Microsoft Entra Connect の計画、設計、実装を行う

  • 12 分

Microsoft Entra Connect は、組織のオンプレミス Active Directory とクラウドベースの Microsoft Entra ID を橋渡しするソリューションです。 IT はオンプレミスから Azure に ID を同期でき、両方のプラットフォームで一貫した ID が保証されます。 この接続により、パスワード ハッシュの同期、パススルー認証、シームレス シングル サインオン (SSO) などのサービスを使用できるようになります。

Microsoft Entra Connect は、ハイブリッド ID の目標に適合し、それを達成するように設計された Microsoft のツールです。 次の機能を提供します。

  • 同期 - ユーザー、グループ、およびその他のオブジェクトを作成する役割を果たします。 その後、オンプレミスのユーザーとグループの ID 情報をクラウド側と一致させます。 この同期にはパスワード ハッシュも含まれます。
  • パスワード ハッシュ同期 - ユーザーのオンプレミス AD パスワードのハッシュを Microsoft Entra ID と同期させるサインイン方法。
  • パススルー認証 - ユーザーがオンプレミスとクラウドで同じパスワードを使用できるようになり、フェデレーション環境の追加インフラストラクチャが不要なサインイン方法。
  • フェデレーション統合 - フェデレーションは Microsoft Entra Connect のオプション部分であり、オンプレミスの AD FS インフラストラクチャを使ってハイブリッド環境を構成するために使用できます。 証明書の更新や追加の AD FS サーバー デプロイなどの AD FS 管理機能も提供されます。
  • 稼働状況の監視 - Microsoft Entra Connect-Health は、堅牢な監視機能を提供します。

Microsoft Entra Connect を使用する理由

オンプレミスのディレクトリと Microsoft Entra ID を統合すると、クラウドとオンプレミス両方のリソースにアクセスするための共通の ID が提供されるため、ユーザーの生産性が向上します。 Microsoft Entra Connect を使用すると、ユーザーは、単一の ID を使用してオンプレミスのアプリケーションにもクラウド サービス (Microsoft 365 など) にもアクセスできます。 さらに、組織は、単一のツールを使用して、同期とサインインのための容易なデプロイを実現できます。 Microsoft Entra Connect は、以前のバージョンの ID 統合ツールを置き換えます。これは、Microsoft Entra ID サブスクリプションに含まれています。

認証方法を選びます

ID は IT セキュリティの新しいコントロール プレーンであるため、認証は新しいクラウド環境への組織のアクセス ガードです。 組織には、セキュリティを強化し、クラウド アプリを侵入者から保護する ID コントロール プレーンが必要です。 新しいコントロール プレーンとして Microsoft Entra ハイブリッド ID ソリューションを採用する場合、認証がクラウド アクセスの基盤です。 正しい認証方法の選択は、Microsoft Entra ハイブリッド ID ソリューションのセットアップにおける最初の重要な決定です。 認証方法を選ぶには、時間、既存のインフラストラクチャ、複雑さ、および選んだ方法の実装にかかるコストを考慮する必要があります。 これらの要因は組織ごとに異なり、時間の経過とともに変化する場合があります。

クラウド認証

この認証方法を選ぶと、Microsoft Entra ID がユーザーのサインイン プロセスを処理します。 シームレスなシングル サインオン (SSO) と組み合わせると、ユーザーは資格情報を再入力しなくてもクラウド アプリにサインインできます。 クラウド認証では、2 つのオプションから選ぶことができます。

Microsoft Entra パスワード ハッシュ同期 (PHS)。 Microsoft Entra でオンプレミスのディレクトリ オブジェクトの認証を有効にする最も簡単な方法です。 ユーザーはオンプレミスで使用しているものと同じユーザー名とパスワードを使用でき、追加のインフラストラクチャを展開する必要はありません。

  • 作業量。 パスワード ハッシュ同期は、展開、メンテナンス、インフラストラクチャに関して最小の作業量を必要とします。 ユーザーに必要なことが、Microsoft 365、SaaS アプリ、その他の Microsoft Entra ID ベースのリソースへのサインインのみである組織に対しては、通常、このレベルの作業量が適用されます。 パスワード ハッシュ同期をオンにすると、Microsoft Entra Connect 同期プロセスの一環として動作し、2 分ごとに実行されます。
  • ユーザー エクスペリエンス。 ユーザーのサインイン エクスペリエンスを向上させるには、パスワード ハッシュ同期と共にシームレス SSO を展開します。 シームレス SSO によって、ユーザーのサインイン時に不要なプロンプトが表示されないようになります。
  • 高度なシナリオ。 組織は、Microsoft Entra ID Premium P2 で Microsoft Entra Identity Protection のレポートを使用して ID からの分析情報を使用することを選択できます。 その 1 つの例が漏洩した資格情報レポートです。 Windows Hello for Business には、パスワード ハッシュ同期を使用するときの特定の要件があります。 Microsoft Entra Domain Services では、マネージド ドメインで会社の資格情報を使用してユーザーを作成するために、パスワードのハッシュ同期が必要です。
  • ビジネス継続性。 クラウド認証と共にパスワード ハッシュ同期を使用することは、すべての Microsoft データセンターに対応するようにスケーリングするクラウド サービスとして、高い可用性を実現します。 パスワード ハッシュ同期が長期間ダウンしないようにするには、2 つ目の Microsoft Entra Connect サーバーを、スタンバイ構成のステージング モードで展開します。
  • 考慮事項。 現在、パスワード ハッシュ同期では、オンプレミスのアカウントの状態の変化はすぐには適用されません。 このような状況では、ユーザーは、Microsoft Entra ID にユーザー アカウントの状態が同期されるまで、クラウド アプリにアクセスできます。 組織がこのような制限を回避する方法の 1 つは、管理者がオンプレミスのユーザー アカウントの状態を一括更新した後に、新しい同期サイクルを実行することです。 たとえば、アカウントを無効にします。

Microsoft Entra パススルー認証 (PTA)。 1 つ以上のオンプレミス サーバーで実行されているソフトウェア エージェントを使用して、Microsoft Entra 認証サービスに簡単なパスワード検証を提供します。 オンプレミスの Active Directory を使用してサーバーで直接ユーザーが検証され、クラウドでパスワードの検証が行われることはありません。 オンプレミスのユーザー アカウントの状態、パスワード ポリシー、およびサインイン時間をすぐに適用するセキュリティ要件のある企業は、この認証方法を使用します。

  • 作業量。 パススルー認証の場合、既存のサーバーに、1 つまたは複数 (推奨は 3 つ) の軽量のエージェントをインストールする必要があります。 これらのエージェントは、オンプレミスの AD ドメイン コントローラーなど、オンプレミスの Active Directory Domain Services にアクセスできる必要があります。 これらは、インターネットへの発信アクセスと、ドメイン コントローラーへのアクセスが必要です。 このため、境界ネットワーク内にエージェントを展開することはできません。
  • ユーザー エクスペリエンス。 ユーザーのサインイン エクスペリエンスを向上させるには、パススルー認証と共にシームレス SSO をデプロイします。 シームレス SSO によって、ユーザーのサインイン後に不要なプロンプトが表示されないようになります。
  • 高度なシナリオ。 パススルー認証では、サインインの時点でオンプレミスのアカウント ポリシーが適用されます。 たとえば、オンプレミスのユーザーのアカウントの状態が無効、ロックアウト、またはパスワード期限切れのとき、アクセスは拒否されます。 ユーザーがサインインを許可されている時間外にサインインが試みられた場合も、アクセスを拒否できます。
  • ビジネス継続性。 2 つの追加パススルー認証エージェントを展開することをお勧めします。 Microsoft Entra Connect サーバー上の最初のエージェントに加えて、これらを追加します。 この展開によって、認証要求の高可用性が保証されます。 3 つのエージェントを展開すると、メンテナンスのために 1 つのエージェントを停止しても、まだ 1 つのエージェントの障害に対応できます。
  • 考慮事項。 エージェントがオンプレミスで発生した重大な障害によってユーザーの資格情報を検証できない場合は、パススルー認証のバックアップの認証方法としてパスワード ハッシュの同期を使用できます。 パスワード ハッシュ同期へのフェールオーバーは自動的には行われないため、Microsoft Entra Connect を使用してサインイン方法を手動で切り替える必要があります。

フェデレーション認証

この認証方法を選択すると、Microsoft Entra ID は別の信頼された認証システム (オンプレミスの Active Directory フェデレーション サービス (AD FS) など) に、ユーザーのパスワードを検証する認証プロセスを引き継ぎます。 認証システムでは、他の高度な認証要件を指定できます。 たとえば、スマートカード ベースの認証やサードパーティの多要素認証です。

  • 作業量。 フェデレーション認証システムでは、信頼できる外部システムを利用してユーザーを認証します。 フェデレーション システムへの既存の投資を Microsoft Entra ハイブリッド ID ソリューションで再利用したい会社もあります。 フェデレーション システムの管理とメンテナンスは、Microsoft Entra ID のコントロールの範囲外です。 フェデレーション システムが安全に展開されていて、認証の負荷を処理できるかどうかを確認するのは、フェデレーション システムを使用している組織の責任です。

  • ユーザー エクスペリエンス。 フェデレーション認証のユーザー エクスペリエンスは、機能、トポロジ、およびフェデレーション ファーム構成の実装に依存します。 組織によっては、セキュリティ要件に合わせてフェデレーション ファームへのアクセスを調整したり構成したりするために、この柔軟性が必要になります。 たとえば、内部的に接続されているユーザーとデバイスを構成して、資格情報の入力を要求することなく、自動的にユーザーをサインインさせることができます。 この構成が機能するのは、デバイスに既にサインインしているからです。 必要な場合は、高度なセキュリティ機能を利用してユーザーのサインイン プロセスをさらに困難にすることもできます。

  • 高度なシナリオ。 フェデレーション認証ソリューションが必要になるのは、Microsoft Entra ID によってネイティブにサポートされていない認証要件がある場合です。

    • スマートカードまたは証明書を必要とする認証。
    • フェデレーション ID プロバイダーを必要とするオンプレミスの MFA サーバーまたはサード パーティの多要素プロバイダー。
    • サード パーティの認証ソリューションを使用する認証。
    • ユーザー プリンシパル名 (UPN) (例: user@domain.com) ではなく、sAMAccountName (例: DOMAIN\username) を必要とするサインイン。

  • ビジネス継続性。 フェデレーション システムでは、通常、負荷分散されたサーバーのアレイ (ファームとも呼ばれます) が必要になります。 このファームは、認証要求の高可用性を保証するために、内部ネットワークおよび境界ネットワークのトポロジに構成されます。

  • 考慮事項。 フェデレーション システムでは通常、オンプレミスのインフラストラクチャへのより大きな投資が必要です。 オンプレミスのフェデレーションに既に投資している組織のほとんどは、このオプションを選択します。 または、ビジネス上の理由から、単一の ID プロバイダーを使用することがどうしても必要な場合です。 運用とトラブルシューティングは、クラウド認証ソリューションよりフェデレーション認証の方が複雑です。

アーキテクチャ図

以下の図では、Microsoft Entra ハイブリッド ID ソリューションで使用できる各認証方法に必要な、アーキテクチャ コンポーネントの概要を示します。 これにより、ソリューション間の相違点を比較することができます。

  • パスワード ハッシュ同期ソリューションのシンプルさ:

    Screenshot of Microsoft Entra hybrid identity with password hash synchronization enabled.

  • 冗長性のために 2 つのエージェントを使用する、パススルー認証のエージェントの要件:

    Screenshot of Microsoft Entra hybrid identity with pass-through authentication enabled.

  • 組織の境界ネットワークと内部ネットワークでのフェデレーションに必要なコンポーネントの概要:

    Screenshot of the Microsoft Entra hybrid identity with federated authentication selected.

Recommendations

ID システムによって、クラウドに移行して利用できるようにしたクラウド アプリと基幹業務アプリに対するユーザーのアクセスが保証されます。 承認されたユーザーの生産性を向上させ、不正なユーザーを組織の機密データから締め出すために、認証によってアプリへのアクセスが制御されます。

どの認証方法を選択する場合でも、次の理由により、パスワード ハッシュ同期を使用するか有効にします。

  • 高可用性とディザスター リカバリー。 パススルー認証とフェデレーションは、オンプレミスのインフラストラクチャに依存します。 パススルー認証の場合、オンプレミスのフットプリントには、パススルー認証エージェントに必要なサーバー ハードウェアとネットワークが含まれます。 フェデレーションの場合、オンプレミスのフットプリントはさらに大きくなります。 認証要求と内部フェデレーション サーバーをプロキシするために、境界ネットワーク内にサーバーが必要になるためです。 単一障害点を回避するには、冗長サーバーを展開します。 これにより、いずれかのコンポーネントで障害が発生しても、認証要求サービスが常に提供されるようにします。 また、パススルー認証とフェデレーションは、認証要求に応答するために、両方ともドメイン コントローラーにも依存しますが、ここでも障害が発生する可能性があります。 これらのコンポーネントの多くは、正常性を保つためにメンテナンスが必要です。 メンテナンスの計画や実装が適切でない場合は、システムが停止する可能性が高くなります。 Microsoft Entra クラウド認証サービスはグローバルにスケーリングして常に利用できるため、パスワード ハッシュ同期を使用して停止を回避してください。

  • オンプレミスの停止への対応。 サイバー攻撃や災害によるオンプレミスの停止の影響は、ブランドの評判が損なわれることから、組織が麻痺して攻撃に対処できなくなることまで、大きな範囲に及ぶ可能性があります。 近年でも、オンプレミスのサーバーがダウンする原因となった特定対象へのランサムウェアなど、多くの組織がマルウェア攻撃の被害を受けました。 Microsoft は、この種の攻撃への対処を支援するなかで、組織には 2 つのカテゴリがあることに気付きました。

    • フェデレーション認証またはパススルー認証でパスワード ハッシュ同期をオンにしていた組織は、主要な認証方法を変更します。 その後は、パスワード ハッシュ同期を使用できます。 このような組織は、数時間でオンラインに復帰しました。 Microsoft 365 を介して電子メールにアクセスすることで、問題解決と他のクラウド ベースのワークロードへのアクセスのために作業することができました。
    • 事前にパスワード ハッシュ同期を有効にしていなかった組織は、問題解決のために、信頼されていない外部のコンシューマー向けメール システムを通信に利用するしかありませんでした。 その場合、ユーザーがクラウドベースのアプリに再度サインインできるようになるまでに、オンプレミスの ID インフラストラクチャを復元するのに数週間かかりました。

  • ID 保護。 クラウド内のユーザーを保護するための最適な方法の 1 つは、Microsoft Entra Premium P2 を使用した Microsoft Entra Identity Protection です。 Microsoft は常にインターネットを精査して、闇サイトで販売され利用されているユーザーやパスワードのリストを入手しています。 Microsoft Entra ID はこの情報を使って、組織のユーザー名やパスワードのいずれかが侵害されているかどうかを確認します。 したがって、使用している認証方法がフェデレーション認証かパススルー認証かに関係なく、パスワード ハッシュ同期を有効にすることが重要になります。 漏洩した資格情報は、レポートとして示されます。 ユーザーが漏洩したパスワードでのサインインを試みた場合、この情報を使用してユーザーをブロックするか、パスワードの変更を強制します。

Microsoft Entra Connect の設計概念

このセクションでは、Microsoft Entra Connect の実装設計時に考慮する必要がある領域について説明します。 特定の領域について詳しく説明しますが、これらの概念については、他のドキュメントでも簡単に説明しています。

sourceAnchor

sourceAnchor 属性は、 オブジェクトの有効期間中に変更できない属性として定義されています。 この属性により、オブジェクトは、オンプレミスと Microsoft Entra ID で同じオブジェクトとして一意に識別されます。 また、この属性は、 immutableId とも呼ばれており、この 2 つの名前のどちらを使ってもかまいません。 この属性は、次のシナリオで使用されます。

  • 新しい同期エンジン サーバーを構築する場合、またはディザスター リカバリー シナリオの後に再構築する場合、この属性によって、Microsoft Entra ID 内の既存のオブジェクトがオンプレミスのオブジェクトとリンクされます。
  • クラウド専用の ID から同期 ID モデルに移行する場合、この属性によって、Microsoft Entra ID 内の既存のオブジェクトとオンプレミスのオブジェクトを "完全一致" させることができます。
  • フェデレーションを使用する場合は、ユーザーを一意に識別するために、要求でこの属性と共に userPrincipalName を使用します。

属性の値は、次の規則に従う必要があります。

  • 60 文字未満であること

    • a から z、A から Z、0 から 9 のいずれでもない文字はエンコードされ、3 文字としてカウントされます

  • 次の特殊文字が含まれていないこと: \ ! # $ % & * + / = ? ^ { } | ~ > < ( ) ' ; : , [ ] " @ _

  • グローバルに一意であること

  • 文字列、整数、バイナリのいずれかであること

  • 名前は変更される可能性があるため、ユーザーの名前に基づかないこと

  • 大文字と小文字の区別がないこと、および大文字と小文字で異なる値は避けること

  • オブジェクトの作成時に割り当てること

オンプレミスの単一フォレストがある場合、使用する必要がある属性は objectGuidです。 Microsoft Entra Connect で簡単設定を使う場合は、objectGuid 属性を使用することもできます。 また、DirSync で使われている属性も。 複数のフォレストがあり、フォレストとドメインの間でユーザーを移動しない場合に使用する属性としては、objectGUID が適切です。 別の方法は、変更されないことがわかっている既存の属性を選択することです。 一般的に使用される属性に employeeIDがあります。 文字が含まれる属性を採用する場合は、属性値の文字 (大文字と小文字) が変更される可能性がないことを確認します。 使用しない方がよい属性として、ユーザーの名前を含む属性があります。 sourceAnchor 属性が決まると、その情報が Microsoft Entra テナントに格納されます。 この情報は、その後 Microsoft Entra Connect のインストールに使用されます。

Microsoft Entra サインイン

オンプレミスのディレクトリ統合と Microsoft Entra ID の同期の設定は、ユーザーの認証方法に影響を与える可能性があります。 Microsoft Entra では、userPrincipalName (UPN) がユーザーの認証に使用されます。 ただし、ユーザーを同期する場合は、userPrincipalName の値として使用される属性を慎重に選択する必要があります。 Azure で使用する UPN の値を指定するための属性を選択する場合、次のことを確認する必要があります

  • 属性値が UPN の構文 (RFC 822) に準拠していること (username@domain の形式)
  • 値のサフィックスが、Microsoft Entra ID で確認済みのカスタム ドメインのいずれかに一致すること

簡単設定では、属性の値として userPrincipalName が想定されます。 Azure にサインインする必要のあるユーザーの値が userPrincipalName 属性に含まれていない場合は、カスタム インストールを選ぶ必要があります。

カスタム ドメインの状態とユーザー プリンシパル名

ユーザー プリンシパル名 (UPN) サフィックスについて、検証済みのドメインが存在することを確認します。 John は、contoso.com に属するユーザーです。 Microsoft Entra ディレクトリ azurecontoso.onmicrosoft.com にユーザーを同期した後、John がオンプレミスの UPN である john@contoso.com を使用して Azure にサインインする必要があるとします。 この場合は、ユーザーの同期を開始する前に、contoso.com を Microsoft Entra ID にカスタム ドメインとして追加する必要があります。 John の UPN サフィックス (この例では contoso.com) が Microsoft Entra ID で検証済みのドメインと一致しない場合、ツールによって UPN サフィックスが azurecontoso.onmicrosoft.com に置き換えられます。

組織によっては、contoso.local のようにルーティング不可能なドメインや、contoso のような単純な単一ラベルのドメインなどが存在します。 ルーティング不可能なドメインは検証できません。 Microsoft Entra Connect は、Microsoft Entra ID の検証済みドメインにのみ同期できます。 Microsoft Entra ディレクトリを作成すると、ルーティング可能なドメインが作成され、そのドメインが Microsoft Entra ID の既定のドメインになります (例: contoso.onmicrosoft.com)。 そのため、既定の onmicrosoft.com ドメインに同期しないシナリオでは、他のルーティング可能なドメインを確認することが必要になります。

ルーティング不可能なドメイン環境で実行している場合、Microsoft Entra Connect はそれを検出して、簡単設定を続行することを適切に警告します。 ルーティング不可能なドメインで運用している場合は、ユーザーの UPN でもルーティング不可能なサフィックスが使用されている可能性があります。 たとえば、contoso.local で運用している場合、Microsoft Entra Connec では、簡単設定を使用するのではなく、カスタム設定を使用することが推奨されます。 カスタム設定を使用すると、ユーザーが Microsoft Entra ID に同期された後の Azure へのサインインで UPN として使用する必要がある属性を指定できます。

Microsoft Entra Connect のトポロジ

このセクションでは、主な統合ソリューションとして Microsoft Entra Connect 同期を使用する、さまざまなオンプレミスおよび Microsoft Entra ID のトポロジについて説明します。サポートされている構成とサポートされていないものがあります。

一般的なトポロジ 説明
シングル フォレスト、シングル Microsoft Entra テナント 最も一般的なトポロジは、(1 つ以上のドメインを含む) 1 つのオンプレミス フォレストと、1 つの Microsoft Entra テナントです。 認証では、パスワード ハッシュ同期が使用されます。 Microsoft Entra Connect の高速インストールでは、このトポロジのみがサポートされます。
複数のフォレスト、シングル Microsoft Entra テナント 多くの組織の環境には、オンプレミス Active Directory フォレストが複数存在します。 複数のオンプレミス Active Directory フォレストが使用される理由はさまざまです。 一般的な例として、アカウント リソース フォレストのある設計や、合併や買収の結果としての状況があります。 複数のフォレストがある場合は、1 つの Microsoft Entra Connect 同期サーバーが、すべてのフォレストにアクセスできる必要があります。 サーバーをドメインに参加させる必要があります。 すべてのフォレストに到達する必要がある場合は、境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) にサーバーを配置できます。
複数のフォレスト、単一の同期サーバー、ユーザーは 1 つのディレクトリだけで表される この環境では、すべてのオンプレミス フォレストが個別のエンティティとして扱われます。 他のどのフォレストにもユーザーは存在しません。 各フォレストには独自の Exchange 組織があり、フォレスト間に GALSync はありません。 このトポロジは、合併や買収後の組織や、各部署が独立して運営されている組織で見られます。 これらのフォレストは Microsoft Entra ID 内では同じ組織内にあり、統合された GAL で表示されます。 前の図では、すべてのフォレスト内の各オブジェクトが、一度メタバースに表され、ターゲットのテナントに集約されます。
複数のフォレスト - オプションの GALSync を使用したフル メッシュ フル メッシュ トポロジでは、ユーザーおよびリソースを任意のフォレストに配置することができます。 一般的には、フォレスト間に双方向の信頼があります。 複数のフォレストに Exchange が存在する場合は、オンプレミス GALSync ソリューションが (オプションで) 存在することがあります。 その場合、すべてのユーザーが他のすべてのフォレストにおける連絡先として表されます。 通常、GALSync は FIM 2010 または MIM 2016 を通じて実装されます。 Microsoft Entra Connect は、オンプレミスの GALSync には使用できません。
複数のフォレスト: アカウント リソース フォレスト このシナリオでは、1 つ (以上) のリソース フォレストがすべてのアカウント フォレストを信頼します。 リソース フォレストには、通常、Exchange と Teams を使用する拡張 Active Directory スキーマがあります。 Exchange と Teams のすべてのサービスと、他の共有サービスは、このフォレストに配置されます。 ユーザーのユーザー アカウントはこのフォレストで無効になり、メールボックスはアカウント フォレストにリンクされます。
ステージング サーバー Microsoft Entra Connect では、"ステージング モード" での 2 台目のサーバーのインストールがサポートされています。 このモードのサーバーは、接続されたすべてのディレクトリからデータを読み取りますが、接続されたディレクトリへの書き込みは行いません。 通常の同期サイクルを使用するため、ID データの更新されたコピーを保持します。
複数の Microsoft Entra テナント Microsoft Entra Connect 同期サーバーとテナントには、1 対 1 のリレーションシップがあります。 Microsoft Entra テナントごとに、1 つの Microsoft Entra Connect 同期サーバーのインストールが必要です。 AD テナントのインスタンスは、分離される設計になっています。 つまり、あるテナントのユーザーは、他のテナントのユーザーを認識することができません。 ユーザーの分離は、サポートされている構成です。 そうでない場合は、単一 Microsoft Entra テナント モデルを使用する必要があります。
Microsoft Entra テナント内の各オブジェクトは 1 回のみ このトポロジでは、1 つの Microsoft Entra Connect 同期サーバーが各テナントに接続されます。 各 Microsoft Entra Connect 同期サーバーについては、操作対象のオブジェクトのセットが相互排他的になるようなフィルター処理を構成する必要があります。 たとえば、各サーバーのスコープを特定のドメインまたは組織単位に設定できます。

Microsoft Entra Connect コンポーネントの要因

次の図は、単一のフォレストに接続しているプロビジョニング エンジンのアーキテクチャの概要を示しています (ただし、複数のフォレストには対応していません)。 このアーキテクチャは、さまざまなコンポーネントが相互にやり取りする方法を示しています。

Diagram of how the connected directories and Microsoft Entra Connect provisioning engine interact. Includes Connector Space and Metaverse components in an SQL Database.

プロビジョニング エンジンは、個々の Active Directory フォレストと Microsoft Entra ID に接続します。 各ディレクトリから情報を読み取るプロセスを、インポートと言います。 エクスポートは、プロビジョニング エンジンからディレクトリを更新することを指します。 同期は、プロビジョニング エンジン内のオブジェクトのフロー方法の規則を評価します。

Microsoft Entra Connect では、以下に示すステージング領域、規則、プロセスに基づいて、Active Directory から Microsoft Entra ID への同期が許可されます。

  • コネクタ スペース (CS) -接続先されたディレクトリ (CD) のそれぞれからのオブジェクト (実際のディレクトリ) は、最初にここでステージングされてから、プロビジョニング エンジンで処理できます。 Microsoft Entra ID にはそれ独自の CS があり、接続先の各フォレストにはそれ独自の CS があります。
  • メタバース (MV) - 同期する必要があるオブジェクトは、同期規則に基づいてここに作成します。 接続されているその他のディレクトリにオブジェクトと属性を設定するには、オブジェクトが MV に存在する必要があります。 MV は 1 つしかありません。
  • 同期規則 - MV 内のオブジェクトに対して作成 (投影) または接続 (結合) されるオブジェクトを決定します。 また、同期規則は、ディレクトリとの間でコピーまたは変換される属性値も決定します。
  • 実行プロファイル - ステージング領域と接続されたディレクトリの間の同期規則に従って、オブジェクトとその属性値のコピー プロセスの手順を 1 つにまとめます。

Microsoft Entra クラウド同期

Microsoft Entra Connect クラウド同期は、Microsoft Entra ID にユーザー、グループ、連絡先を同期するハイブリッド ID の目標を達成するように設計されています。 同期は、Microsoft Entra Connect アプリケーションではなく、クラウド プロビジョニング エージェントを使用することによって実現されます。 これは Microsoft Entra Connect 同期と併用することができ、次の利点があります。

  • 複数のフォレストに接続されていない Active Directory フォレスト環境からの Microsoft Entra テナントへの同期のサポート:一般的なシナリオには、合併や買収などがあります。 買収された会社の AD フォレストは、親会社の AD フォレストから分離されます。 過去に複数の AD フォレストを持っていた会社。
  • 軽量プロビジョニングエージェントを使用したい簡易インストール:エージェントは AD から Microsoft Entra ID へのブリッジとして機能し、すべての同期構成がクラウドで管理されます。
  • 複数のプロビジョニングエージェントを使用して高可用性の展開を簡素化することができます。AD から Microsoft Entra ID へのパスワード ハッシュ同期に依存している組織にとって重要です。
  • 最大 5 万メンバーの大規模なグループをサポートします。 大規模なグループを同期するときは、OU スコープ フィルターのみを使用することをお勧めします。

Diagram of the process flow that shows on-premises Active Directory items like users and group being synchronized into the cloud by Cloud Sync.

Microsoft Entra Connect クラウド同期では、Microsoft Online Services で AD から Microsoft Entra ID へのプロビジョニングが調整されます。 組織は、オンプレミス環境または IaaS ホスト環境で、Microsoft Entra ID と AD の間のブリッジとして機能する軽量のエージェントをデプロイするだけです。 プロビジョニングの構成は保存され、サービスの一部として管理されます。 同期は 2 分ごとに実行されることに注意してください。