Details of the changes are described below.

修正された問題:Fixed issues:

Azure AD Connect SyncAzure AD Connect sync

  • ユーザーが Set-ADSyncAutoUpgrade コマンドレットを使用して自動アップグレード機能を無効にしたにもかかわらず、Azure AD Connect サーバーで自動アップグレードが実行される問題を修正しました。Fixed an issue that causes Automatic Upgrade to occur on the Azure AD Connect server even if customer has disabled the feature using the Set-ADSyncAutoUpgrade cmdlet. この修正の適用後も、サーバー上の自動アップグレード プロセスで引き続きアップグレードが定期的にチェックされますが、ダウンロードされたインストーラーは、自動アップグレードの構成を忠実に守ります。With this fix, the Automatic Upgrade process on the server still checks for upgrade periodically, but the downloaded installer honors the Automatic Upgrade configuration.
  • DirSync のインプレース アップグレード中、Azure AD Connect は、Azure AD コネクタが Azure AD との同期に使用する Azure AD サービス アカウントを作成します。During DirSync in-place upgrade, Azure AD Connect creates an Azure AD service account to be used by the Azure AD connector for synchronizing with Azure AD. アカウントの作成後、Azure AD Connect は、そのアカウントを使って Azure AD を認証します。After the account is created, Azure AD Connect authenticates with Azure AD using the account. この認証が一時的な問題で失敗することがあり、それが原因で、DirSync のインプレース アップグレードも "An error has occurred executing Configure AAD Sync task: AADSTS50034: To sign into this application, the account must be added to the xxx.onmicrosoft.com directory. (AAD 同期タスクの構成の実行中にエラーが発生しました:AADSTS50034:このアプリケーションにサインインするには、xxx.onmicrosoft.com ディレクトリにアカウントを追加する必要があります。) " というエラーが発生して失敗することがあります。Sometimes, authentication fails because of transient issues, which in turn causes DirSync in-place upgrade to fail with error “An error has occurred executing Configure AAD Sync task: AADSTS50034: To sign into this application, the account must be added to the xxx.onmicrosoft.com directory.” DirSync アップグレードの回復性を高めるために、Azure AD Connect で認証ステップが再試行されるようになりました。To improve the resiliency of DirSync upgrade, Azure AD Connect now retries the authentication step.
  • ビルド 443 では、DirSync のインプレース アップグレードは成功するものの、ディレクトリの同期に必要な実行プロファイルが作成されない問題がありました。There was an issue with build 443 that causes DirSync in-place upgrade to succeed but run profiles required for directory synchronization are not created. このビルドの Azure AD Connect には、復旧ロジックが追加されています。Healing logic is included in this build of Azure AD Connect. ユーザーがこのビルドにアップグレードするときに、不足している実行プロファイルが Azure AD Connect によって検出されて作成されます。When customer upgrades to this build, Azure AD Connect detects missing run profiles and creates them.
  • パスワード同期処理が、イベント ID 6900 および "同一のキーを含む項目が既に追加されています" というエラーで起動に失敗する問題を修正しました。Fixed an issue that causes Password Synchronization process to fail to start with Event ID 6900 and error “An item with the same key has already been added”. この問題は、AD 構成パーティションを含めるように OU のフィルタリング構成を更新した場合に発生します。This issue occurs if you update OU filtering configuration to include AD configuration partition. この問題を修正するため、AD ドメイン パーティションからのパスワード変更のみを同期するようにパスワード同期処理を変更しました。To fix this issue, Password Synchronization process now synchronizes password changes from AD domain partitions only. 非ドメイン パーティション (構成パーティションなど) はスキップされます。Non-domain partitions such as configuration partition are skipped.
  • AD コネクタでオンプレミス AD との通信に使用されるオンプレミス AD DS アカウントが、高速インストール中、Azure AD Connect によって作成されます。During Express installation, Azure AD Connect creates an on-premises AD DS account to be used by the AD connector to communicate with on-premises AD. 以前のバージョンでは、このアカウントが、user-Account-Control 属性の PASSWD_NOTREQD フラグを設定した状態で作成され、アカウントにはランダムなパスワードが設定されます。Previously, the account is created with the PASSWD_NOTREQD flag set on the user-Account-Control attribute and a random password is set on the account. 新しいバージョンでは、アカウントのパスワードが設定された後、PASSWD_NOTREQD フラグは Azure AD Connect によって明示的に削除されます。Now, Azure AD Connect explicitly removes the PASSWD_NOTREQD flag after the password is set on the account.
  • オンプレミス AD スキーマに mailNickname 属性が検出されたものの、AD ユーザー オブジェクト クラスにその属性がバインドされていないと、"a deadlock occurred in sql server which trying to acquire an application lock (アプリケーション ロックの取得を試みるデッドロックが SQL Server で発生しました) " というエラーが発生して DirSync のアップグレードが失敗する問題を修正しました。Fixed an issue that causes DirSync upgrade to fail with error “a deadlock occurred in sql server which trying to acquire an application lock” when the mailNickname attribute is found in the on-premises AD schema, but is not bounded to the AD User object class.
  • 管理者が Azure AD Connect ウィザードを使って Azure AD Connect Sync の構成を更新しているときに、デバイスの書き戻し機能が自動的に無効になる問題を修正しました。Fixed an issue that causes Device writeback feature to automatically be disabled when an administrator is updating Azure AD Connect sync configuration using Azure AD Connect wizard. この問題は、デバイスの書き戻し構成が既にオンプレミス AD に存在しているときに、ウィザードによってその前提条件チェックが実行され、失敗することが原因で発生します。This issue is caused by the wizard performing a pre-requisite check for the existing Device writeback configuration in on-premises AD and the check fails. デバイスの書き戻しが既に有効になっている場合は、このチェックをスキップすることで問題を修正しました。The fix is to skip the check if Device writeback is already enabled previously.
  • OU のフィルタリングは、Azure AD Connect ウィザードを使用するか、または Synchronization Service Manager を使用して構成することができます。To configure OU filtering, you can either use the Azure AD Connect wizard or the Synchronization Service Manager. 以前のバージョンでは、Azure AD Connect ウィザードを使用して OU のフィルタリングを構成した場合、後で作成した新しい OU がディレクトリ同期の対象に含められます。Previously, if you use the Azure AD Connect wizard to configure OU filtering, new OUs created afterwards are included for directory synchronization. 新しい OU を含めたくない場合は、Synchronization Service Manager を使って OU のフィルタリングを構成する必要があります。If you do not want new OUs to be included, you must configure OU filtering using the Synchronization Service Manager. 新しいバージョンでは、同じ動作を Azure AD Connect ウィザードを使って実現できます。Now, you can achieve the same behavior using Azure AD Connect wizard.
  • Azure AD Connect で必要なストアド プロシージャが、dbo スキーマにではなく、インストールしている管理者のスキーマに作成される問題を修正しました。Fixed an issue that causes stored procedures required by Azure AD Connect to be created under the schema of the installing admin, instead of under the dbo schema.
  • Azure AD から返される TrackingId 属性が AAD Connect Server のイベント ログから抜け落ちる問題を修正しました。Fixed an issue that causes the TrackingId attribute returned by Azure AD to be omitted in the AAD Connect Server Event Logs. この問題は、Azure AD Connect が Azure AD からリダイレクト メッセージを受信し、指定されたエンドポイントに Azure AD Connect が接続できない場合に発生します。The issue occurs if Azure AD Connect receives a redirection message from Azure AD and Azure AD Connect is unable to connect to the endpoint provided. TrackingId は、トラブルシューティング時に、サービス側のログに関連付ける目的でサポート エンジニアが使用します。The TrackingId is used by Support Engineers to correlate with service side logs during troubleshooting.
  • Azure AD Connect は、Azure AD から LargeObject エラーを受け取ると、EventID 6941 のイベントと "提供されたオブジェクトが大きすぎます。このオブジェクト上の属性値の数を調整してください" というメッセージを生成します。When Azure AD Connect receives LargeObject error from Azure AD, Azure AD Connect generates an event with EventID 6941 and message “The provisioned object is too large. Trim the number of attribute values on this object.” その際、誤解を招くおそれのある EventID 6900 イベントと、"Microsoft.Online.Coexistence.ProvisionRetryException:Windows Azure Active Directory サービスと通信できません" というメッセージも Azure AD Connect から生成されます。At the same time, Azure AD Connect also generates a misleading event with EventID 6900 and message “Microsoft.Online.Coexistence.ProvisionRetryException: Unable to communicate with the Windows Azure Active Directory service.” 今後は混乱を防ぐために、Azure AD Connect で LargeObject エラーが発生しても、後者のイベントは生成されません。To minimize confusion, Azure AD Connect no longer generates the latter event when LargeObject error is received.
  • Generic LDAP コネクタの構成を更新しようとしているときに Synchronization Service Manager が無応答になる問題を修正しました。Fixed an issue that causes the Synchronization Service Manager to become unresponsive when trying to update the configuration for Generic LDAP connector.

新機能/改善点:New features/improvements:

Azure AD Connect SyncAzure AD Connect sync

  • 同期規則の変更 - 以下の同期規則に変更を加えました。Sync Rule Changes – The following sync rule changes have been implemented:

    • userCertificate 属性と userSMIMECertificate 属性に割り当てられている値が 15 個を超えている場合、これらの属性をエクスポートしないように既定の同期規則セットを更新しました。Updated default sync rule set to not export attributes userCertificate and userSMIMECertificate if the attributes have more than 15 values.
    • AD 属性 employeeIDmsExchBypassModerationLink は、既定の同期規則セットに追加しました。AD attributes employeeID and msExchBypassModerationLink are now included in the default sync rule set.
    • AD 属性 photo は、既定の同期規則セットから削除しました。AD attribute photo has been removed from default sync rule set.
    • メタバースのスキーマと AAD コネクタのスキーマに preferredDataLocation を追加しました。Added preferredDataLocation to the Metaverse schema and AAD Connector schema. Azure AD でいずれかの属性を更新する必要のあるユーザーは、カスタム同期規則を実装してそのようにすることができます。Customers who want to update either attributes in Azure AD can implement custom sync rules to do so.
    • メタバースのスキーマと AAD コネクタのスキーマに userType を追加しました。Added userType to the Metaverse schema and AAD Connector schema. Azure AD でいずれかの属性を更新する必要のあるユーザーは、カスタム同期規則を実装してそのようにすることができます。Customers who want to update either attributes in Azure AD can implement custom sync rules to do so.
  • 現在、Azure AD Connect では、ConsistencyGuid 属性の使用が、オンプレミスの AD オブジェクトのソース アンカー属性として自動的に有効になります。Azure AD Connect now automatically enables the use of ConsistencyGuid attribute as the Source Anchor attribute for on-premises AD objects. また、ConsistencyGuid 属性が空の場合、この属性は、Azure AD Connect によって、objectGuid 属性の値で自動的に設定されます。Further, Azure AD Connect populates the ConsistencyGuid attribute with the objectGuid attribute value if it is empty. この機能は新しいデプロイにのみ適用されます。This feature is applicable to new deployment only. この機能の詳細については、「Azure AD Connect:設計概念」の「sourceAnchor としての ms-DS-ConsistencyGuid の使用」を参照してください。To find out more about this feature, refer to article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor.

  • トラブルシューティングのための新しいコマンドレット Invoke-ADSyncDiagnostics を追加しました。パスワード ハッシュ同期に関する問題の診断に役立てることができます。New troubleshooting cmdlet Invoke-ADSyncDiagnostics has been added to help diagnose Password Hash Synchronization related issues. コマンドレットの使用について詳しくは、「Azure AD Connect Sync を使用したパスワード ハッシュ同期のトラブルシューティング」を参照してください。For information about using the cmdlet, refer to article Troubleshoot password hash synchronization with Azure AD Connect sync.

  • Azure AD Connect で新たに、オンプレミスの AD と Azure AD との間で "メールが有効なパブリック フォルダ" オブジェクトの同期がサポートされます。Azure AD Connect now supports synchronizing Mail-Enabled Public Folder objects from on-premises AD to Azure AD. この機能は、Azure AD Connect ウィザードのオプション機能から有効にできます。You can enable the feature using Azure AD Connect wizard under Optional Features. この機能の詳細については、「Office 365 Directory Based Edge Blocking support for on-premises Mail Enabled Public Folders (オンプレミスのメールが有効なパブリック フォルダーに対する Office 365 ディレクトリ ベース エッジ ブロック サポート)」を参照してください。To find out more about this feature, refer to article Office 365 Directory Based Edge Blocking support for on-premises Mail Enabled Public Folders.

  • Azure AD Connect では、オンプレミスの AD から同期するために AD DS アカウントが必要となります。Azure AD Connect requires an AD DS account to synchronize from on-premises AD. 以前は、簡易モードを使用して Azure AD Connect をインストールした場合、エンタープライズ管理者アカウントの資格情報を指定でき、必要な AD DS アカウントは Azure AD Connect によって作成されました。Previously, if you installed Azure AD Connect using the Express mode, you could provide the credentials of an Enterprise Admin account and Azure AD Connect would create the AD DS account required. しかし、カスタム インストールを行う場合や、既存のデプロイにフォレストを追加する場合は、AD DS アカウントを自分で指定する必要がありました。However, for a custom installation and adding forests to an existing deployment, you were required to provide the AD DS account instead. 今後は、カスタム インストールの際に、エンタープライズ管理者アカウントの資格情報を指定することで、必要な AD DS アカウントを Azure AD Connect で自動的に作成することもできます。Now, you also have the option to provide the credentials of an Enterprise Admin account during a custom installation and let Azure AD Connect create the AD DS account required.

  • Azure AD Connect で新たに SQL AOA がサポートされます。Azure AD Connect now supports SQL AOA. Azure AD Connect をインストールする前に SQL AOA を有効にする必要があります。You must enable SQL AOA before installing Azure AD Connect. インストール中、指定された SQL インスタンスで SQL AOA が有効であるかどうかが Azure AD Connect によって検出されます。During installation, Azure AD Connect detects whether the SQL instance provided is enabled for SQL AOA or not. SQL AOA が有効である場合、Azure AD Connect はさらに、SQL AOA が、同期レプリケーションまたは非同期レプリケーションを使用するように構成されているかどうかを調べます。If SQL AOA is enabled, Azure AD Connect further figures out if SQL AOA is configured to use synchronous replication or asynchronous replication. 可用性グループ リスナーを設定するときは、RegisterAllProvidersIP プロパティを 0 に設定することをお勧めします。When setting up the Availability Group Listener, it is recommended that you set the RegisterAllProvidersIP property to 0. Azure AD Connect は現在、SQL Native Client を使用して SQL に接続していますが、SQL Native Client は、MultiSubNetFailover プロパティの使用をサポートしていないためです。This recommendation is because Azure AD Connect currently uses SQL Native Client to connect to SQL and SQL Native Client does not support the use of MultiSubNetFailover property.

  • Azure AD Connect サーバーのデータベースとして LocalDB を使用していて、サイズの上限である 10 GB に達した場合、それ以降、同期サービスは起動しません。If you are using LocalDB as the database for your Azure AD Connect server and has reached its 10-GB size limit, the Synchronization Service no longer starts. 以前のバージョンでは、LocalDB で ShrinkDatabase 操作を実行し、同期サービスを起動できるだけの DB 空き領域を回収する必要があります。Previously, you need to perform ShrinkDatabase operation on the LocalDB to reclaim enough DB space for the Synchronization Service to start. その後は、Synchronization Service Manager を使用して実行履歴を削除し、DB 空き領域をさらに回収することができます。After which, you can use the Synchronization Service Manager to delete run history to reclaim more DB space. 新しいバージョンでは、Start-ADSyncPurgeRunHistory コマンドレットを使用して実行履歴データを LocalDB から消去し、DB 空き領域を回収することができます。Now, you can use Start-ADSyncPurgeRunHistory cmdlet to purge run history data from LocalDB to reclaim DB space. このコマンドレットは、同期サービスが実行されていないときに使用できるオフライン モードにも対応しています (-offline パラメーターを指定)。Further, this cmdlet supports an offline mode (by specifying the -offline parameter) which can be used when the Synchronization Service is not running. 注:オフライン モードは、同期サービスが実行されておらず、なおかつ使用されているデータベースが LocalDB である場合にのみ使用できます。Note: The offline mode can only be used if the Synchronization Service is not running and the database used is LocalDB.

  • 新しいバージョンの Azure AD Connect では、必要な記憶域スペースを小さくするために、同期エラーの詳細情報は、圧縮してから LocalDB/SQL データベースに格納されます。To reduce the amount of storage space required, Azure AD Connect now compresses sync error details before storing them in LocalDB/SQL databases. 以前のバージョンの Azure AD Connect からこのバージョンにアップグレードすると、既に存在している同期エラー情報に対して一回限りの圧縮が実行されます。When upgrading from an older version of Azure AD Connect to this version, Azure AD Connect performs a one-time compression on existing sync error details.

  • 以前のバージョンでは、OU のフィルタリング構成を更新した後、フル インポートを手動で実行して、ディレクトリ同期の対象に既存のオブジェクトを適切に含めたり、対象から除外したりする必要があります。Previously, after updating OU filtering configuration, you must manually run Full import to ensure existing objects are properly included/excluded from directory synchronization. 新しいバージョンの Azure AD Connect では、次の同期サイクルの間にフル インポートが自動的にトリガーされます。Now, Azure AD Connect automatically triggers Full import during the next sync cycle. また、フル インポートは、更新の影響を受けた AD コネクタにのみ適用されます。Further, Full import is only be applied to the AD connectors affected by the update. 注: この機能強化が適用されるのは、Azure AD Connect ウィザードを使用して行われた OU のフィルタリングの更新だけです。Note: this improvement is applicable to OU filtering updates made using the Azure AD Connect wizard only. Synchronization Service Manager を使って行われた OU のフィルタリングの更新には適用されません。It is not applicable to OU filtering update made using the Synchronization Service Manager.

  • 以前のバージョンでは、グループベースのフィルターが、ユーザー オブジェクト、グループ オブジェクト、連絡先オブジェクトでしかサポートされていません。Previously, Group-based filtering supports Users, Groups, and Contact objects only. 新しいバージョンでは、グループベースのフィルターでコンピューター オブジェクトもサポートされます。Now, Group-based filtering also supports Computer objects.

  • 以前のバージョンでは、Azure AD Connect 同期スケジューラを無効にしなくても、コネクタ スペースのデータを削除することができます。Previously, you can delete Connector Space data without disabling Azure AD Connect sync scheduler. 新しいバージョンでは、スケジューラが有効になっていることを Synchronization Service Manager が検出した場合、コネクタ スペースのデータは、削除できないようブロックされます。Now, the Synchronization Service Manager blocks the deletion of Connector Space data if it detects that the scheduler is enabled. さらに、コネクタ スペースのデータを削除するとデータが失われる可能性があるとして、ユーザーに警告が返されます。Further, a warning is returned to inform customers about potential data loss if the Connector space data is deleted.

  • 以前のバージョンでは、Azure AD Connect ウィザードを正しく動作させるためには、PowerShell トランスクリプションを無効にする必要があります。Previously, you must disable PowerShell transcription for Azure AD Connect wizard to run correctly. この問題は一部解決されています。This issue is partially resolved. Azure AD Connect ウィザードを使用して同期構成を管理している場合は、PowerShell トランスクリプションを有効にすることができます。You can enable PowerShell transcription if you are using Azure AD Connect wizard to manage sync configuration. Azure AD Connect ウィザードを使用して ADFS の構成を管理している場合は、PowerShell トランスクリプションを無効にする必要があります。You must disable PowerShell transcription if you are using Azure AD Connect wizard to manage ADFS configuration.

1.1.486.01.1.486.0

リリース日:2017 年 4 月Released: April 2017

修正された問題:Fixed issues:

  • Azure AD Connect がローカライズ版の Windows Server に正常にインストールされない問題を修正しました。Fixed the issue where Azure AD Connect will not install successfully on localized version of Windows Server.

1.1.484.01.1.484.0

リリース日:2017 年 4 月Released: April 2017

既知の問題:Known issues:

  • 次の条件がすべて当てはまる場合、このバージョンの Azure AD Connect は正常にインストールされません。This version of Azure AD Connect will not install successfully if the following conditions are all true:
    1. Azure AD Connect の DirSync インプレース アップグレードまたは新規インストールのどちらかを実行している。You are performing either DirSync in-place upgrade or fresh installation of Azure AD Connect.
    2. サーバー上の組み込みの管理者グループの名前が "Administrators" でないローカライズ版の Windows Server を使用している。You are using a localized version of Windows Server where the name of built-in Administrator group on the server isn't "Administrators".
    3. 独自の完全な SQL を提供するのではなく、Azure AD Connect と共にインストールされた既定の SQL Server 2012 Express LocalDB を使用している。You are using the default SQL Server 2012 Express LocalDB installed with Azure AD Connect instead of providing your own full SQL.

修正された問題:Fixed issues:

Azure AD Connect SyncAzure AD Connect sync

  • 1 つ以上のコネクタに同期手順の実行プロファイルがない場合、同期スケジューラがその同期手順全体をスキップする問題を修正しました。Fixed an issue where the sync scheduler skips the entire sync step if one or more connectors are missing run profile for that sync step. たとえば、差分インポート実行プロファイルを作成せずに、Synchronization Service Manager を使用してコネクタを手動で追加した場合です。For example, you manually added a connector using the Synchronization Service Manager without creating a Delta Import run profile for it. この解決策により、同期スケジューラが引き続き他のコネクタの差分インポートを実行することが保証されます。This fix ensures that the sync scheduler continues to run Delta Import for other connectors.
  • いずれかの実行手順で問題が発生した場合、同期サービスが直ちに実行プロファイルの処理を停止する問題を修正しました。Fixed an issue where the Synchronization Service immediately stops processing a run profile when it is encounters an issue with one of the run steps. この解決策により、同期サービスがその実行手順をスキップし、残りの処理を続行することが保証されます。This fix ensures that the Synchronization Service skips that run step and continues to process the rest. たとえば、複数の実行手順 (オンプレミス AD ドメインごとに 1 つ) を含む AD コネクタ用の差分インポート実行プロファイルがあります。For example, you have a Delta Import run profile for your AD connector with multiple run steps (one for each on-premises AD domain). そのいずれかにネットワーク接続に関する問題が発生した場合でも、同期サービスは他の AD ドメインの差分インポートを実行します。The Synchronization Service will run Delta Import with the other AD domains even if one of them has network connectivity issues.
  • 自動アップグレード中に Azure AD Connector の更新がスキップされる問題を修正しました。Fixed an issue that causes the Azure AD Connector update to be skipped during Automatic Upgrade.
  • セットアップ中にサーバーがドメイン コントローラであるかどうかを Azure AD Connect が誤って判定し、そのために DirSync アップグレードが失敗する問題を修正しました。Fixed an issue that causes Azure AD Connect to incorrectly determine whether the server is a domain controller during setup, which in turn causes DirSync upgrade to fail.
  • DirSync インプレース アップグレードで Azure AD Connector の実行プロファイルが作成されない問題を修正しました。Fixed an issue that causes DirSync in-place upgrade to not create any run profile for the Azure AD Connector.
  • Generic LDAP コネクタを構成しようとしたときに Synchronization Service Manager ユーザー インターフェイスが無応答になる問題を修正しました。Fixed an issue where the Synchronization Service Manager user interface becomes unresponsive when trying to configure Generic LDAP Connector.

AD FS の管理AD FS management

  • AD FS プライマリ ノードが別のサーバーに移動されている場合、Azure AD Connect ウィザードが失敗する問題を修正しました。Fixed an issue where the Azure AD Connect wizard fails if the AD FS primary node has been moved to another server.

デスクトップ SSODesktop SSO

  • 新規インストール中に [サインイン] オプションとして [パスワードの同期] を選択した場合、[サインイン] 画面で [デスクトップ SSO] 機能を有効にできない Azure AD Connect ウィザードの問題を修正しました。Fixed an issue in the Azure AD Connect wizard where the Sign-In screen does not let you enable Desktop SSO feature if you chose Password Synchronization as your Sign-In option during new installation.

新機能/改善点:New features/improvements:

Azure AD Connect SyncAzure AD Connect sync

  • Azure AD Connect 同期は現在、そのサービス アカウントとして仮想サービス アカウント、管理サービス アカウント、およびグループ管理サービス アカウントの使用をサポートしています。Azure AD Connect Sync now supports the use of Virtual Service Account, Managed Service Account and Group Managed Service Account as its service account. これは、Azure AD Connect の新規インストールにのみ適用されます。This applies to new installation of Azure AD Connect only. Azure AD Connect をインストールしている場合:When installing Azure AD Connect:
    • 既定では、Azure AD Connect ウィザードは仮想サービス アカウントを作成し、それをそのサービス アカウントとして使用します。By default, Azure AD Connect wizard will create a Virtual Service Account and uses it as its service account.
    • ドメイン コントローラ上にインストールしている場合、Azure AD Connect は、ドメイン ユーザー アカウントを作成する前の動作にフォールバックし、代わりにそれをそのサービス アカウントとして使用します。If you are installing on a domain controller, Azure AD Connect falls back to previous behavior where it will create a domain user account and uses it as its service account instead.
    • 次のいずれかを指定することによって、既定の動作をオーバーライドできます。You can override the default behavior by providing one of the following:
      • グループ管理サービス アカウントA Group Managed Service Account
      • 管理サービス アカウントA Managed Service Account
      • ドメイン ユーザー アカウントA domain user account
      • ローカル ユーザー アカウントA local user account
  • 以前は、コネクタの更新または同期規則の変更を含む Azure AD Connect の新しいビルドにアップグレードすると、Azure AD Connect は完全同期サイクルをトリガーしました。Previously, if you upgrade to a new build of Azure AD Connect containing connectors update or sync rule changes, Azure AD Connect will trigger a full sync cycle. 現在、Azure AD Connect は、更新を含むコネクタに対してのみフル インポート手順を、同期規則の変更を含むコネクタに対してのみ完全同期手順を選択的にトリガーします。Now, Azure AD Connect selectively triggers Full Import step only for connectors with update, and Full Synchronization step only for connectors with sync rule changes.
  • 以前は、エクスポート削除しきい値は、同期スケジューラからトリガーされたエクスポートにのみ適用されました。Previously, the Export Deletion Threshold only applies to exports which are triggered through the sync scheduler. 現在、この機能は、顧客が Synchronization Service Manager を使用して手動でトリガーしたエクスポートを含むように拡張されています。Now, the feature is extended to include exports manually triggered by the customer using the Synchronization Service Manager.
  • Azure AD テナント上に、そのテナントで [パスワードの同期] 機能が有効になっているかどうかを示すサービス構成が存在します。On your Azure AD tenant, there is a service configuration which indicates whether Password Synchronization feature is enabled for your tenant or not. 以前は、アクティブなステージング サーバーがある場合、Azure AD Connect はサービス構成を簡単に誤って構成しました。Previously, it is easy for the service configuration to be incorrectly configured by Azure AD Connect when you have an active and a staging server. 現在、Azure AD Connect は、サービス構成をアクティブな Azure AD Connect サーバーだけと整合性のある状態に保持しようとします。Now, Azure AD Connect will attempt to keep the service configuration consistent with your active Azure AD Connect server only.
  • Azure AD Connect ウィザードは現在、オンプレミス AD で AD のごみ箱が有効になっていないかどうかを検出し、警告を返します。Azure AD Connect wizard now detects and returns a warning if on-premises AD does not have AD Recycle Bin enabled.
  • 以前は、バッチ内のオブジェクトの合計サイズが特定のしきい値を超えている場合、Azure AD へのエクスポートはタイムアウトし、失敗しました。Previously, Export to Azure AD times out and fails if the combined size of the objects in the batch exceeds certain threshold. 現在、この問題が発生した場合、同期サービスは個別の、より小さなバッチでのオブジェクトの再送信を再度試みます。Now, the Synchronization Service will reattempt to resend the objects in separate, smaller batches if the issue is encountered.
  • 同期サービス キー管理アプリケーションが Windows の [スタート] メニューから削除されました。The Synchronization Service Key Management application has been removed from Windows Start Menu. 暗号化キーの管理は、miiskmu.exe を使用してコマンド ライン インターフェイス経由で引き続きサポートされます。Management of encryption key will continue to be supported through command-line interface using miiskmu.exe. 暗号化キーの管理については、Azure AD Connect 同期の暗号化キーの破棄の記事を参照してください。For information about managing encryption key, refer to article Abandoning the Azure AD Connect Sync encryption key.
  • 以前は、Azure AD Connect 同期サービス アカウントのパスワードを変更すると、暗号化キーを破棄し、Azure AD Connect 同期サービス アカウントのパスワードを再初期化するまで、同期サービスを正常に開始できなくなります。Previously, if you change the Azure AD Connect sync service account password, the Synchronization Service will not be able start correctly until you have abandoned the encryption key and reinitialized the Azure AD Connect sync service account password. 現在、このプロセスは必要なくなりました。Now, this process is no longer required.

デスクトップ SSODesktop SSO

  • Azure AD Connect ウィザードでは、パススルー認証およびデスクトップ SSO を構成する場合、ネットワーク上でポート 9090 を開く必要がなくなりました。Azure AD Connect wizard no longer requires port 9090 to be opened on the network when configuring Pass-through Authentication and Desktop SSO. ポート 443 のみが必要です。Only port 443 is required.

1.1.443.01.1.443.0

リリース日:2017 年 3 月Released: March 2017

修正された問題:Fixed issues:

Azure AD Connect SyncAzure AD Connect sync

  • Azure AD テナントに割り当てられた初期の onmicrosoft.com ドメインが Azure AD コネクタの表示名に含まれていない場合に Azure AD Connect ウィザードが失敗する原因となる問題が修正されました。Fixed an issue which causes Azure AD Connect wizard to fail if the display name of the Azure AD Connector does not contain the initial onmicrosoft.com domain assigned to the Azure AD tenant.
  • 同期サービス アカウントのパスワードにアポストロフィ、コロン、スペースなどの特殊文字が含まれている場合に SQL Database への接続時に Azure AD Connect ウィザードが失敗する原因となる問題が修正されました。Fixed an issue which causes Azure AD Connect wizard to fail while making connection to SQL database when the password of the Sync Service Account contains special characters such as apostrophe, colon and space.
  • オンプレミスの AD オブジェクトを同期から一時的に除外してからもう一度同期に含めた後で、ステージング モードの Azure AD Connect サーバー上で "The dimage has an anchor that is different than the image"(dimage にイメージとは異なるアンカーがあります) というエラーが発生する原因となる問題が修正されました。Fixed an issue which causes the error “The image has an anchor that is different than the image” to occur on an Azure AD Connect server in staging mode, after you have temporarily excluded an on-premises AD object from syncing and then included it again for syncing.
  • オンプレミスの ADオブジェクトを同期から一時的に除外してからもう一度同期に含めた後で、ステージング モードの Azure AD Connect サーバーで「The object located by DN is a phantom (DN によって特定されたオブジェクトはファントムです)」エラーが発生する原因となる問題が修正されました。Fixed an issue which causes the error “The object located by DN is a phantom” to occur on an Azure AD Connect server in staging mode, after you have temporarily excluded an on-premises AD object from syncing and then included it again for syncing.

AD FS の管理AD FS management

  • 代替ログイン ID が構成された後、Azure AD Connect ウィザードが AD FS の構成を更新せず、証明書利用者信頼に対する適切な要求を設定しない問題が修正されました。Fixed an issue where Azure AD Connect wizard does not update AD FS configuration and set the right claims on the relying party trust after Alternate Login ID is configured.
  • サービス アカウントが sAMAccountName 形式ではなく userPrincipalName 形式を使用して構成されている AD FS サーバーを Azure AD Connect ウィザードが正しく処理できない問題が修正されました。Fixed an issue where Azure AD Connect wizard is unable to correctly handle AD FS servers whose service accounts are configured using userPrincipalName format instead of sAMAccountName format.

パススルー認証Pass-through Authentication

  • パススルー認証が選ばれていてもそのコネクタの登録に失敗する場合に Azure AD Connect ウィザードが失敗する原因となる問題が修正されました。Fixed an issue which causes Azure AD Connect wizard to fail if Pass Through Authentication is selected but registration of its connector fails.
  • デスクトップ SSO 機能を有効にするときに選ばれたサインイン メソッドに対する検証チェックを Azure AD Connect ウィザードがバイパスする原因となる問題が修正されました。Fixed an issue which causes Azure AD Connect wizard to bypass validation checks on sign-in method selected when Desktop SSO feature is enabled.

パスワードのリセットPassword Reset

  • ファイアウォールまたはプロキシにより接続が強制終了した場合に Azure AAD Connect サーバーによる再接続の試行が行われない問題が修正されました。Fixed an issue which may cause the Azure AAD Connect server to not attempt to re-connect if the connection was killed by a firewall or proxy.

新機能/改善点:New features/improvements:

Azure AD Connect SyncAzure AD Connect sync

  • Get-ADSyncScheduler コマンドレットは、SyncCycleInProgress という名前の新しいブール値プロパティを返すようになりました。Get-ADSyncScheduler cmdlet now returns a new Boolean property named SyncCycleInProgress. 戻り値が true の場合は、進行中のスケジュールされた同期サイクルがあることを意味します。If the returned value is true, it means that there is a scheduled synchronization cycle in progress.
  • Azure AD Connect のインストールおよびセットアップ ログを格納するための保存先フォルダーが %localappdata%\AADConnect から %programdata%\AADConnect に移動され、ログ ファイルへのアクセシビリティが改善されました。Destination folder for storing Azure AD Connect installation and setup logs has been moved from %localappdata%\AADConnect to %programdata%\AADConnect to improve accessibility to the log files.

AD FS の管理AD FS management

  • AD FS ファーム SSL 証明書の更新のサポートが追加されました。Added support for updating AD FS Farm SSL Certificate.
  • AD FS 2016 を管理するためのサポートが追加されました。Added support for managing AD FS 2016.
  • AD FS のインストール中に既存の gMSA (グループ管理サービス アカウント) を指定できるようになりました。You can now specify existing gMSA (Group Managed Service Account) during AD FS installation.
  • SHA-256 を Azure AD 証明書利用者信頼の署名ハッシュ アルゴリズムとして構成できるようになりました。You can now configure SHA-256 as the signature hash algorithm for Azure AD relying party trust.

パスワードのリセットPassword Reset

  • より厳格なファイアウォール規則の環境においても製品が機能するように機能強化が導入されました。Introduced improvements to allow the product to function in environments with more stringent firewall rules.
  • Azure Service Bus への接続信頼性が向上しました。Improved connection reliability to Azure Service Bus.

1.1.380.01.1.380.0

リリース日:2016 年 12 月Released: December 2016

修正された問題:Fixed issue:

  • このビルドでの Active Directory Federation Services (AD FS) 用の issuerid 要求規則が欠落しているという問題を解決しました。Fixed the issue where the issuerid claim rule for Active Directory Federation Services (AD FS) is missing in this build.

注意

このビルドは、Azure AD Connect の自動アップグレード機能では提供されません。This build is not available to customers through the Azure AD Connect Auto Upgrade feature.

1.1.371.01.1.371.0

リリース日:2016 年 12 月Released: December 2016

既知の問題:Known issue:

  • このビルドには AD FS 用の issuerid 要求規則が欠落しています。The issuerid claim rule for AD FS is missing in this build. Azure Active Directory (Azure AD) で複数のドメインのフェデレーションを行っている場合は issuerid 要求規則が必要です。The issuerid claim rule is required if you are federating multiple domains with Azure Active Directory (Azure AD). Azure AD Connect を使用してオンプレミスの AD FS デプロイを管理している場合は、このビルドにアップグレードすると、既存の issuerid 要求規則が AD FS 構成から削除されます。If you are using Azure AD Connect to manage your on-premises AD FS deployment, upgrading to this build removes the existing issuerid claim rule from your AD FS configuration. この問題は、インストール/アップグレード後に issuerid 要求規則を追加することで回避できます。You can work around the issue by adding the issuerid claim rule after the installation/upgrade. issuerid 要求規則の追加の詳細については、「Azure AD とのフェデレーションに使用する複数ドメインのサポート」を参照してください。For details on adding the issuerid claim rule, refer to this article on Multiple domain support for federating with Azure AD.

修正された問題:Fixed issue:

  • ポート 9090 が送信接続に開かれていない場合、Azure AD Connect のインストールまたはアップグレードは失敗します。If Port 9090 is not opened for the outbound connection, the Azure AD Connect installation or upgrade fails.

注意

このビルドは、Azure AD Connect の自動アップグレード機能では提供されません。This build is not available to customers through the Azure AD Connect Auto Upgrade feature.

1.1.370.01.1.370.0

リリース日:2016 年 12 月Released: December 2016

既知の問題:Known issues:

  • このビルドには AD FS 用の issuerid 要求規則が欠落しています。The issuerid claim rule for AD FS is missing in this build. Azure AD で複数のドメインのフェデレーションを行っている場合は issuerid 要求規則が必要です。The issuerid claim rule is required if you are federating multiple domains with Azure AD. Azure AD Connect を使用してオンプレミスの AD FS デプロイを管理している場合は、このビルドにアップグレードすると、既存の issuerid 要求規則が AD FS 構成から削除されます。If you are using Azure AD Connect to manage your on-premises AD FS deployment, upgrading to this build removes the existing issuerid claim rule from your AD FS configuration. この問題は、インストール/アップグレード後に issuerid 要求規則を追加することで回避できます。You can work around the issue by adding the issuerid claim rule after installation/upgrade. issuerid 要求規則の追加の詳細については、「Azure AD とのフェデレーションに使用する複数ドメインのサポート」を参照してください。For details on adding issuerid claim rule, refer to this article on Multiple domain support for federating with Azure AD.
  • インストールを完了するには、ポート 9090 が送信に対して開かれている必要があります。Port 9090 must be open outbound to complete installation.

新機能:New features:

  • パススルー認証 (プレビュー)。Pass-through Authentication (Preview).

注意

このビルドは、Azure AD Connect の自動アップグレード機能では提供されません。This build is not available to customers through the Azure AD Connect Auto Upgrade feature.

1.1.343.01.1.343.0

リリース日:2016 年 11 月Released: November 2016

既知の問題:Known issue:

  • このビルドには AD FS 用の issuerid 要求規則が欠落しています。The issuerid claim rule for AD FS is missing in this build. Azure AD で複数のドメインのフェデレーションを行っている場合は issuerid 要求規則が必要です。The issuerid claim rule is required if you are federating multiple domains with Azure AD. Azure AD Connect を使用してオンプレミスの AD FS デプロイを管理している場合は、このビルドにアップグレードすると、既存の issuerid 要求規則が AD FS 構成から削除されます。If you are using Azure AD Connect to manage your on-premises AD FS deployment, upgrading to this build removes the existing issuerid claim rule from your AD FS configuration. この問題は、インストール/アップグレード後に issuerid 要求規則を追加することで回避できます。You can work around the issue by adding the issuerid claim rule after installation/upgrade. issuerid 要求規則の追加の詳細については、「Azure AD とのフェデレーションに使用する複数ドメインのサポート」を参照してください。For details on adding issuerid claim rule, refer to this article on Multiple domain support for federating with Azure AD.

修正された問題:Fixed issues:

  • 組織のパスワード ポリシーで指定された複雑さのレベルを満たしているパスワードを持つローカル サービス アカウントを作成することができないため、Azure AD Connect のインストールが失敗することがあります。Sometimes, installing Azure AD Connect fails because it is unable to create a local service account whose password meets the level of complexity specified by the organization's password policy.
  • コネクタ スペースのオブジェクトが、1 つの結合規則ではスコープ外になり、別の結合規則ではスコープ内になった場合に、結合規則が再評価されない問題が修正されました。Fixed an issue where join rules are not reevaluated when an object in the connector space simultaneously becomes out-of-scope for one join rule and become in-scope for another. この問題は、結合条件が相互に排他的になっている 2 つ以上の結合規則がある場合に発生することがあります。This can happen if you have two or more join rules whose join conditions are mutually exclusive.
  • 結合規則のない (Azure AD からの) 受信同期規則の優先順位の値が、結合規則のある受信同期規則よりも低い場合、結合規則のない受信同期規則が処理されないという問題が修正されました。Fixed an issue where inbound synchronization rules (from Azure AD), which do not contain join rules, are not processed if they have lower precedence values than those containing join rules.

機能強化:Improvements:

  • Windows Server 2016 Standard 以降に Azure AD Connect をインストールするためのサポートが追加されました。Added support for installing Azure AD Connect on Windows Server 2016 Standard or higher.
  • Azure AD Connect のリモートのデータベースとしての SQL Server 2016 の使用がサポートされるようになりました。Added support for using SQL Server 2016 as the remote database for Azure AD Connect.

1.1.281.01.1.281.0

リリース日:2016 年 8 月Released: August 2016

修正された問題:Fixed issues:

  • 同期間隔の変更が、次の同期サイクルの完了後まで反映されません。Changes to sync interval do not take place until after the next sync cycle is complete.
  • Azure AD Connect ウィザードで、アンダースコア (_) で始まるユーザー名を持つ Azure AD アカウントを使用できません。Azure AD Connect wizard does not accept an Azure AD account whose username starts with an underscore (_).
  • Azure AD Connect ウィザードで、アカウントのパスワードに含まれる特殊文字の数が多すぎると、指定した Azure AD アカウントの認証が失敗します。Azure AD Connect wizard fails to authenticate the Azure AD account if the account password contains too many special characters. "資格情報を検証できません。Error message "Unable to validate credentials. 予期しないエラーが発生しました" というエラー メッセージがAn unexpected error has occurred." 返されます。is returned.
  • ステージング サーバーをアンインストールすると、Azure AD テナントでパスワード同期が無効になり、アクティブなサーバーでのパスワード同期が失敗します。Uninstalling staging server disables password synchronization in Azure AD tenant and causes password synchronization to fail with active server.
  • ユーザーに対してパスワードのハッシュが格納されていない場合、例外的な状況でパスワード同期が失敗します。Password synchronization fails in uncommon cases when there is no password hash stored on the user.
  • Azure AD Connect サーバーでステージング モードが有効になっている場合、パスワード ライトバックが一時的に無効になりません。When Azure AD Connect server is enabled for staging mode, password writeback is not temporarily disabled.
  • サーバーがステージング モードの場合、Azure AD Connect ウィザードでパスワード同期とパスワード ライトバックの実際の構成が表示されません。Azure AD Connect wizard does not show the actual password synchronization and password writeback configuration when server is in staging mode. 常に無効として表示されます。It always shows them as disabled.
  • サーバーがステージング モードの場合、パスワード同期とパスワード ライトバックの構成への変更が Azure AD Connect ウィザードで保持されません。Configuration changes to password synchronization and password writeback are not persisted by Azure AD Connect wizard when server is in staging mode.

機能強化:Improvements:

  • Start-ADSyncSyncCycle コマンドレットが更新され、新しい同期サイクルを正常に開始できるかどうかを示すようになりました。Updated the Start-ADSyncSyncCycle cmdlet to indicate whether it is able to successfully start a new sync cycle or not.
  • Stop-ADSyncSyncCycle コマンドレットが追加され、現在実行中の同期サイクルと操作を終了できるようになりました。Added the Stop-ADSyncSyncCycle cmdlet to terminate sync cycle and operation, which are currently in progress.
  • Stop-ADSyncScheduler コマンドレットが更新され、現在実行中の同期サイクルと操作を終了できるようになりました。Updated the Stop-ADSyncScheduler cmdlet to terminate sync cycle and operation, which are currently in progress.
  • Azure AD Connect ウィザードでディレクトリ拡張機能を構成するときに、"Teletex 文字列" 型の Azure AD 属性を選択できるようになりました。When configuring Directory extensions in Azure AD Connect wizard, the Azure AD attribute of type "Teletex string" can now be selected.

1.1.189.01.1.189.0

リリース日:2016 年 6 月Released: June 2016

修正された問題と機能強化:Fixed issues and improvements:

  • Azure AD Connect を FIPS に準拠しているサーバーにインストールできるようになりました。Azure AD Connect can now be installed on a FIPS-compliant server.
  • Active Directory コネクタで、NetBIOS を FQDN に名前解決できないという問題が修正されました。Fixed an issue where a NetBIOS name could not be resolved to the FQDN in the Active Directory Connector.

1.1.180.01.1.180.0

リリース日:2016 年 5 月Released: May 2016

新機能:New features:

  • Azure AD Connect 実行前にドメインの確認が行われなかった場合に、ドメインの確認について警告し、必要なヘルプ情報を提供します。Warns and helps you verify domains if you didn’t do it before running Azure AD Connect.
  • Microsoft Cloud Germanyのサポートが追加されました。Added support for Microsoft Cloud Germany.
  • 新しい URL 要件を含む最新の Microsoft Azure Government クラウド インフラストラクチャのサポートが追加されました。Added support for the latest Microsoft Azure Government cloud infrastructure with new URL requirements.

修正された問題と機能強化:Fixed issues and improvements:

  • 同期規則を探しやすくするフィルターが同期規則エディターに追加されました。Added filtering to the Sync Rule Editor to make it easy to find sync rules.
  • コネクタ スペースを削除するときのパフォーマンスが改善されました。Improved performance when deleting a connector space.
  • 同じオブジェクトに対して削除と追加の両方が同一の実行で行われた場合 (削除/追加) の問題が修正されました。Fixed an issue when the same object was both deleted and added in the same run (called delete/add).
  • 無効にした同期規則で、含まれるオブジェクトや属性が、アップグレードまたはディレクトリ スキーマの更新時に再び有効にされることがなくなりました。A disabled sync rule no longer re-enables included objects and attributes on upgrade or directory schema refresh.

1.1.130.01.1.130.0

リリース日:2016 年 4 月Released: April 2016

新機能:New features:

1.1.119.01.1.119.0

リリース日:2016 年 3 月Released: March 2016

修正された問題:Fixed issues:

  • Windows Server 2008 (R2 より前のバージョン) ではパスワード同期がサポートされないため、このオペレーティング システムでは高速インストールが使用できなくなりました。Made sure Express installation cannot be used on Windows Server 2008 (pre-R2) because password sync is not supported on this operating system.
  • カスタム フィルター構成での DirSync からのアップグレードが予期したとおりに動作しません。Upgrade from DirSync with a custom filter configuration did not work as expected.
  • 新しいリリースへのアップグレード時に構成に変更がない場合は、フル インポート/同期をスケジュールすることはできません。When upgrading to a newer release and there are no changes to the configuration, a full import/synchronization should not be scheduled.

1.1.110.01.1.110.0

リリース日:2016 年 2 月Released: February 2016

修正された問題:Fixed issues:

  • インストールが既定の C:\Program Files フォルダーにない場合、以前のリリースからのアップグレードが機能しません。Upgrade from earlier releases does not work if the installation is not in the default C:\Program Files folder.
  • インストール時に、インストール ウィザードの最後で [...同期処理を開始してください] をオフにした場合、2 回目にインストール ウィザードを実行したときにスケジューラが有効になりません。If you install and clear Start the synchronization process at the end of the installation wizard, running the installation wizard a second time will not enable the scheduler.
  • 日付と時刻の形式が US-en ではない場合、スケジューラはサーバーで予想どおりに機能しません。The scheduler doesn't work as expected on servers where the US-en date/time format is not used. また、正しい時刻を返す Get-ADSyncScheduler もブロックされます。It will also block Get-ADSyncScheduler to return correct times.
  • サインイン オプションおよびアップグレードとして AD FS を使用して以前のリリースの Azure AD Connect をインストールした場合、インストール ウィザードを再度実行することはできません。If you installed an earlier release of Azure AD Connect with AD FS as the sign-in option and upgrade, you cannot run the installation wizard again.

1.1.105.01.1.105.0

リリース日:2016 年 2 月Released: February 2016

新機能:New features:

  • Automatic upgrade 機能。Automatic upgrade feature for Express settings customers.
  • インストール ウィザードで Azure Multi-Factor Authentication および Privileged Identity Management を使用して全体管理者をサポート。Support for the global admin by using Azure Multi-Factor Authentication and Privileged Identity Management in the installation wizard.
  • 初期インストール後のユーザーのサインイン方法の変更を許可。Allow changing the user's sign-in method after initial installation.
  • インストール ウィザードでのドメインと OU のフィルター処理を許可。Allow Domain and OU filtering in the installation wizard. これによって、一部のドメインは使用できないフォレストへの接続も許可されます。This also allows connecting to forests where not all domains are available.
  • 同期エンジンに組み込まれたスケジューラScheduler is built in to the sync engine.

プレビューから GA に昇格した機能:Features promoted from preview to GA:

新しいプレビュー機能:New preview features:

  • 新しい既定の同期サイクル間隔は 30 分です。The new default sync cycle interval is 30 minutes. 以前のすべてのリリースでは、3 時間でした。Used to be three hours for all earlier releases. スケジューラ の動作の変更がサポートされるようになりました。Adds support to change the scheduler behavior.

修正された問題:Fixed issues:

  • DNS ドメインの検証ページが、ドメインを認識できない場合がありました。The verify DNS domains page didn't always recognize the domains.
  • AD FS を構成するときに、ドメイン管理者の資格情報を求めるメッセージが表示されます。Prompts for domain admin credentials when configuring AD FS.
  • オンプレミス AD アカウントが、ルート ドメインとは異なる DNS ツリーを持つドメイン内にある場合、インストール ウィザードがそのアカウントを認識できません。The on-premises AD accounts are not recognized by the installation wizard if located in a domain with a different DNS tree than the root domain.

1.0.9131.01.0.9131.0

リリース日:2015 年 12 月Released: December 2015

修正された問題:Fixed issues:

  • Active Directory Domain Services (AD DS) でパスワードを変更するときにパスワードの同期が機能しない場合がありますが、パスワードの設定時には機能します。Password sync might not work when you change passwords in Active Directory Domain Services (AD DS), but works when you do set a password.
  • プロキシ サーバーがある場合、Azure AD に対する認証が、インストール中または構成ページでアップグレードが取り消された場合に失敗することがあります。When you have a proxy server, authentication to Azure AD might fail during installation, or if an upgrade is canceled on the configuration page.
  • SQL Server のシステム管理者 (SA) でない場合、完全な SQL Server インスタンスで以前のリリースの Azure AD Connect から更新すると失敗します。Updating from a previous release of Azure AD Connect with a full SQL Server instance fails if you are not a SQL Server system administrator (SA).
  • リモートの SQL Server で以前のリリースの Azure AD Connect から更新すると、"ADSync SQL データベースにアクセスできません" というエラーが表示されます。Updating from a previous release of Azure AD Connect with a remote SQL Server shows the “Unable to access the ADSync SQL database” error.

1.0.9125.01.0.9125.0

リリース日:2015 年 11 月Released: November 2015

新機能:New features:

  • AD FS から Azure AD に対する信頼を再構成できるようになりました。Can reconfigure AD FS to Azure AD trust.
  • Active Directory スキーマを更新し、同期規則を再生成できるようになりました。Can refresh the Active Directory schema and regenerate sync rules.
  • 同期規則を無効にできるようになりました。Can disable a sync rule.
  • 同期規則の新しいリテラルとして "AuthoritativeNull" を定義できるようになりました。Can define "AuthoritativeNull" as a new literal in a sync rule.

新しいプレビュー機能:New preview features:

新しくサポートされたシナリオ:New supported scenario:

修正された問題:Fixed issues:

  • パスワード同期の問題:Password synchronization issues:
    • スコープ外からスコープ内に移動されたオブジェクトのパスワードは同期されなくなります。An object moved from out-of-scope to in-scope will not have its password synchronized. これには、OU と属性フィルターの両方が含まれます。This includes both OU and attribute filtering.
    • 同期に含める新しい OU を選択する際に、完全なパスワード同期は必要ありません。Selecting a new OU to include in sync does not require a full password sync.
    • 無効なユーザーが有効になっても、パスワードは同期されません。When a disabled user is enabled the password does not sync.
    • パスワード再試行キューは無制限です。5,000 個のオブジェクトを上限として削除されるという以前の制限は削除されました。The password retry queue is infinite and the previous limit of 5,000 objects to be retired has been removed.
  • Windows Server 2016 フォレスト機能レベルを使用して Active Directory に接続することはできなくなりました。Not able to connect to Active Directory with Windows Server 2016 forest-functional level.
  • 最初のインストール後にグループ フィルターに使用したグループを変更できなくなりました。Not able to change the group that is used for group filtering after the initial installation.
  • パスワード ライトバックを有効にしてパスワードを変更した各ユーザーについては、Azure AD Connect の新しいユーザー プロファイルを作成しなくなりました。No longer creates a new user profile on the Azure AD Connect server for every user doing a password change with password writeback enabled.
  • 同期規則スコープに Long Integer 値を使用できなくなりました。Not able to use Long Integer values in sync rules scopes.
  • 到達不能なドメイン コントローラーがある場合、[デバイスの書き戻し] チェック ボックスは無効なままです。The check box "device writeback" remains disabled if there are unreachable domain controllers.

1.0.8667.01.0.8667.0

リリース日:2015 年 8 月Released: August 2015

新機能:New features:

  • Azure AD Connect インストール ウィザードが、すべての Windows Server 言語にローカライズされました。The Azure AD Connect installation wizard is now localized to all Windows Server languages.
  • Azure AD パスワード管理を使用する場合のアカウント ロック解除のサポートが追加されました。Added support for account unlock when using Azure AD password management.

修正された問題:Fixed issues:

  • インストールを開始したユーザー以外のユーザーがインストールを続けると、Azure AD Connect インストール ウィザードがクラッシュします。Azure AD Connect installation wizard crashes if another user continues installation rather than the person who first started the installation.
  • 以前の Azure AD Connect のアンインストールで Azure AD Connect Sync を完全にアンインストールできなかった場合、再インストールすることができません。If a previous uninstallation of Azure AD Connect fails to uninstall Azure AD Connect sync cleanly, it is not possible to reinstall.
  • ユーザーがフォレストのルート ドメインに属していないか、英語以外のバージョンの Active Directory が使用されている場合、高速インストールを使用して Azure AD Connect をインストールすることはできません。Cannot install Azure AD Connect using Express installation if the user is not in the root domain of the forest or if a non-English version of Active Directory is used.
  • Active Directory ユーザー アカウントの FQDN を解決できない場合、スキーマをコミットできなかったという誤ったエラー メッセージが表示されます。If the FQDN of the Active Directory user account cannot be resolved, a misleading error message “Failed to commit the schema” is shown.
  • Active Directory Connector で使用されているアカウントがウィザードの外部で変更された場合、ウィザードのその後の実行が失敗します。If the account used on the Active Directory Connector is changed outside the wizard, the wizard fails on subsequent runs.
  • ドメイン コントローラーで、Azure AD Connect のインストールが失敗することがあります。Azure AD Connect sometimes fails to install on a domain controller.
  • 拡張属性が追加されている場合、"ステージング モード" の有効化や無効化ができません。Cannot enable and disable “Staging mode” if extension attributes have been added.
  • Active Directory Connector での正しくないパスワードのために、一部の構成ではパスワード ライトバックが失敗します。Password writeback fails in some configurations because of a bad password on the Active Directory Connector.
  • 属性フィルターで識別名 (DN) が使用されている場合、DirSync をアップグレードできません。DirSync cannot be upgraded if a distinguished name (DN) is used in attribute filtering.
  • パスワード リセットの使用時に CPU 使用量が過剰になります。Excessive CPU usage when using password reset.

削除されたプレビュー機能:Removed preview features:

  • ユーザーの書き戻し プレビュー機能は、プレビューを利用されているお客様からのフィードバックに基づいて一時的に削除されました。The preview feature User writeback was temporarily removed based on feedback from our preview customers. このプレビュー機能は、提供されたフィードバックに対処した後で、再度追加されます。It will be added again later after we have addressed the provided feedback.

1.0.8641.01.0.8641.0

リリース日:2015 年 6 月Released: June 2015

Azure AD Connect の最初のリリースです。Initial release of Azure AD Connect.

名前が Azure AD Sync から Azure AD Connect に変更されました。Changed name from Azure AD Sync to Azure AD Connect.

新機能:New features:

新しいプレビュー機能:New preview features:

1.0.494.05011.0.494.0501

リリース日:2015 年 5 月Released: May 2015

新しい要件:New Requirement:

  • Azure AD Sync のインストールに .NET Framework 4.5.1 が必要になりました。Azure AD Sync now requires the .NET Framework version 4.5.1 to be installed.

修正された問題:Fixed issues:

  • Azure AD からのパスワード ライトバックが、Azure Service Bus 接続のエラーで失敗します。Password writeback from Azure AD is failing with an Azure Service Bus connectivity error.

1.0.491.04131.0.491.0413

リリース日:2015 年 4 月Released: April 2015

修正された問題と機能強化:Fixed issues and improvements:

  • ごみ箱が有効になっていて、フォレスト内に複数のドメインがある場合、Active Directory Connector が削除を正しく処理しません。The Active Directory Connector does not process deletes correctly if the recycle bin is enabled and there are multiple domains in the forest.
  • Azure Active Directory Connector で、インポート操作のパフォーマンスが改善されました。The performance of import operations has been improved for the Azure Active Directory Connector.
  • グループがメンバーシップの制限を超えた場合 (既定では、制限は 50,000 オブジェクトに設定)、Azure Active Directory でグループが削除されます。When a group has exceeded the membership limit (by default, the limit is set to 50,000 objects), the group was deleted in Azure Active Directory. 新しい動作では、グループは削除されません。エラーがスローされ、新しいメンバーシップの変更はエクスポートされません。With the new behavior, the group is not deleted, an error is thrown, and new membership changes are not exported.
  • 同じ DN のステージングされた削除がコネクタ スペース内に既に存在する場合、新しいオブジェクトをプロビジョニングすることはできません。A new object cannot be provisioned if a staged delete with the same DN is already present in the connector space.
  • オブジェクトでステージングされている変更がなくても、差分同期中に一部のオブジェクトが同期のためにマークされます。Some objects are marked for synchronization during a delta sync even though there's no change staged on the object.
  • パスワード同期を強制すると、優先 DC リストも削除されます。Forcing a password sync also removes the preferred DC list.
  • CSExportAnalyzer には、一部のオブジェクトの状態に関する問題があります。CSExportAnalyzer has problems with some objects states.

新機能:New features:

  • 結合で、MV の "任意" のオブジェクト型に接続できるようになりました。A join can now connect to “ANY” object type in the MV.

1.0.485.02221.0.485.0222

リリース日:2015 年 2 月Released: February 2015

機能強化:Improvements:

  • インポートのパフォーマンスが強化されました。Improved import performance.

修正された問題:Fixed issues:

  • パスワード同期が、属性フィルターで使用される cloudFiltered 属性を受け取ります。Password Sync honors the cloudFiltered attribute that is used by attribute filtering. フィルター処理されたオブジェクトが、パスワード同期のスコープに含まれなくなります。Filtered objects are no longer in scope for password synchronization.
  • トポロジが多くのドメイン コントローラーを持つまれな状況では、パスワード同期が機能しません。In rare situations where the topology had many domain controllers, password sync doesn’t work.
  • Azure AD/Intune でデバイス管理が有効化された後、Azure AD Connector からのインポート時に、"サーバーが停止" します。“Stopped-server” when importing from the Azure AD Connector after device management has been enabled in Azure AD/Intune.
  • 同じフォレスト内の複数のドメインの外部セキュリティ プリンシパル (FSP) を結合すると、あいまい結合のエラーが発生します。Joining Foreign Security Principals (FSPs) from multiple domains in same forest causes an ambiguous-join error.

1.0.475.12021.0.475.1202

リリース日:2014 年 12 月Released: December 2014

新機能:New features:

  • 属性ベースのフィルターでのパスワード同期がサポートされるようになりました。Password synchronization with attribute-based filtering is now supported. 詳細については、フィルターによるパスワード同期に関するページを参照してください。For more information, see Password synchronization with filtering.
  • ms-DS-ExternalDirectoryObjectID 属性が Active Directory に書き戻されます。The ms-DS-ExternalDirectoryObjectID attribute is written back to Active Directory. この機能により、Office 365 アプリケーションのサポートが追加されます。This feature adds support for Office 365 applications. OAuth2 を使用して、ハイブリッド Exchange デプロイのオンラインとオンプレミスのメールボックスへのアクセスが行われます。It uses OAuth2 to access Online and On-Premises mailboxes in a Hybrid Exchange Deployment.

修正されたアップグレードの問題:Fixed upgrade issues:

  • より新しいバージョンのサインイン アシスタントをサーバーで利用できます。A newer version of the sign-in assistant is available on the server.
  • Azure AD Sync をインストールするために、カスタム インストール パスが使用されていました。A custom installation path was used to install Azure AD Sync.
  • 無効なカスタム結合条件によって、アップグレードがブロックされます。An invalid custom join criterion blocks the upgrade.

その他の修正:Other fixes:

  • Office Pro Plus 用のテンプレートが修正されました。Fixed the templates for Office Pro Plus.
  • ダッシュで始まるユーザー名によって発生する、インストールの問題が修正されました。Fixed installation issues caused by user names that start with a dash.
  • インストール ウィザードを 2 回目に実行しているときに sourceAnchor 設定が失われる問題を修正しました。Fixed losing the sourceAnchor setting when running the installation wizard a second time.
  • パスワード同期の ETW トレースの問題が修正されました。Fixed ETW tracing for password synchronization.

1.0.470.10231.0.470.1023

リリース日:2014 年 10 月Released: October 2014

新機能:New features:

  • 複数のオンプレミス Active Directory から Azure AD へのパスワードの同期。Password synchronization from multiple on-premises Active Directory to Azure AD.
  • すべての Windows Server 言語にローカライズされたインストール UI。Localized installation UI to all Windows Server languages.

AADSync 1.0 GA からのアップグレードUpgrading from AADSync 1.0 GA

Azure AD Sync が既にインストールされている場合、標準の同期規則を変更したのであれば、追加の手順が 1 つ必要になります。If you already have Azure AD Sync installed, there is one additional step you have to take in case you have changed any of the out-of-box synchronization rules. 1.0.470.1023 リリースにアップグレードした後で、変更した同期規則は複製されます。After you have upgraded to the 1.0.470.1023 release, the synchronization rules you have modified are duplicated. 変更された各同期規則で、次の操作を行ってください。For each modified sync rule, do the following:

  1. 変更した同期規則を探して、変更内容をメモしておきます。Locate the sync rule you have modified and take a note of the changes.
  2. 同期規則を削除します。Delete the sync rule.
  3. Azure AD Sync によって作成された新しい同期規則を探して、変更を再適用します。Locate the new sync rule that is created by Azure AD Sync and then reapply the changes.

Active Directory アカウントのアクセス許可Permissions for the Active Directory account

Active Directory アカウントには、Active Directory からのパスワード ハッシュを読み取ることができるように、追加のアクセス許可を与える必要があります。The Active Directory account must be granted additional permissions to be able to read the password hashes from Active Directory. 付与するアクセス許可の名前は、[ディレクトリの変更のレプリケート] と [ディレクトリの変更をすべてにレプリケート] です。The permissions to grant are named “Replicating Directory Changes” and “Replicating Directory Changes All.” パスワード ハッシュを読み取るためには、両方のアクセス許可が必要です。Both permissions are required to be able to read the password hashes.

1.0.419.09111.0.419.0911

リリース日:2014 年 9 月Released: September 2014

Azure AD Sync の最初のリリースです。Initial release of Azure AD Sync.

次の手順Next steps

オンプレミス ID と Azure Active Directory の統合」をご覧ください。Learn more about Integrating your on-premises identities with Azure Active Directory.