Entra ID Connect(Azure AD Connect)のインストールと構成

この記事の内容

  • オンプレミスのActive Directory環境とMicrosoft 365(Entra ID)を同期するためのAzure AD Connectのインストール手順を解説します
  • シングルフォレスト・シングルドメイン構成での「簡単設定」を使った推奨構成を紹介します
  • パスワードハッシュ同期を用いた最もシンプルかつ推奨される構成パターンです
  • PowerShellコマンドによる即時同期の実行方法も確認します
  • ADFSなど複雑な構成よりも、シンプルな構成を強く推奨する理由についても触れます

検証環境の構成

今回の検証では、以下の3台構成のサーバー環境を用意しています。

  • ドメインコントローラー × 1台
  • Azure AD Connect用のWindowsサーバー × 1台
  • メンバーサーバー × 1台

Active DirectoryはシングルフォレストのシングルドメインとしてAnsibleのPlaybookを使って自動展開しています。ADのドメイン名は、Microsoft 365の評価環境に追加したカスタムドメインと合わせておくことで、そのまま同期できるようにしています。

Azure AD Connectのダウンロードとインストール

Azure AD Connect用のサーバーに接続し、ブラウザで「Azure AD Connect」と検索してMicrosoftの公式ページにアクセスします。

ページ内の「Azure AD Connectのインストール」ボタンからインストーラーをダウンロードします。今回はAzure AD Connect バージョン2を使用します。言語選択はデフォルト(英語)のままでダウンロードします。

ダウンロードしたMSIファイルを開くと、一度画面が消える場合がありますが、しばらく待つと再度表示されます。タスクバーから前面に持ってくると「Azure AD Connectへようこそ」というインストール画面が起動します。

ライセンス条項のチェックボックスにチェックを入れて「続行」で先に進みます。

簡単設定を使った構成

インストールウィザードでは「簡単設定を使う」か「カスタマイズ」かを選択できます。

シングルフォレストで特別な要件がない場合は、「簡単設定を使う」を強くおすすめします。簡単設定では以下の構成が自動的に行われます。

  • パスワードハッシュ同期の有効化
  • 初期同期の即時開始(すべてのオブジェクト・属性を同期)
  • 自動アップグレードの有効化

「簡単設定を使う」を選択すると、次にAzure AD(Entra ID)への接続設定に進みます。

Azure ADへの接続設定

グローバル管理者アカウントのユーザー名とパスワードを入力して「次へ」を押します。多要素認証(MFA)が有効な場合は、追加の認証ステップが表示されますので、そのまま認証を完了してください。

Azure AD(クラウド側)への接続が確認されたら、次にAD DS(オンプレミスのActive Directory)への接続設定を行います。画面のサンプル表記に従ってドメイン管理者の資格情報を入力し「次へ」を押します。

インストールの実行

構成の準備が完了すると、以下の処理が実行されることが表示されます。

  • 同期エンジンのインストール
  • Azure ADコネクターの構成
  • オンプレミスADコネクターの構成
  • パスワードハッシュ同期の有効化
  • 自動アップデートの有効化
  • 同期サービスの構成

「インストール」をクリックすると処理が開始されます。完了後、構成が成功したことを示す画面が表示されます。

インストール完了後の注意事項

完了画面に以下の警告が表示される場合があります。

  • Active Directoryのごみ箱が有効ではない: オンプレミスADでごみ箱機能を有効化することを強く推奨するという警告です。本番環境では有効化しておくことをおすすめします。
  • msDS-ConsistencyGuid属性の使用: Entra IDがオブジェクトの同一性を判定するためにこの属性を使用するという通知です。

同期の確認

インストール完了後、実際に同期が機能しているかを確認します。まず、オンプレミスのActive Directoryに新しいテストユーザーを作成します。

「Active Directoryユーザーとコンピューター」を開き、Usersコンテナーで新規ユーザーを作成します。

例:

  • ログオン名: test01
  • UPN: test01@<ドメイン名>

ユーザーを作成しただけでは同期はまだ行われていません。PowerShellで即時同期を実行します。

Start-ADSyncSyncCycle

このコマンドで同期サイクルを即時開始できます。同期の実行状況は「Azure AD Connect 同期サービス」管理ツールの「コネクター」タブで確認できます。「Running」「In Progress」と表示されているステータスが「Success」に変われば同期完了です。

Entra ID(Azure Active Directory)のユーザー一覧を更新すると、作成した test01 ユーザーが表示されます。ユーザーの詳細を確認すると「オンプレミスの同期が有効:はい」となっており、オンプレミスから同期されたユーザーであることが確認できます。

ADFSなど複雑な構成について

パスワードハッシュ同期以外にも、ADFSを使った構成など複数の構成パターンが存在します。しかし、特別な要件がない限り、パスワードハッシュ同期の簡単設定を使うことを強く推奨します。複雑な構成は管理コストが高く、多くのケースで必要ありません。

まとめ

Azure AD Connect(Entra ID Connect)のインストールと構成は、「簡単設定」を使うことで非常に手軽に完了できます。シングルフォレスト・シングルドメイン環境であれば、ウィザードに従って資格情報を入力するだけで、パスワードハッシュ同期の設定から初期同期までが自動で行われます。同期の即時実行には Start-ADSyncSyncCycle コマンドを活用すると便利です。複雑な構成パターンは管理の手間が増えるだけであり、特別な要件がない限りシンプルな推奨構成を選ぶことが最善です。