このチュートリアルでは、Microsoft Entra Cloud Sync を使用してハイブリッド ID 環境を作成する手順を説明します。
このチュートリアルで作成した環境は、テストに使用したり、クラウド同期について理解を深めるために使用したりできます。
前提条件
Microsoft Entra 管理センターの場合
- Microsoft では、グローバル 管理者 ロールが永続的に割り当てられている 2 つのクラウド専用緊急アクセス アカウントを組織に付与することをお勧めします。 これらのアカウントは高い特権を持ち、特定の個人には割り当てられません。 アカウントは、通常のアカウントが使用できないか、すべての管理者が誤ってロックアウトされてしまうような「緊急対応」シナリオに限定されます。これらのアカウントは、緊急アクセスアカウントの推奨事項に従って作成する必要があります。
- Microsoft Entra テナントに 1 つ以上の カスタム ドメイン名 を追加します。 ユーザーは、このドメイン名のいずれかを使用してサインインできます。
オンプレミスの環境の場合
4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを搭載した、Windows Server 2016 以降が稼働するドメイン参加済みホスト サーバーを探す
サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、次の項目を構成します:
エージェントが次のポートを介して Microsoft Entra ID にアウトバウンド要求を発行できることを確認します。
ポート番号 用途 80 TLS/SSL 証明書を検証する際に証明書失効リスト (CRL) をダウンロードします 443 サービスを使用したすべての送信方向の通信を処理する 8080 (省略可能) ポート 443 が使用できない場合、エージェントは、ポート 8080 経由で 10 分おきにその状態をレポートします。 この状態はポータルに表示されます。 ご利用のファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスを送信元とするトラフィックに対してこれらのポートを開放します。
ファイアウォールまたはプロキシで安全なサフィックスを指定できる場合は、*.msappproxy.net と *.servicebus.windows.net に接続を追加します。 そうでない場合は、毎週更新される Azure データセンターの IP 範囲へのアクセスを許可します。
エージェントは、初期登録のために login.windows.net と login.microsoftonline.com にアクセスする必要があります。 これらの URL にもファイアウォールを開きます。
証明書の検証では、mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80、www.microsoft.com :80 の URL のブロックを解除します。 他の Microsoft 製品でもこれらの URL を証明書の検証に使用しているので、URL のブロックを既に解除している可能性もあります。
Microsoft Entra プロビジョニング エージェントをインストールする
Basic AD と Azure 環境のチュートリアルを使用している場合は、DC1 になります。 エージェントをインストールするには、次の手順に従います。
Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。
左側のウィンドウで、[ Entra Connect] を選択し、[ クラウド同期] を選択します。
![[作業の開始] 画面を示すスクリーンショット。](../../../includes/media/entra-cloud-sync-how-to-install/new-ux-1.png)
左側のウィンドウで、[エージェント] を選択 します。
[ オンプレミス エージェントのダウンロード] を選択し、[ 同意する] を選択してダウンロードします。
Microsoft Entra Connect プロビジョニング エージェント パッケージをダウンロードしたら、ダウンロード フォルダーから AADConnectProvisioningAgentSetup.exe インストール ファイルを実行します。
開いた画面で、[ ライセンス条項に同意 する] チェック ボックスをオンにし、[ インストール] を選択します。
インストールが完了すると、構成ウィザードが開きます。 [次へ] を選択して構成を開始します。
少なくとも ハイブリッド ID 管理者 ロールを持つアカウントでサインインします。 Internet Explorer のセキュリティ強化が有効になっている場合は、サインインが拒否されます。 その場合は、インストールを閉じ、 Internet Explorer のセキュリティ強化を無効にして、Microsoft Entra Provisioning Agent パッケージのインストールを再起動します。
![[Microsoft Entra ID の接続] 画面を示すスクリーンショット。](../../../includes/media/entra-cloud-sync-how-to-install/username.png)
[ サービス アカウントの構成] 画面で、グループの管理対象サービス アカウント (gMSA) を選択します。 このアカウントはエージェント サービスの実行に使用されます。 マネージド サービス アカウントが別のエージェントによってドメインに既に構成されていて、2 つ目のエージェントをインストールしている場合は、[ gMSA の作成] を選択します。 システムは既存のアカウントを検出し、gMSA アカウントを使用するために新しいエージェントに必要なアクセス許可を追加します。 メッセージが表示されたら、次の 2 つのオプションのいずれかを選択します。
-
gMSA の作成: エージェントが provAgentgMSA$ マネージド サービス アカウントを作成できるようにします。 グループ管理サービス アカウント (
CONTOSO\provAgentgMSA$など) は、ホスト サーバーが参加したのと同じ Active Directory ドメインに作成されます。 このオプションを使用するには、Active Directory ドメイン管理者の資格情報を入力します (推奨)。 - カスタム gMSA の使用: このタスク用に手動で作成したマネージド サービス アカウントの名前を指定します。
-
gMSA の作成: エージェントが provAgentgMSA$ マネージド サービス アカウントを作成できるようにします。 グループ管理サービス アカウント (
続行するには、[ 次へ] を選択します。
[ Active Directory の接続 ] 画面で、[ 構成済みのドメイン] にドメイン名が表示される場合は、次の手順に進みます。 それ以外の場合は、Active Directory ドメイン名を入力し、[ ディレクトリの追加] を選択します。
Active Directory ドメイン管理者アカウントでサインインします。 ドメイン管理者アカウントのパスワードは有効期限が切れていないものである必要があります。 エージェントのインストール中にパスワードの有効期限が切れている場合や変更された場合は、新しい資格情報を使用してエージェントを再構成します。 この操作によってオンプレミス ディレクトリが追加されます。 [ OK] を選択し、[ 次へ ] を選択して続行します。
[次へ] を選択して続行します。
[ 構成の完了 ] 画面で、[確認] を選択 します。 この操作によって、エージェントが登録されて再起動されます。
操作が完了すると、エージェントの構成が正常に検証されたことを示す通知が表示されます。 [ 終了] を選択します。 まだ最初の画面が表示される場合は、[ 閉じる] を選択します。
![[作業の開始] 画面を示すスクリーンショット。](../../../includes/media/entra-cloud-sync-how-to-install/new-ux-1.png#lightbox)
![[Microsoft Entra ID の接続] 画面を示すスクリーンショット。](../../../includes/media/entra-cloud-sync-how-to-install/username.png#lightbox)
エエージェントのインストールを確認する
エージェントの検証は、Azure portal と、エージェントを実行するローカル サーバーで行われます。
Azure portal でエージェントを確認する
Microsoft Entra ID によってエージェントが登録されていることを確認するには、次の手順に従います。
Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。
[Entra Connect] を選択し、[クラウド同期] を選択します。
[ クラウド同期 ] ページで、[ エージェント ] をクリックして、インストールしたエージェントを表示します。 エージェントが表示され、状態が アクティブであることを確認します。
ローカル サーバー上のエージェントを確認する
エージェントが実行されていることを確認するには、次の手順に従います。
管理者アカウントでサーバーにサインインします。
[サービス] に移動します。 Start/Run/Services.msc を使用してアクセスすることもできます。
[ サービス] で、 Microsoft Azure AD Connect エージェント アップデーター と Microsoft Azure AD Connect プロビジョニング エージェント が存在し、状態が [実行中] であることを確認します。
プロビジョニング エージェントのバージョンを確認する
実行中のエージェントのバージョンを確認するには、次の手順に従います。
- C:\Program Files\Microsoft Azure AD Connect プロビジョニング エージェントに移動します。
- AADConnectProvisioningAgent.exe を右クリックし、[プロパティ] を選択します。
- [ 詳細 ] タブを選択します。製品バージョンの横にバージョン番号が表示されます。
Microsoft Entra Cloud Sync を構成する
プロビジョニングを構成して開始するには、次の手順に従います。
Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。
[Entra ID]>[Entra Connect]>[クラウド同期] に移動します。
Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。
- 新しい構成>AD から Microsoft Entra ID 同期を選択します。
- 同期するドメインを選択し、[ 作成] を選択します。
Microsoft Entra Cloud Sync を構成する方法の詳細については、「 Microsoft Entra ID への Active Directory のプロビジョニング」を参照してください。
ユーザーが作成され、同期が実行されていることを確認する
ここで、同期範囲内にあるオンプレミス ディレクトリに存在していたユーザーが同期され、現在は Microsoft Entra テナントに存在することを確認します。 この同期操作が完了するまで数時間かかることがあります。 ユーザーが同期されていることを確認するには、次の手順に従います。
- Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。
- Entra ID>Users に移動します。
- テナントに新しいユーザーが表示されることを確認する
いずれかのユーザーでサインインをテストする
https://myapps.microsoft.com に移動します
テナントで作成されたユーザー アカウントを使用してサインインします。 user@domain.onmicrosoft.com の形式を使用してサインインする必要があります。 ユーザーがオンプレミスでのサインインに使用するのと同じパスワードを使用します。
これで Microsoft Entra Cloud Sync を使用するハイブリッド ID 環境が正常に構成されました。