Microsoft Entra Cloud Sync の前提条件

この記事では、ID ソリューションとして Microsoft Entra Cloud Sync を使用する方法に関するガイダンスを提供します。

クラウド プロビジョニング エージェントの要件

Microsoft Entra Cloud Sync を使用するには、次のものが必要です。

• エージェント サービスを実行するための Microsoft Entra Connect クラウド同期 gMSA (グループ管理サービス アカウント) を作成するためのドメイン管理者またはエンタープライズ管理者の資格情報。

• ゲスト ユーザーではない Microsoft Entra テナントのハイブリッド ID 管理者アカウント。

• Microsoft Entra Cloud Sync エージェントは、Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するドメインに参加しているサーバーにインストールする必要があります。 Windows Server 2022 をお勧めします。 Microsoft Entra Cloud Sync は Windows Server 2016 に展開できますが、延長サポートのため、この構成のサポートが必要な場合は 有料サポート プログラム が必要になる場合があります。 サポートされていないバージョンの Windows Server にインストールすると、サービスエラーや予期しない動作が発生する可能性があります。

  Important

  Windows Server 2025 はサポートされていません。 Windows Server 2025 に KB5065426 更新プログラムがインストールされているという既知の問題があり、これにより Microsoft Entra Cloud Sync で同期の問題が発生します。 Windows Server 2025 にアップグレードし、更新プログラム KB5065426をインストールした場合は、同期の中断を回避するために、できるだけ早く次のレジストリ キーを適用します。

  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
  "2362988687"=dword:00000000
  

  このレジストリの変更を適用した後、変更を有効にするには、サーバーを再起動する必要があります。 このレジストリの変更は回避策です。 Microsoft Entra Connect Sync に対する Windows Server 2025 のサポートは、今後のリリースで予定されています。

• このサーバーは、Active Directory 管理層モデルに基づく階層 0 サーバーである必要があります。 ドメイン コントローラーへのエージェントのインストールがサポートされています。 詳細については、「Microsoft Entra プロビジョニング エージェント サーバー を強化する」を参照してください。

• Active Directory スキーマには、Windows Server 2016 以降で使用できる msDS-ExternalDirectoryObjectId 属性が必要です。

• Windows Credential Manager サービス (VaultSvc) を無効にすることはできません。無効にすると、プロビジョニング エージェントをインストールできなくなります。

• 高可用性とは、Microsoft Entra Cloud Sync が長時間障害なく継続的に動作する機能を指します。 複数のアクティブなエージェントをインストールして実行することで、1 つのエージェントが失敗した場合でも、Microsoft Entra Cloud Sync を引き続き機能させることができます。 Microsoft では、高可用性のために 3 つのアクティブなエージェントをインストールすることをお勧めします。

• オンプレミスのファイアウォール構成。

Microsoft Entra プロビジョニング エージェント サーバーを強化する

IT 環境のこの重要なコンポーネントのセキュリティ攻撃対象領域を減らすには、Microsoft Entra プロビジョニング エージェント サーバーを強化することをお勧めします。 これらの推奨事項に従うと、組織に対するいくつかのセキュリティ リスクを軽減できます。

• Microsoft Entra プロビジョニング エージェント サーバーをコントロール プレーン (以前の階層 0) 資産として強化することをお勧めします。これは、Secure Privileged Access および Active Directory 管理層モデルに記載されているガイダンスに従って行います。
• Microsoft Entra プロビジョニング エージェント サーバーへの管理アクセスを、ドメイン管理者またはその他の厳密に制御されたセキュリティ グループのみに制限します。
• 特権アクセスを持つすべての担当者に対して、専用アカウントを作成します。 管理者は、Web を閲覧したり、メールを確認したり、高い特権を持つアカウントで日常の生産性タスクを実行したりしないでください。
• 特権アクセスのセキュリティ保護に関する記事に記載されているガイダンスに従ってください。
• Microsoft Entra プロビジョニング エージェント サーバーでの NTLM 認証の使用を拒否します。 これを行うには、いくつかの方法があります。Microsoft Entra プロビジョニング エージェント サーバー での NTLM の制限と、ドメイン での NTLM の制限
• すべてのマシンに一意のローカル管理者パスワードがあることを確認します。 詳細については、「ローカル管理者パスワード ソリューション (Windows LAPS) 各ワークステーションで一意のランダム パスワードを構成し、ACL によって保護された Active Directory にサーバーに保存する方法を参照してください。 これらのローカル管理者アカウント のパスワードの読み取りまたはリセットを要求できるのは、資格のある承認されたユーザーだけです。 Windows LAPS と特権アクセス ワークステーション (PAW) を使用した環境の運用に関する追加のガイダンスは、クリーン ソースの原則に基づく 運用標準で確認できます。
• 組織の情報システムへの特権アクセス権を持つすべての担当者に 専用の 特権アクセス ワークステーションを実装します。
• Active Directory 環境の攻撃対象領域を減らすために、次の 追加のガイドラインに従ってください。
• フェデレーション構成に対する変更の監視に従って、IdP と Microsoft Entra ID の間で確立された信頼への変更を監視するアラートを設定します。
• Microsoft Entra ID または AD で特権アクセス権を持つすべてのユーザーに対して多要素認証 (MFA) を有効にします。 Microsoft Entra プロビジョニング エージェントの使用に関するセキュリティの問題の 1 つは、攻撃者が Microsoft Entra プロビジョニング エージェント サーバーを制御できる場合、Microsoft Entra ID でユーザーを操作できることです。 攻撃者がこれらの機能を使用して Microsoft Entra アカウントを引き継ぐのを防ぐために、MFA は保護を提供します。 たとえば、攻撃者が Microsoft Entra プロビジョニング エージェントを使用してユーザーのパスワードをリセットしたとしても、2 番目の要素をバイパスすることはできません。

グループ管理サービス アカウント

グループ管理サービス アカウントは、パスワードの自動管理とサービス プリンシパル名 (SPN) の管理を簡素化するマネージド ドメイン アカウントです。 また、管理を他の管理者に委任し、この機能を複数のサーバーに拡張することもできます。 Microsoft Entra Cloud Sync では、エージェントの実行に gMSA がサポートされ、使用されます。 このアカウントを作成するために、セットアップ中に管理者資格情報の入力を求められます。 アカウントは ___domain\provAgentgMSA$として表示されます。 gMSA の詳細については、「グループ管理サービス アカウントの」を参照してください。

gMSA の前提条件

• gMSA ドメインのフォレスト内の Active Directory スキーマを Windows Server 2012 以降に更新する必要があります。
• ドメイン コントローラー上の PowerShell RSAT モジュール。
• ドメイン内の少なくとも 1 つのドメイン コントローラーが Windows Server 2012 以降を実行している必要があります。
• エージェントのインストール用に Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するドメイン参加済みサーバー。

カスタム gMSA アカウント

カスタム gMSA アカウントを作成する場合は、アカウントに次のアクセス許可があることを確認する必要があります。

既存のエージェントをアップグレードして gMSA アカウントを使用する手順については、グループの管理対象サービス アカウントを参照してください。

グループ管理サービス アカウント用に Active Directory を準備する方法の詳細については、「グループ管理サービス アカウントの概要 およびクラウド同期を使用したグループ管理サービス アカウントの に関するページを参照してください。

Microsoft Entra 管理センターで

1. Microsoft Entra テナントにクラウド専用のハイブリッド ID 管理者アカウントを作成します。 これにより、オンプレミスのサービスが失敗したり使用できなくなったりした場合に、テナントの構成を管理できます。 クラウド専用のハイブリッド ID 管理者アカウント追加する方法について説明します。 テナントからロックアウトされないようにするには、この手順を完了することが重要です。
2. 1 つ以上のカスタム ドメイン名を Microsoft Entra テナントに追加します。 ユーザーは、次のいずれかのドメイン名でサインインできます。

Active Directory のあなたのディレクトリ内

IdFix ツール を実行して、同期用のディレクトリ属性を準備します。

オンプレミスの環境の場合

1. 4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを備えた Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するドメインに参加しているホスト サーバーを特定します。
2. ローカル サーバー上の PowerShell 実行ポリシーを Undefined または RemoteSigned に設定する必要があります。
3. サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、ファイアウォールとプロキシの要件に関するを参照してください。

Microsoft Entra ID を Active Directory Domain Services にプロビジョニングする - 前提条件

Active Directory Domain Services (AD DS) へのプロビジョニング グループを実装するには、次の前提条件が必要です。

ライセンス要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「Microsoft Entra IDの一般公開機能を比較する」を参照してください。

一般的な要件

• 少なくとも ハイブリッド ID 管理者 ロールを持つ Microsoft Entra アカウント。
• MsDS-ExternalDirectoryObjectId 属性を持つオンプレミスの AD DS スキーマ。Windows Server 2016 以降で使用できます。
• ビルド バージョン 1.1.3730.0 以降のプロビジョニング エージェント。

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of ___domain" -EACredential $credential

• プロビジョニング エージェントは、Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するサーバーにインストールする必要があります。
• プロビジョニング エージェントは、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上の 1 つ以上のドメイン コントローラーと通信できる必要があります。
  • 無効なメンバーシップ参照を除外するためには、グローバルカタログの検索が必要です
• Microsoft Entra Connect Sync のビルド バージョン2.22.8.0
  • Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザー メンバーシップをサポートするために必要です
  • AD DS:user:objectGUIDをAAD DS:user:onPremisesObjectIdentifierに同期する必要があります。

サポートされているグループとスケールの制限

次のアクションがサポートされています。

• 変換された SOA グループを AD DS にプロビジョニングする場合は、OU パスを保持し、適切なマッピングで構成されたグループプロビジョニング ADの設定を行ってください。 詳細については、「 Microsoft Entra Cloud Sync を使用して Active Directory Domain Services にグループをプロビジョニングする」を参照してください。
• (AD DS から Microsoft Entra ID に) 変換されたクラウドネイティブまたは SOA のセキュリティ グループ のみがサポートされます。
• これらのグループには、割り当て済みまたは動的メンバーシップ グループを含めることができます。
• これらのグループには、オンプレミスの同期されたユーザーまたは他のクラウドで作成されたセキュリティ グループのみを含めることができます。
• 同期されたユーザーは、同じフォレスト内の任意のドメインから取得できます。
• これらのグループは、 ユニバーサルのグループ スコープで書き戻されます。 オンプレミス環境では、ユニバーサル グループ スコープをサポートする必要があります。
• メンバー数が 50,000 を超えるグループはサポートされていません。
• 150,000 を超えるオブジェクトを持つテナントはサポートされていません。 ユーザーとグループの組み合わせが 150,000 オブジェクトを超える場合、テナントはサポートされません。
• 直接の子グループとして入れ子になっているグループは、参照グループ内で1つのメンバーとしてカウントされます。
• Microsoft Entra ID と AD DS の間のグループの調整は、グループが AD DS で手動で更新される場合はサポートされません。

詳細情報

AD DS にグループをプロビジョニングする場合は、さらに考慮する必要がある点を次に示します。

• Cloud Sync を使用して AD DS にプロビジョニングされたグループには、オンプレミスの同期されたユーザーまたはその他のクラウドで作成されたセキュリティ グループのみを含めることができます。
• これらのユーザーは、自分のアカウント に onPremisesObjectIdentifier 属性を設定する必要があります。
• onPremisesObjectIdentifier は、ターゲット AD DS 環境の対応する objectGUID と一致する必要があります。
• オンプレミス ユーザー objectGUID 属性は、いずれかの同期クライアントを使用して、クラウド ユーザー の onPremisesObjectIdentifier 属性に同期できます。
• Microsoft Entra ID から AD DS にプロビジョニングできるのは、グローバル Microsoft Entra ID テナントのみです。 B2C などのテナントはサポートされていません。
• グループ プロビジョニング ジョブは、20 分ごとに実行するようにスケジュールされています。

その他の要件

• 最小バージョン: Microsoft .NET Framework 4.7.1

TLS の要件

Microsoft Entra Connect クラウド プロビジョニング エージェントをホストする Windows サーバーは、インストールする前に TLS 1.2 を有効にする必要があります。

TLS 1.2 を有効にするには、次の手順に従います。

1. コンテンツを .reg ファイルにコピーして次のレジストリ キーを設定し、ファイルを実行します (選択して [のマージ] を選択します)。

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. サーバーを再起動します。

ファイアウォールとプロキシの要件

サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、次の項目を構成します。

• エージェントが次のポートを介して Microsoft Entra ID に の外向き 要求を送信できることを確認してください。

  ポート番号	説明
  80	TLS/SSL 証明書の検証中に証明書失効リスト (CRL) をダウンロードします。
  443	サービスとのすべての送信通信を処理します。
  8080 (省略可能)	エージェントは、ポート 443 が使用できない場合、ポート 8080 経由で 10 分ごとに状態を報告します。 この状態は、Microsoft Entra 管理センターに表示されます。

• ファイアウォールが送信元ユーザーに従って規則を適用する場合は、ネットワーク サービスとして実行される Windows サービスからのトラフィックに対してこれらのポートを開きます。

• プロキシが少なくとも HTTP 1.1 プロトコルをサポートし、チャンク エンコードが有効になっていることを確認します。

• ファイアウォールまたはプロキシで安全なサフィックスを指定できる場合は、接続を追加します。

NTLM 要件

Microsoft Entra プロビジョニング エージェントを実行している Windows Server で NTLM を有効にしないでください。有効になっている場合は、必ず無効にする必要があります。

既知の制限事項

既知の制限事項を次に示します。

差分同期

• 差分同期のグループ スコープ フィルター処理では、50,000 を超えるメンバーがサポートされていません。
• グループ スコープ フィルターの一部として使用されているグループを削除しても、グループのメンバーであるユーザーは削除されません。
• スコープ内の OU またはグループの名前を変更しても、差分同期ではユーザーは削除されません。

プロビジョニング ログ

• プロビジョニング ログでは、作成操作と更新操作が明確に区別されません。 更新時に作成操作、および作成時に更新操作が表示される場合があります。

グループ名の変更または OU の名前変更

• 特定の構成のスコープ内にある AD のグループまたは OU の名前を変更した場合、クラウド同期ジョブは AD での名前の変更を認識できません。 ジョブは検疫されず、正常な状態のままになります。

スコープ フィルター

OU スコープ フィルターを使用する場合

• スコープ構成の文字数には 4 MB の制限があります。 標準のテスト環境では、これは、特定の構成に対して、必要なメタデータを含め、約 50 個の個別の組織単位 (OU) またはセキュリティ グループに変換されます。

• 入れ子になった OU がサポートされています (つまり、130 の入れ子になった OU を持つ OU を同期できますが、同じ構成で 60 の個別の OU を同期することはできません)。

パスワード ハッシュ同期

• InetOrgPerson でのパスワード ハッシュ同期の使用はサポートされていません。

次の手順

• プロビジョニングとは何か
• Microsoft Entra Cloud Sync とは