既存のフォレストと新しいフォレストを単一の Microsoft Entra テナントに統合する

このチュートリアルでは、既存のハイブリッド ID 環境にクラウド同期を追加する手順について説明します。

このチュートリアルで作成した環境は、テスト目的や、ハイブリッド ID のしくみについて理解を深める目的で使用できます。

このシナリオでは、Microsoft Entra Connect 同期を使って Microsoft Entra テナントと同期された既存のフォレストがあります。 さらに、同じ Microsoft Entra テナントに同期したい新しいフォレストがあります。 この新しいフォレストのためのクラウド同期を設定します。

前提条件

Microsoft Entra 管理センターで

1. Microsoft Entra テナントで、クラウド専用のハイブリッド ID 管理者アカウントを作成します。 その方法を採用すると、オンプレミス サービスがエラーまたは利用できなくなったとき、テナントの構成を管理できます。 クラウド専用のハイブリッド ID 管理者アカウントを追加する方法について確認してください。 テナントからロックアウトされないようにするには、この手順を必ず完了する必要があります。
2. Microsoft Entra テナントに 1 つ以上のカスタム ドメイン名を追加します。 ユーザーは、このドメイン名のいずれかを使用してサインインできます。

オンプレミスの環境の場合

1. 4 GB 以上の RAM と .NET 4.7.1 以降のランタイムを搭載した、Windows Server 2012 R2 以降が実行されているドメイン参加済みホスト サーバーを特定します

2. サーバーと Microsoft Entra ID の間にファイアウォールがある場合は、次の項目を構成します:

   • エージェントが次のポートを介して Microsoft Entra ID に "送信" 要求を行うことができるようにします。

     ポート番号	用途
     80	TLS/SSL 証明書を検証する際に証明書失効リスト (CRL) をダウンロードします
     443	サービスを使用したすべての送信方向の通信を処理する
     8080 (省略可能)	ポート 443 が使用できない場合、エージェントは、ポート 8080 経由で 10 分おきにその状態をレポートします。 この状態はポータルに表示されます。

     ご利用のファイアウォールが送信元ユーザーに応じて規則を適用している場合は、ネットワーク サービスとして実行されている Windows サービスを送信元とするトラフィックに対してこれらのポートを開放します。

   • ファイアウォールまたはプロキシで安全なサフィックスの指定が許可されている場合は、*.msappproxy.net および *.servicebus.windows.net への接続を追加します。 そうでない場合は、毎週更新される Azure データセンターの IP 範囲へのアクセスを許可します。

   • エージェントは、初期登録のために login.windows.net と login.microsoftonline.com にアクセスする必要があります。 これらの URL にもファイアウォールを開きます。

   • 証明書の検証のために、URL mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80、www.microsoft.com:80 のブロックを解除します。 他の Microsoft 製品でこれらの URL を証明書の検証に使用しているため、URL のブロックを既に解除している可能性があります。

Microsoft Entra プロビジョニング エージェントをインストールする

AD と Azure の基本的な環境に関するチュートリアルを使用している場合、これは DC1 になります。 エージェントをインストールするには、これらの手順に従います。

1. Azure portal で、[Microsoft Entra ID] を選択します。

2. 左側のウィンドウで、[ Microsoft Entra Connect] を選択し、[ クラウド同期] を選択します。

   

3. 左側のウィンドウで、[エージェント] を選択 します。

4. [ オンプレミス エージェントのダウンロード] を選択し、[ 同意する] を選択してダウンロードします。

   

5. Microsoft Entra Connect プロビジョニング エージェント パッケージをダウンロードしたら、ダウンロード フォルダーから AADConnectProvisioningAgentSetup.exe インストール ファイルを実行します。

   注釈

   US Government Cloud のインストールを実行する場合は、 AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment を使用します。 詳細については、「 米国政府機関向けクラウドへのエージェントのインストール」を参照してください。

6. 開いた画面で、[ ライセンス条項に同意 する] チェック ボックスをオンにし、[ インストール] を選択します。

   

7. インストールが完了すると、構成ウィザードが開きます。 [次へ] を選択して構成を開始します。

   

8. [ 拡張機能の選択 ] 画面 で、HR ドリブン プロビジョニング (Workday と SuccessFactors) / Azure AD Connect Cloud Sync を選択し、[ 次へ] を選択します。

   

   注釈

   Microsoft Entra オンプレミス アプリケーション プロビジョニングで使用するプロビジョニング エージェントをインストールする場合は、[オンプレミス アプリケーション プロビジョニング (アプリケーションへの Microsoft Entra ID)]を選択します。

9. 少なくとも ハイブリッド ID 管理者 ロールを持つアカウントでサインインします。 Internet Explorer のセキュリティ強化が有効になっている場合は、サインインがブロックされます。 その場合は、インストールを閉じ、 Internet Explorer のセキュリティ強化を無効にして、Microsoft Entra Connect プロビジョニング エージェント パッケージのインストールを再起動します。

   

10. [サービス アカウントの構成] 画面で、グループ管理サービス アカウント (gMSA) を選択します。 このアカウントはエージェント サービスの実行に使用されます。 マネージド サービス アカウントが別のエージェントによってドメインに既に構成されていて、2 つ目のエージェントをインストールしている場合は、[ gMSA の作成] を選択します。 システムは既存のアカウントを検出し、gMSA アカウントを使用するために新しいエージェントに必要なアクセス許可を追加します。 メッセージが表示されたら、次の 2 つのオプションのいずれかを選択します。

    • gMSA の作成: エージェントが provAgentgMSA$ マネージド サービス アカウントを作成できるようにします。 グループ管理サービス アカウント ( CONTOSO\provAgentgMSA$ など) は、ホスト サーバーが参加したのと同じ Active Directory ドメインに作成されます。 このオプションを使用するには、Active Directory ドメイン管理者の資格情報を入力します (推奨)。
    • カスタム gMSA の使用: このタスク用に手動で作成したマネージド サービス アカウントの名前を指定します。

11. 続けるには、 [次へ] を選択します。

    

12. [Active Directory の接続] 画面で、ドメイン名が [構成済みドメイン] の下に表示される場合は、次の手順に進みます。 それ以外の場合は、Active Directory ドメイン名を入力し、[ ディレクトリの追加] を選択します。

13. Active Directory ドメイン管理者アカウントでサインインします。 ドメイン管理者アカウントには、有効期限が切れたパスワードがあってはなりません。 エージェントのインストール中にパスワードの有効期限が切れている場合や変更された場合は、新しい資格情報を使用してエージェントを再構成します。 この操作によってオンプレミス ディレクトリが追加されます。 [ OK] を選択し、[ 次へ ] を選択して続行します。

    

14. 次のスクリーンショットは、contoso.com 用に構成されたドメインの例を示しています。 [次へ] を選択して続行します。

    

15. [構成の完了] 画面で、 [確認] を選択します。 この操作によって、エージェントが登録されて再起動されます。

16. 操作が完了すると、エージェントの構成が正常に検証されたことを示す通知が表示されます。 [終了] を選択します。

    

17. まだ最初の画面が表示される場合は、[ 閉じる] を選択します。

エエージェントのインストールを確認する

エージェントの検証は、Azure portal と、エージェントを実行するローカル サーバーで行われます。

Azure portal でエージェントを確認する

Microsoft Entra ID によってエージェントが登録されていることを確認するには、次の手順に従います。

1. Azure portal にサインインします。

2. [Microsoft Entra ID] を選びます。

3. [Microsoft Entra Connect] を選択し、[クラウド同期] を選択します。

   

4. [ クラウド同期 ] ページに、インストールしたエージェントが表示されます。 エージェントが表示され、状態が 正常であることを確認します。

ローカル サーバー上のエージェントを確認する

エージェントが実行されていることを確認するには、次の手順に従います。

1. 管理者アカウントでサーバーにサインインします。

2. [サービス] に移動します。 Start/Run/Services.msc を使用してアクセスすることもできます。

3. [ サービス] で、 Microsoft Entra Connect エージェント アップデーター と Microsoft Entra Connect プロビジョニング エージェント が存在し、状態が [実行中] であることを確認します。

   

プロビジョニング エージェントのバージョンを確認する

実行中のエージェントのバージョンを確認するには、次の手順に従います。

1. C:\Program Files\Microsoft Azure AD Connect プロビジョニング エージェントに移動します。
2. AADConnectProvisioningAgent.exe を右クリックし、[プロパティ] を選択します。
3. [ 詳細 ] タブを選択します。製品バージョンの横にバージョン番号が表示されます。

Microsoft Entra クラウド同期を構成する

プロビジョニングを構成するには、次の手順に従います。

1. 少なくともハイブリッド ID 管理者として、Microsoft Entra 管理センターにサインインします。

2. Entra ID>、Entra Connect>、そしてCloud 同期にアクセスします。

   Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。

3. [新しい構成] を選択する
4. 構成画面で 通知用メール アドレスを入力し、セレクターを [有効] に移動して、[保存] を選択します。
5. 構成の状態が [正常] になります。

ユーザーが作成され、同期が実行されていることを確認する

ここで、オンプレミスのディレクトリに存在していたユーザーが同期され、現在は Microsoft Entra テナントに存在することを確認します。 このプロセスが完了するまでに数時間かかることがあります。 ユーザーが同期されていることを確認するには、次のようにします。

1. 少なくともハイブリッド ID 管理者として Microsoft Entra 管理センターにサインインします。
2. Entra ID>Users に移動します。
3. テナントに新しいユーザーが表示されていることを確認してください。

いずれかのユーザーでサインインをテストする

1. https://myapps.microsoft.com に移動します

2. 新しいテナントで作成されたユーザー アカウントを使用してサインインします。 user@___domain.onmicrosoft.com の形式を使用してサインインする必要があります。 ユーザーがオンプレミスでのサインインに使用するのと同じパスワードを使用します。

   

これでハイブリッド ID 環境を正常に設定できました。この環境は、Azure で提供されるサービスをテストしたり理解したりするために使用できます。

次のステップ

• プロビジョニングとは
• Microsoft Entra クラウド同期とは?