Microsoft Entra Connect と Microsoft Entra Connect Health のインストール ロードマップ
Microsoft Entra Connect をインストールする
重要
公式に文書化されているアクションを除き、Microsoft では Microsoft Entra Connect Sync の変更や操作はサポートされていません。 サポート対象外のアクションを行うと、Microsoft Entra Connect Sync が不整合な状態やサポート対象外の状態になる可能性があります。Microsoft は、そのようなデプロイに対してテクニカル サポートを提供できません。
Microsoft Entra Connect は Microsoft ダウンロード センターからダウンロードできます。
| 解決策 | シナリオ |
|---|---|
| 開始する前に - ハードウェアと前提条件 | |
| 簡単設定 | |
| カスタマイズした設定 | |
| DirSync からのアップグレード | |
| Azure AD Sync または Microsoft Entra Connect からのアップグレード |
インストール後に 想定どおりに動作していることをことを確認し、ユーザーにライセンスを割り当てる必要があります。
「Microsoft Entra Connect をインストールする」の次の手順
| トピック | リンク |
|---|---|
| Microsoft Entra Connect をダウンロードする | Microsoft Entra Connect をダウンロードする |
| Express 設定を使用したインストール | Microsoft Entra Connect の高速インストール |
| カスタマイズした設定を使用したインストール | Microsoft Entra Connect のカスタム インストール |
| DirSync からのアップグレード | Azure AD Sync ツール (DirSync) からのアップグレード |
| インストール後に | インストールの確認とライセンスの割り当て |
「Microsoft Entra Connect をインストールする」に関する詳細
運用 上の問題への備えも必要になることがあります。 障害が発生したときにフェールオーバーできるように、スタンバイ サーバーを用意するという方法もあります。 頻繁に構成を変更する予定がある場合は、 ステージング モード サーバーについて計画してください。
| トピック | Link |
|---|---|
| サポートされているトポロジ | Microsoft Entra Connect のトポロジ |
| 設計概念 | Microsoft Entra Connect の設計概念 |
| インストールで使用するアカウント | Microsoft Entra Connect の資格情報とアクセス許可の詳細 |
| 運用計画 | Microsoft Entra Connect Sync: 操作タスクおよび考慮事項 |
| ユーザーのサインイン オプション | Microsoft Entra Connect ユーザー サインイン オプション |
同期機能を構成する
Microsoft Entra Connect には、必要に応じて有効にすることができる機能や、既定で有効になっている機能があります。 ただし一部の機能は、特定のシナリオやトポロジを実現するために、特別な構成が必要となります。
フィルター処理 は、Microsoft Entra ID に同期するオブジェクトを制限する場合に使用します。 既定では、すべてのユーザー、連絡先、グループ、Windows 10 コンピューターが同期の対象となります。 フィルター処理は、ドメインや OU、属性に基づいて変更することができます。
パスワード ハッシュ同期は、Active Directory のパスワード ハッシュを Microsoft Entra ID と同期させる機能です。 エンド ユーザーがオンプレミスとクラウドで同じパスワードを使用でき、しかもそれを 1 か所で管理することができます。 オンプレミスの Active Directory が認証機関として使用されているため、独自のパスワード ポリシーを使用することもできます。
パスワード ライトバック により、ユーザーはクラウドでパスワードを変更およびリセットし、オンプレミスのパスワード ポリシーを適用できます。
デバイス ライトバックを使用すると、Microsoft Entra ID に登録されているデバイスをオンプレミスの Active Directory にライトバックできます。これにより、そのデバイスを条件付きアクセスに使用できるようになります。
誤って削除されないように保護する 機能は既定で有効になっており、多数のクラウド ディレクトリが同時に削除されるのを防ぐことができます。 1 回の実行で削除できるディレクトリは、既定では 500 個です。 この設定は、組織の規模に応じて変更できます。
自動アップグレード は、簡単設定を使用したインストールでは既定で有効になっており、Microsoft Entra Connect が最新のリリースで常に最新の状態になるようにします。
同期機能を構成する次のステップ
| トピック | Link |
|---|---|
| フィルター処理の構成 | Microsoft Entra Connect Sync: フィルター処理を構成する |
| パスワード ハッシュの同期 | パスワード ハッシュの同期 |
| パススルー認証 | パススルー認証 |
| パスワードの書き戻し | パスワード管理の概要 |
| デバイスの書き戻し | Microsoft Entra Connect: デバイス ライトバックの有効化 |
| 誤って削除されないように保護する | Microsoft Entra Connect Sync: 誤って削除されないように保護する |
| 自動アップグレード | Microsoft Entra Connect: 自動アップグレード |
Microsoft Entra Connect Sync をカスタマイズする
Microsoft Entra Connect Sync には、ほとんどのお客様とトポロジに対応した既定の構成が設定されています。 とはいえ、既定の構成ではうまくいかず、調整が必要な場面も必ず存在します。 このセクションとリンク先のトピックにまとめられているように、構成は変更できます。
これまでに同期トポロジを扱った経験がない場合は、 技術的概念で説明されている基本情報と用語を確認してください。 似た要素もあるものの、多数の変更が加えられています。
この 既定の構成 は、複数のフォレストが存在する可能性があることを前提としています。 これらのトポロジでは、ユーザー オブジェクトが別のフォレスト内の連絡先として表されることがあります。 ユーザーは、別のリソース フォレストにリンクされたメールボックスを持っている場合もあります。 既定の構成の動作については、 ユーザーと連絡先に関するページを参照してください。
同期の構成モデルは、 宣言型のプロビジョニングと呼ばれています。 高度な属性のフローでは、 関数 を使って属性の変換を表現します。 Microsoft Entra Connect に付属するツールを使って、構成全体を確認、検証できます。 構成を変更する必要がある場合は、新しいリリースを採用しやすいように、 ベスト プラクティス に従ってください。
「Microsoft Entra Connect Sync をカスタマイズする」の次の手順
| トピック | リンク |
|---|---|
| Microsoft Entra Connect Sync に関するすべての記事 | Microsoft Entra Connect 同期 |
| 技術的概念 | Microsoft Entra Connect 同期: 技術的概念 |
| 既定の構成について | AMicrosoft Entra Connect 同期: 既定の構成について |
| ユーザーと連絡先について | Microsoft Entra Connect Sync: ユーザーと連絡先について |
| 宣言型のプロビジョニング | Microsoft Entra Connect Sync: 宣言型プロビジョニング式について |
| 既定の構成の変更 | 既定の構成の変更するためのベスト プラクティス |
フェデレーション機能を構成する
Microsoft Entra Connect には、Microsoft Entra ID とのフェデレーションを AD FS の使用とフェデレーション信頼の管理を通じて省力化するさまざまな機能が備わっています。 Microsoft Entra Connect では、Windows Server 2012R2 以降の AD FS がサポートされます。
フェデレーション信頼の管理に Microsoft Entra Connect を使用していない場合でも、AD FS ファームの TLS/SSL 証明書を更新することができます。
ファームに AD FS サーバーを追加することで必要に応じてファームを拡張できます。
たった数回のクリック操作で Microsoft Entra ID との信頼を修復できます。
ADFS は 複数のドメインをサポートするように構成できます。 たとえば、フェデレーションに利用する複数の上位ドメインが必要になることがあります。
Microsoft Entra ID から証明書を自動更新するように ADFS サーバーを更新していない場合、または非 ADFS ソリューションを使用している場合、証明書の更新が必要になったときに通知されます。
フェデレーション機能を構成する次のステップ
| トピック | Link |
|---|---|
| AD FS に関するすべての記事 | Microsoft Entra Connect とフェデレーション |
| サブドメインで ADFS を構成する | Microsoft Entra ID とのフェデレーションに使用するマルチ ドメイン サポート |
| AD FS ファームを管理する | Microsoft Entra Connect での AD FS の管理とカスタマイズ |
| フェデレーション証明書を手動で更新する | Microsoft 365 と Microsoft Entra ID のフェデレーション証明書の更新 |
Microsoft Entra Connect Health の使用を開始する
Microsoft Entra Connect Health の使用を開始するには、次の手順に従います。
- Microsoft Entra ID P1 または P2 を取得するか、試用版を開始します。
- Microsoft Entra Connect Health エージェントをダウンロードし、ID サーバーにインストールします。
- Microsoft Entra Connect Health ダッシュボードが https://aka.ms/aadconnecthealth に表示されます。
Note
Microsoft Entra Connect Health ダッシュボードでデータを表示するためには、あらかじめ対象サーバーに Microsoft Entra Connect Health エージェントをインストールしておく必要があります。
Microsoft Entra Connect Health エージェントをダウンロードしてインストールする
- Microsoft Entra Connect Health の要件が満たされていることします。
- AD FS 用 Microsoft Entra Connect Health の使用を開始する
- 同期用 Microsoft Entra Connect Health の使用を開始する
- 最新バージョンの Microsoft Entra Connect をダウンロードしてインストールします。 同期用の Health エージェントは、Microsoft Entra Connect (バージョン 1.0.9125.0 以降) のインストール時に構成要素としてインストールされます。
- AD DS 用 Microsoft Entra Connect Health の使用を開始する
Microsoft Entra Connect Health ポータル
Microsoft Entra Connect Health ポータルでは、アラート、パフォーマンスの監視、利用状況分析に関するビューが表示されます。 https://aka.ms/aadconnecthealth URL で Microsoft Entra Connect Health のメイン ブレードに移動することができます。 ブレードは、ウィンドウと考えることができます。 メイン ブレードでは、[クイック スタート]、Microsoft Entra Connect Health で提供されるサービス、その他の構成オプションが表示されます。 次のスクリーンショットとそれに続く簡単な説明をご覧ください。 エージェントのデプロイ後、Microsoft Entra Connect Health で監視されているサービスが、Health サービスによって自動的に識別されます。
Note
ライセンス情報については、「Microsoft Entra Connect Health に関してよく寄せられる質問」または Microsoft Entraの価格に関するページを参照してください。
- [クイック スタート] :このオプションを選択すると、 [クイック スタート] ブレードが開きます。 [Get Tools] (ツールを入手する) を選択することで、Microsoft Entra Connect Health エージェントをダウンロードできます。 ドキュメントの利用とフィードバックの提供もできます。
- [Microsoft Entra Connect (sync)] (Microsoft Entra Connect (同期)): このオプションを選択すると、Microsoft Entra Connect Health が現在監視している Microsoft Entra Connect サーバーが表示されます。 [同期エラー] エントリは、カテゴリごとに、最初のオンボード同期サービスの基本的な同期エラーを示します。 [同期サービス] エントリを選択すると、ブレードが開いて Microsoft Entra Connect サーバーに関する情報が表示されます。 同期用 Microsoft Entra Connect Health の使用に関するページで各種機能をご確認ください。
- [Active Directory フェデレーション サービス]: このオプションを選択すると、Microsoft Entra Connect Health が現在監視しているすべての AD FS サービスが表示されます。 インスタンスを選択すると、ブレードが開いてそのサービス インスタンスに関する情報が表示されます。 この情報には、概要、プロパティ、アラート、監視、使用状況の分析などが含まれます。 AD FS 用 Microsoft Entra Connect Health の使用に関するページで各種機能をご確認ください。
- [Active Directory Domain Services]: このオプションを選択すると、Microsoft Entra Connect Health が現在監視しているすべての AD DS フォレストが表示されます。 フォレストを選択すると、ブレードが開いてそのフォレストに関する情報が表示されます。 この情報には、重要度のきわめて高い情報、ドメイン コントローラーのダッシュボード、レプリケーションの状態のダッシュボード、アラート、監視の概要が含まれます。 AD DS 用 Microsoft Entra Connect Health の使用に関するページで各種機能をご確認ください。
- [構成]: このセクションには、次の機能をオンまたはオフに切り替えるオプションがあります。
- トラブルシューティングの目的限定での Microsoft による Microsoft Entra ディレクトリ整合性からのデータへのアクセス: このオプションが有効になっている場合、Microsoft は、ユーザーが表示したデータと同じものにアクセスできます。 この情報は、トラブルシューティングや、必要なサポートの提供に役立ちます。 このオプションは、既定で無効です。
- [ロール ベースのアクセス制御 (IAM)] は、ロール ベースの Connect Health データへのアクセスを管理するためのセクションです。