Azure Active Directory 同期サービスのインストール

発行: 2014年9月

重要

このトピックはまもなくアーカイブされます。
Azure Active Directory Connect という新製品が、AADSync と DirSync を置き換えます。
Azure AD Connect には、Dirsync と AAD Sync としてリリースされていたコンポーネントと機能が組み込まれています。
今後、Dirsync と AAD Sync のサポートは終了する予定です。
これらのツール向けの更新プログラム (機能強化を含む) は今後提供されることはなく、今後のすべての機能強化は Azure AD Connect 用の更新プログラムに含まれます。

Azure Active Directory Connect の最新情報については、「Integrating your on-premises identities with Azure Active Directory (オンプレミス ID を Azure Active Directory に統合する)」をご覧ください。

このトピックの目的は、Azure AD Sync をユーザーの環境に正常にインストールするために必要なすべての情報を提供することです。

インストール要件

このセクションの目的は、Azure AD Sync をユーザーの環境にインストールするために満たす必要がある要件を列挙することです。
Azure AD Sync を使用すると、オンプレミスの Active Directory Domain Service を Azure AD ディレクトリと統合できます。
そのため、オンプレミスの Active Directory Domain Service にアクセスする必要があると共に、Azure AD ディレクトリをインストールした有効な Azure サブスクリプションにもアクセスする必要があります。

Azure AD Sync をインストールするには、Windows Server オペレーティング システムを実行しているコンピューターが必要です。
次のバージョンがサポートされています。

  • Windows Server 2008

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

コンピューターは、スタンドアロン、メンバー サーバー、ドメイン コントローラーのいずれかです。
次のコンポーネントをインストールする必要があります。

  • .NET 4.5.1

  • PowerShell (PS3 以上が必須)

Azure AD Sync をインストールするためには、コンピューターに対するローカル管理者権限を持つアカウントが必要です。

Azure AD Sync には、ID データを格納するための SQL Server データベースが必要です。既定では、SQL Express LocalDB (SQL Server Express の軽量バージョン) がインストールされ、サービス用のサービス アカウントがローカル コンピューターに作成されます。
SQL Server Express には 10 GB のサイズ制限があり、約 100,000 個のオブジェクトまで管理できます。

これよりも大量のディレクトリ オブジェクトを管理する必要がある場合は、インストール プロセスを別のバージョンの SQL Server に向けることが必要です。
AAD Sync は、SQL Server 2008 から SQL Server 2014 までの各種の Microsoft SQL Server をすべてサポートしています。

作業を開始する準備

Azure AD Sync をインストールする場合は、前もって次の手順を完了しておく必要があります。

  1. AD DS に接続するための AD アカウントを作成する

  2. Azure AD に接続するためのアカウントを作成する

以下のセクションでは、関連する手順について説明します。

AD DS に接続するための AD アカウントを作成する

Azure AD Sync を構成するときには、Azure AD Sync が AD DS に接続するために使用するアカウントの資格情報を指定する必要があります。
アカウントには既定の読み取りアクセス許可のみが必要なので、通常のユーザー アカウントを使用できます。

以下のセクションでは、AD DS アカウントに必要なアクセス許可と、アカウントのアクセス対象の属性について詳しく説明します。

パスワード同期のためのアクセス許可

オンプレミス AD DS と Active Directory とのパスワード同期をユーザーのために有効にする場合は、Azure AD Sync が AD DS に接続するために使用するアカウントに次のアクセス許可を付与する必要があります。

  • ディレクトリの変更のレプリケート

  • ディレクトリの変更をすべてにレプリケート

このアカウントでオンプレミス AD DS からパスワード ハッシュを読み取るには、両方のアクセス許可が必要です。

Office 365 Exchange ハイブリッド AAD Sync の書き戻し属性とアクセス許可

オンプレミス Exchange インフラストラクチャと、Office 365 (Exchange ハイブリッド) との間でリッチな共存を可能にする場合は、[Exchange ハイブリッド展開] オプション機能を選択します。この機能を選択したら、属性をオンプレミス環境に書き戻すために AAD Sync を有効にします。

オプションの機能

次の表では、オブジェクトの種類ごとに、書き戻しが必要な属性を列挙しています。

オブジェクトの種類

データ ソース属性

連絡先

proxyAddresses

グループ

proxyAddresses

User/InetOrgPerson

msExchArchiveStatus

msExchBlockedSendersHash

msExchSafeRecipientsHash

msExchSafeSendersHash

msExchUCVoiceMailSettings

msExchUserHoldPolicies

proxyAddresses

[Active Directory ドメイン サービスへの接続] ダイアログ ページで構成するアカウントは、上記の属性への特定のアクセス許可を持っている必要があります。

次の表は、DSACLS の用語を使用して、このアカウントに必要な最小限のアクセス許可を列挙しています。

オブジェクトの種類

データ ソース属性

アクセス許可/アクセス権

継承

連絡先

proxyAddresses

書き込み

子オブジェクトのみ

グループ

proxyAddresses

書き込み

子オブジェクトのみ

User/InetOrgPerson

msExchArchiveStatus

書き込み

子オブジェクトのみ

msExchBlockedSendersHash

書き込み

子オブジェクトのみ

msExchSafeRecipientsHash

書き込み

子オブジェクトのみ

msExchSafeSendersHash

書き込み

子オブジェクトのみ

msExchUCVoiceMailSettings

書き込み

子オブジェクトのみ

msExchUserHoldPolicies

書き込み

子オブジェクトのみ

proxyAddresses

書き込み

子オブジェクトのみ

パスワードの書き戻しとパスワードに対するアクセス許可の変更

パスワードの書き戻し機能は、クラウド内でオンプレミス パスワードをリセットするのに便利な方法をユーザーに提供します。Azure AD Sync の構成中に、パスワード書き戻しをオプションの機能としてアクティブにすることができます。

オプションの機能

Azure AD Sync で構成したフォレストごとに、ウィザードでフォレストに指定したアカウントには、フォレスト内の各ドメインのルート オブジェクトに対する [パスワードのリセット] と [パスワードの変更] 拡張権限を付与する必要があります。この権限は、すべてのユーザー オブジェクトにより継承されるものとしてマークしてください。

構成した各アカウントでアクセス許可をセットアップするには、次の手順を実行します。

"パスワードのリセット" および "パスワードの変更" 拡張権限の構成方法

  1. [Active Directory ユーザーとコンピューター] を開きます。

  2. 上部の [表示] で、[拡張機能] がオンになっていることを確認します。

  3. 左ペインで、ルート ドメインを右クリックし、[プロパティ] をクリックします。

  4. [セキュリティ] タブで [詳細設定] をクリックします。

    パスワード ライトバック 2

  5. [アクセス許可] タブで [追加] をクリックします。

    パスワード ライトバック 3

  6. [プリンシパルの選択] をクリックして、セットアップ中に指定したアカウントを選択します。

  7. ドロップダウン リストで [子ユーザー オブジェクト] を選択します。

  8. [アクセス許可] セクションで、[パスワードのリセット][パスワードの変更] を選択します。

    パスワード ライトバック 4

  9. [OK] をクリックします。[適用] をクリックします。 [OK] をクリックします。

Azure AD に接続するためのアカウントを作成する

Azure AD Sync を構成するときには、Azure AD Sync が Azure AD に接続するために使用するアカウントの資格情報を指定する必要があります。

このアカウントには、次のベスト プラクティスを適用する必要があります。

  • Azure AD Sync に専用の別個のアカウントを作成する必要があります。

  • 長さが 16 文字の強力なパスワードを使用するアカウントを構成します。

  • アカウントに "パスワードを無期限にする" フラグを設定します。
    これを行うには、次の PowerShell スクリプト コードを使用できます。

    set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True
    
  • アカウントで組織のロールとして全体管理者を選択する必要があります。

    ロール

Azure AD Sync のインストールと構成

次のリンクを使用して、Azure AD Sync の最新バージョンをダウンロードすることができます。http://go.microsoft.com/fwlink/?LinkId=511690

インストール プロセスを開始するには、MicrosoftAzureADConnectionTool.exe という名前の実行可能ファイルを開きます。
この自己解凍実行可能ファイルにより、必要なすべてのファイルがローカル ドライブに配置され、インストール プロセスが開始されます。
インストール プロシージャを取り消した場合は、ショートカットが [スタート] メニューとデスクトップに作成されます。

SQL Server またはサービス アカウント用のドメイン アカウントを使用する必要がある場合は、ここでウィザードを取り消す必要があります。ここまでのインストール プロセスで、Azure AD Sync 関連ファイルを含むローカル フォルダーが既に作成されています。パラメーターを使用してインストール プロセスを再実行する場合は、このフォルダーの内容が必要です。

インストール プロセスを再実行する手順

  1. コマンド プロンプトを起動し、C:\Program Files\Microsoft Azure AD Connection Tool に進みます。

  2. 次のパラメーターを使用してウィザードを再度開始します。

    DirectorySyncTool.exe /sqlserver localhost
                          /sqlserverinstance InstanceName
                          /serviceAccountDomain Azure AD Sync
                          /serviceAccountName Azure AD SyncSvc
                          /serviceAccountPassword VerySecretP@ssw0rd
    

    注意

    既定の SQL パーティションを使用する場合は、このパラメーターを指定しないでください。

この時点で、インストール プロセスに関連するダイアログ ページを完了する準備が整いました。

Azure AD Sync ツールをインストールするには、次のダイアログ ページを完了する必要があります。

  1. インストール

  2. Azure Active Directory への接続

  3. Active Directory ドメイン サービスへの接続

  4. ユーザー一致の構成

  5. オプションの機能

  6. Azure AD アプリ

  7. Azure AD の属性

  8. 構成の準備

  9. 完了

インストール

Azure AD Sync へようこそ

インストール プロセスの最初の手順として、ライセンス使用条件に同意し、Azure AD Sync の配置場所を指定する必要があります。

Azure Active Directory への接続

Azure AD ディレクトリに接続するとき、Azure AD Sync ツールは十分なアクセス許可を備えたアカウントの資格情報を必要とします。

Azure AD へ接続

詳細については、「Azure AD に接続するためのアカウントを作成する」をご覧ください。

Active Directory ドメイン サービスへの接続

AD DS へ接続

Active Directory ドメイン サービスに接続するとき、Azure AD Sync ツールは十分なアクセス許可を備えたアカウントの資格情報を必要とします。

詳細については、「AD DS に接続するための AD アカウントを作成する」をご覧ください。

ユーザー一致の構成

ユーザーを一意に識別

このページでは、次の構成を行う必要があります。

  1. フォレスト間の一致

  2. Azure AD との一致

フォレスト間の一致

フォレスト間の一致機能により、ADDS フォレストのユーザーを Azure AD でどのように表すかを定義できます。
ユーザーをすべてのフォレスト間で 1 回だけ表すか、有効および無効のアカウントを組み合わせて使用します。

Setting

説明

ユーザーをすべてのフォレスト間で 1 回だけ表す

すべてのユーザーは Azure AD の個別のオブジェクトとして作成されます。これらのオブジェクトはメタバースで結合されません。

メール属性

メール属性が別々の異なるフォレストで同じ値を持つ場合、このオプションではユーザーと連絡先を結合します。連絡先が GALSync を使用して作成されている場合、このオプションを使用することをお勧めします。

ObjectSID と msExchangeMasterAccountSID

このオプションは、アカウント フォレスト内の有効なユーザーを、Exchange リソース フォレスト内の無効なユーザーに結合します。これは、Exchange ではリンクされたメールボックスとしても知られています。

sAMAccountName と MailNickName

このオプションでは、ユーザーのログイン ID が見つかると想定される属性で結合します。

独自の属性

このオプションでは、ユーザー独自の属性を選択することを許可します。CTP では制限があり、メタバースに既に存在する属性を選択する必要があります。カスタム属性を選択すると、ウィザードを完了できなくなります。

Azure AD との一致

このオプションを使用すると、ID フェデレーションに使用する属性を指定できます。sourceAnchor 属性は、ユーザー オブジェクトの有効期間中に変わることがない属性です。単一フォレストの環境で、アカウントがフォレスト間を移動しない場合は、objectGUID が適切な候補です。ユーザーがフォレスト間またはドメイン間を移動する場合は、代替の属性を選択する必要があります。

userPrincipalName 属性は、Azure AD でのユーザーのログイン ID です。既定では、ADDS の userPrincipalName 属性が使用されます。この属性がルーティング可能でない場合やログイン ID として適切でない場合、インストール ガイドではメールなどの別の属性を選択できます。

オプションの機能

オプションの機能

Exchange ハイブリッド展開を使用している場合は、このチェックボックスをオンにします。これにより、一部の属性が Exchange Online からオンプレミスの Active Directory に書き戻されます。

パスワードの書き戻しは、Azure Active Directory Premium の機能です。これを構成する方法の詳細については、http://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx を参照してください。

Azure AD と同期する属性を制限または確認する必要がある場合は、[Azure AD アプリと属性フィルター処理] をオンにします。そうすると、2 つの追加ページがウィザードに表示されます。

パスワード同期の詳細については、「Azure Active Directory Sync とのパスワード同期を行います。」を参照してください。

Azure AD アプリ

Azure AD アプリ

Azure AD と同期する属性を制限する場合は、使用するサービスを選択することで開始します。このページを構成する場合は、インストール ガイドを再実行することで新しいサービスをいずれも明示的に選択する必要があります。

Azure AD の属性

Azure AD の属性

前の手順で選択したサービスに基づき、このページには同期するすべての属性が表示されます。この一覧は、同期するすべてのオブジェクトの種類を組み合わせたものです。同期する必要のない特殊な属性がある場合は、それらを選択解除できます。上の図では、extensionAttributes と homePhone を選択解除しており、これらは Azure AD と同期されません。

構成の準備

構成の準備

このページには、構成の概要が表示されます。次のページに進む前に、この概要を慎重に確認する必要があります。

この手順が失敗し、"Microsoft Azure Active Directory サービスと通信できません" というエラーが返された場合、プロキシ サーバーを構成するには、Azure AD Sync のコンピューターの "machine.config" ファイルにプロキシ設定を追加する必要があります。
詳細については、「<プロキシ>要素 (ネットワーク設定)」を参照してください。

完了

完了

これで既定の構成が作成されました。同期を開始する準備が整ったら、[完了] をクリックします。
同期を開始する前に追加の構成が必要な場合は、[完了] をクリックする前に [今すぐ同期する] チェックボックスをオフにします。これにより、タスク スケジューラに無効なタスクが作成されます。構成が終了したら、このタスクを有効にすることで定期的な同期を開始します。

関連項目

概念

Azure Active Directory Sync
Azure Active Directory Sync のバージョン リリース履歴
Azure Active Directory Sync とのパスワード同期を行います。

その他のリソース

Azure AD Sync リリース ノート