Azure Active Directory 同期サービスのインストール

  • [アーティクル]

更新日: 2015 年 7 月 22 日

重要

このトピックは間もなくアーカイブされます。
AADSyncと DirSync を置き換える "Azure Active Directory Connect" という新しい製品があります。
Azure AD Connect には、以前 Dirsync と AAD Sync としてリリースされたコンポーネントと機能が組み込まれています。
将来のある時点で、Dirsync と AAD Sync のサポートは終了します。
これらのツールは機能改善によって個別に更新されなくなり、今後のすべての機能強化は Azure AD Connectの更新プログラムに含まれます。

Azure Active Directory Connectに関する最新の情報については、「オンプレミス ID とAzure Active Directoryの統合」を参照してください

このトピックの目的は、Azure AD Sync をユーザーの環境に正常にインストールするために必要なすべての情報を提供することです。

インストール要件

このセクションの目的は、Azure AD Sync をユーザーの環境にインストールするために満たす必要がある要件を列挙することです。
Azure AD Sync を使用すると、オンプレミスの Active Directory Domain Service を Azure AD ディレクトリと統合できます。
そのため、オンプレミスの Active Directory Domain Service にアクセスする必要があると共に、Azure AD ディレクトリをインストールした有効な Azure サブスクリプションにもアクセスする必要があります。

Azure AD Sync をインストールするには、Windows Server オペレーティング システムを実行しているコンピューターが必要です。
次のバージョンがサポートされています。

  • Windows Server 2008

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

コンピューターは、スタンドアロン、メンバー サーバー、ドメイン コントローラーのいずれかです。
次のコンポーネントをインストールする必要があります。

  • .NET 4.5.1

  • PowerShell (PS3 以上が必須)

Azure AD Sync をインストールするためには、コンピューターに対するローカル管理者権限を持つアカウントが必要です。

Azure AD Sync には、ID データを格納するための SQL Server データベースが必要です。 既定では、SQL Express LocalDB (SQL Server Express の軽量バージョン) がインストールされ、サービス用のサービス アカウントがローカル コンピューターに作成されます。
SQL Server Express には 10 GB のサイズ制限があり、約 100,000 個のオブジェクトまで管理できます。

これよりも大量のディレクトリ オブジェクトを管理する必要がある場合は、インストール プロセスを別のバージョンの SQL Server に向けることが必要です。
AAD Sync は、SQL Server 2008 から SQL Server 2014 までの各種の Microsoft SQL Server をすべてサポートしています。

はじめに

Azure AD Sync をインストールする場合は、前もって次の手順を完了しておく必要があります。

  1. AD DS に接続するための AD アカウントを作成する

  2. Azure AD に接続するためのアカウントを作成する

以下のセクションでは、関連する手順について説明します。

AD DS に接続するための AD アカウントを作成する

Azure AD Sync を構成するときには、Azure AD Sync が AD DS に接続するために使用するアカウントの資格情報を指定する必要があります。
アカウントには既定の読み取りアクセス許可のみが必要なので、通常のユーザー アカウントを使用できます。

以下のセクションでは、AD DS アカウントに必要なアクセス許可と、アカウントのアクセス対象の属性について詳しく説明します。

パスワード同期のためのアクセス許可

オンプレミス AD DS と Active Directory とのパスワード同期をユーザーのために有効にする場合は、Azure AD Sync が AD DS に接続するために使用するアカウントに次のアクセス許可を付与する必要があります。

  • ディレクトリの変更のレプリケート

  • ディレクトリの変更すべてのレプリケート

このアカウントでオンプレミス AD DS からパスワード ハッシュを読み取るには、両方のアクセス許可が必要です。

Office 365 Exchange ハイブリッド AAD Sync の書き戻し属性とアクセス許可

オンプレミス Exchange インフラストラクチャと、Office 365 (Exchange ハイブリッド) との間でリッチな共存を可能にする場合は、[Exchange ハイブリッド展開] オプション機能を選択します。 この機能を選択したら、属性をオンプレミス環境に書き戻すために AAD Sync を有効にします。

Optional features

次の表では、オブジェクトの種類ごとに、書き戻しが必要な属性を列挙しています。

オブジェクトの種類

データ ソース属性

Contact

proxyAddresses

Group

proxyAddresses

User/InetOrgPerson

msExchArchiveStatus

msExchBlockedSendersHash

msExchSafeRecipientsHash

msExchSafeSendersHash

msExchUCVoiceMailSettings

msExchUserHoldPolicies

proxyAddresses

Connectでダイアログ ページをActive Directory Domain Servicesするように構成するアカウントには、上記の属性に対する特定のアクセス許可が必要です。

次の表は、DSACLS の用語を使用して、このアカウントに必要な最小限のアクセス許可を列挙しています。

オブジェクトの種類

データ ソース属性

アクセス許可/アクセス権

継承

Contact

proxyAddresses

Write

子オブジェクトのみ

Group

proxyAddresses

Write

子オブジェクトのみ

User/InetOrgPerson

msExchArchiveStatus

Write

子オブジェクトのみ

msExchBlockedSendersHash

Write

子オブジェクトのみ

msExchSafeRecipientsHash

Write

子オブジェクトのみ

msExchSafeSendersHash

Write

子オブジェクトのみ

msExchUCVoiceMailSettings

Write

子オブジェクトのみ

msExchUserHoldPolicies

Write

子オブジェクトのみ

proxyAddresses

Write

子オブジェクトのみ

パスワードの書き戻しとパスワードに対するアクセス許可の変更

パスワードの書き戻し機能は、クラウド内でオンプレミス パスワードをリセットするのに便利な方法をユーザーに提供します。 Azure AD Sync の構成中に、パスワード書き戻しをオプションの機能としてアクティブにすることができます。

Optional features

Azure AD Sync で構成したフォレストごとに、ウィザードでフォレストに指定したアカウントには、フォレスト内の各ドメインのルート オブジェクトに対する [パスワードのリセット] と [パスワードの変更] 拡張権限を付与する必要があります。 この権限は、すべてのユーザー オブジェクトにより継承されるものとしてマークされます。

構成した各アカウントでアクセス許可をセットアップするには、次の手順を実行します。

"パスワードのリセット" および "パスワードの変更" 拡張権限の構成方法

  1. [Active Directory ユーザーとコンピューター] を開きます。

  2. 上部の [表示] で、[拡張機能] がオンになっていることを確認します。

  3. 左ペインで、ルート ドメインを右クリックし、[プロパティ] をクリックします。

  4. [セキュリティ] タブで [詳細設定] をクリックします。

    Password Writeback 2

  5. [アクセス許可] タブで [追加] をクリックします。

    Password Writeback 3

  6. [プリンシパルの選択] をクリックして、セットアップ中に指定したアカウントを選択します。

  7. ドロップダウン リストで [子ユーザー オブジェクト] を選択します。

  8. [アクセス許可] セクションで、[パスワードのリセット][パスワードの変更] を選択します。

    Password Writeback 4

  9. [OK] をクリックします。 [Apply] をクリックします。 [OK] をクリックします。

Azure AD に接続するためのアカウントを作成する

Azure AD Sync を構成するときには、Azure AD Sync が Azure AD に接続するために使用するアカウントの資格情報を指定する必要があります。

このアカウントには、次のベスト プラクティスを適用する必要があります。

  • Azure AD Sync に専用の別個のアカウントを作成する必要があります。

  • 長さが 16 文字の強力なパスワードを使用するアカウントを構成します。

  • アカウントに "パスワードを無期限にする" フラグを設定します。
    これを行うには、次の PowerShell スクリプト コードを使用できます。

    set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True

  • アカウントで組織のロールとして全体管理者を選択する必要があります。

    Role

Azure AD Sync のインストールと構成

最新バージョンのAzure AD Syncは、次のリンクを使用してダウンロードできます。https://go.microsoft.com/fwlink/?LinkId=511690

インストール プロセスを開始するには、MicrosoftAzureADConnectionTool.exe という名前の実行可能ファイルを開きます。
この自己解凍型の実行可能ファイルにより、必要なすべてのファイルがローカル ドライブに配置され、インストール プロセスが開始されます。
インストール プロシージャを取り消した場合は、ショートカットが [スタート] メニューとデスクトップに作成されます。

SQL Server またはサービス アカウント用のドメイン アカウントを使用する必要がある場合は、ここでウィザードを取り消す必要があります。 ここまでのインストール プロセスで、Azure AD Sync 関連ファイルを含むローカル フォルダーが既に作成されています。 パラメーターを使用してインストール プロセスを再実行する場合は、このフォルダーの内容が必要です。

インストール プロセスを再実行する手順

  1. コマンド プロンプトを起動し、C:\Program Files\Microsoft Azure AD Connection Tool に進みます。

  2. 次のパラメーターを使用してウィザードを再度開始します。

    DirectorySyncTool.exe /sqlserver localhost
                      /sqlserverinstance InstanceName
                      /serviceAccountDomain Azure AD Sync
                      /serviceAccountName Azure AD SyncSvc
                      /serviceAccountPassword VerySecretP@ssw0rd

    注意

    既定の SQL パーティションを使用する場合は、このパラメーターを指定しないでください。

この時点で、インストール プロセスに関連するダイアログ ページを完了する準備が整いました。

Azure AD Sync ツールをインストールするには、次のダイアログ ページを完了する必要があります。

  1. インストール

  2. Azure Active Directory に接続する

  3. Active Directory ドメイン サービスへの接続

  4. ユーザー一致の構成

  5. オプション機能

  6. Azure AD アプリ

  7. Azure AD の属性

  8. 構成の準備完了

  9. Finished

インストール

Welcome to Azure AD Sync

インストール プロセスの最初の手順として、ライセンス使用条件に同意し、Azure AD Sync の配置場所を指定する必要があります。

Azure Active Directory に接続する

Azure AD ディレクトリに接続するとき、Azure AD Sync ツールは十分なアクセス許可を備えたアカウントの資格情報を必要とします。

Connect to Azure AD

詳細については、「Azure AD に接続するアカウントを作成する」を参照してください。

Active Directory ドメイン サービスへの接続

Connect to AD DS

Active Directory ドメイン サービスに接続するとき、Azure AD Sync ツールは十分なアクセス許可を備えたアカウントの資格情報を必要とします。

詳細については、「AD DS に接続する AD アカウントを作成する」を参照してください。

ユーザー一致の構成

Uniquely identifying your users

このページでは、次の構成を行う必要があります。

  1. フォレスト間の一致

  2. Azure AD との一致

フォレスト間の一致

フォレスト間の一致機能により、ADDS フォレストのユーザーを Azure AD でどのように表すかを定義できます。
ユーザーは、すべてのフォレストで 1 回だけ表すか、有効アカウントと無効アカウントを組み合わせることができます。

設定

説明

ユーザーをすべてのフォレスト間で 1 回だけ表す

すべてのユーザーは、Azure AD の個々のオブジェクトとして作成されます。 オブジェクトは、メタバースに結合されません。

メール属性

このオプションは、異なるフォレスト間でメール属性が同じ値である場合に、ユーザーと連絡先を結合します。 連絡先が GALSync を使用して作成されている場合、このオプションを使用することをお勧めします。

ObjectSID と msExchangeMasterAccountSID

このオプションは、アカウント フォレスト内の有効なユーザーを、Exchange リソース フォレスト内の無効なユーザーに結合します。 これは、Exchange ではリンクされたメールボックスとしても知られています。

sAMAccountName および MailNickName

このオプションでは、ユーザーのログイン ID が見つかると想定される属性で結合します。

独自の属性

このオプションでは、独自の属性を選択することができます。 CTP の制限の場合は、メタバースに既に存在する属性を選択するようにします。 カスタム属性を選択すると、ウィザードを完了できなくなります。

Azure AD との一致

このオプションを使用すると、ID フェデレーションに使用する属性を指定できます。 sourceAnchor 属性は、ユーザー オブジェクトの有効期間中に変わることがない属性です。 単一フォレストの環境で、アカウントがフォレスト間を移動しない場合は、objectGUID が適切な候補です。 ユーザーがフォレスト間またはドメイン間を移動する場合は、代替の属性を選択する必要があります。

userPrincipalName 属性は、Azure AD でのユーザーのログイン ID です。 既定では、ADDS の userPrincipalName 属性が使用されます。 この属性がルーティング可能でない場合やログイン ID として適切でない場合、インストール ガイドではメールなどの別の属性を選択できます。

オプション機能

Optional features

Exchange ハイブリッド展開を使用している場合は、このチェックボックスをオンにします。 これにより、一部の属性が Exchange Online からオンプレミスの Active Directory に書き戻されます。

パスワードの書き戻しは、Azure Active Directory Premium の機能です。 これを構成する方法の詳細については、次を参照してください https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx

Azure AD と同期する属性を制限または確認する必要がある場合は、[Azure AD アプリと属性フィルター処理] をオンにします。 そうすると、2 つの追加ページがウィザードに表示されます。

パスワード同期の詳細については、「Azure Active Directory Sync を使用したパスワード同期の実装」を参照してください。

Azure AD アプリ

Azure AD apps

Azure AD と同期する属性を制限する場合は、使用するサービスを選択することで開始します。このページを構成する場合は、インストール ガイドを再実行することで新しいサービスをいずれも明示的に選択する必要があります。

Azure AD の属性

Azure AD attributes

前の手順で選択したサービスに基づき、このページには同期するすべての属性が表示されます。 この一覧は、同期されるすべてのオブジェクトの種類の組み合わせです。 同期する必要のない特殊な属性がある場合は、それらを選択解除できます。 上の図では、extensionAttributes と homePhone を選択解除しており、これらは Azure AD と同期されません。

構成の準備完了

Ready to configure

このページには、構成の概要が表示されます。 次のページに進む前に、この概要を慎重に確認する必要があります。

この手順が失敗し、"Microsoft Azure Active Directory サービスと通信できません" というエラーが返された場合、プロキシ サーバーを構成するには、Azure AD Sync のコンピューターの "machine.config" ファイルにプロキシ設定を追加する必要があります。
詳細については、proxy> 要素 (ネットワーク 設定) を参照してください<

Finished

Finished

これで既定の構成が作成されました。同期を開始する準備が整ったら、[完了] をクリックします。
同期を開始する前に追加の構成が必要な場合は、[完了] をクリックする前に [今すぐ同期する] チェックボックスをオフにします。 これにより、タスク スケジューラに無効なタスクが作成されます。 構成が終了したら、このタスクを有効にすることで定期的な同期を開始します。

参照

概念

Azure Active Directory同期
Azure Active Directory Sync のバージョン リリース履歴
Azure Active Directory Sync とのパスワード同期を行います。

その他の参照情報

Azure AD Sync リリース ノート