次の方法で共有

Microsoft Entra Connect 構成設定をインポートおよびエクスポートする

Microsoft Entra Connect の展開は、単一フォレストの Express モードのインストールから、カスタム同期規則を使用して複数のフォレスト間で同期される複雑な展開までさまざまです。 構成オプションとメカニズムの数が多いため、どの設定が有効であるかを理解し、同じ構成を使用してサーバーを迅速にデプロイできることが重要です。 この機能では、特定の同期サーバーの構成をカタログ化し、新しい展開に設定をインポートする機能が導入されています。 異なる同期設定スナップショットを比較して、2 つのサーバーまたは同じサーバーの違いを時間の経過と同時に簡単に視覚化できます。

Microsoft Entra Connect ウィザードから構成が変更されるたびに、新しいタイムスタンプ付き JSON 設定ファイルが自動的に %ProgramData%\AADConnectにエクスポートされます。 設定ファイル名はフォーム Applied-SynchronizationPolicy-*.JSONで、ファイル名の最後の部分はタイム スタンプです。

重要

Microsoft Entra Connect によって行われた変更のみが自動的にエクスポートされます。 PowerShell、Synchronization Service Manager、または Synchronization Rules Editor を使用して行った変更は、最新のコピーを維持するために必要に応じてオンデマンドでエクスポートする必要があります。 また、必要に応じてエクスポートを使用して、ディザスター リカバリーのために設定のコピーを安全な場所に配置することもできます。

Microsoft Entra Connect のインストールが G-SQL コネクタまたは G-LDAP コネクタを含むように変更された場合、この機能を使用することはできません。 既存の Microsoft Entra Connect Sync データベースを使用する場合は、この機能を組み合わせることはできません。 インポート/エクスポート構成の使用と既存のデータベースの使用は、相互に排他的です。

Microsoft Entra Connect 設定をエクスポートする

構成設定の概要を表示するには、Microsoft Entra Connect ツールを開き、 現在の構成の表示またはエクスポートという名前のタスクを選択します。 サーバーの完全な構成をエクスポートする機能と共に、設定の簡単な概要が表示されます。

既定では、設定は %ProgramData%\AADConnectにエクスポートされます。 また、障害が発生した場合に可用性を確保するために、保護された場所に設定を保存することもできます。 設定は JSON ファイル形式を使用してエクスポートされるため、論理的な一貫性を確保するために手動で作成または編集しないでください。 手動で作成または編集されたファイルのインポートはサポートされていないため、予期しない結果が生じる可能性があります。

Microsoft Entra Connect 設定をインポートする

以前にエクスポートした設定をインポートするには:

  1. 新しいサーバーに Microsoft Entra Connect をインストールします。

  2. [ようこそ] ページの後で、[カスタマイズ] オプションを選択します。

  3. [同期設定をインポート] を選択します。 以前にエクスポートした JSON 設定ファイルを参照します。

  4. [インストール] を選択します。

    [必要なコンポーネントのインストール] 画面を示すスクリーンショット。

LocalDBの代わりに SQL Server を使用する場合や、既定の仮想サービス アカウントではなく既存のサービス アカウントを使用する場合など、このページの設定をオーバーライドします。 これらの設定は、構成設定ファイルからインポートされません。 これらは、情報と比較の目的でそこにあります。

エクスポートされた JSON ファイルを変更して構成を変更することはサポートされていません。

インストール エクスペリエンスのインポート

インストール エクスペリエンスのインポートは、既存のサーバーの再現性を容易に提供するために、ユーザーからの最小限の入力で意図的にシンプルに保持されています。

次のセクションでは、インストール エクスペリエンス中に行うことができる変更を示します。 その他の変更はすべて、Microsoft Entra Connect ウィザードからインストールした後に行う必要があります。

  • Microsoft Entra 資格情報: 元のサーバーの構成に使用される管理者のアカウント名が既定で推奨されます。 新しいディレクトリに情報を同期する場合は、変更する 必要があります
  • ユーザー サインイン:元のサーバーに構成されたサインオン オプションが既定で選択され、資格情報や構成時に必要なその他の情報が自動的に要求されます。 まれに、アクティブなサーバーの動作を変更しないように、さまざまなオプションを使用してサーバーを設定する必要がある場合があります。 それ以外の場合は、 [次へ] を選択して同じ設定を使用します。
  • オンプレミスディレクトリの資格情報: 同期設定に含まれるオンプレミスのディレクトリごとに、同期アカウントを作成するための資格情報を指定するか、事前に作成されたカスタム同期アカウントを指定する必要があります。 この手順は、ディレクトリを追加または削除できないことを除いて、クリーン インストール エクスペリエンスと同じです。
  • [構成オプション] : クリーン インストールの場合と同様に、自動同期を開始するか、ステージング モードを有効にするかの初期設定を構成することができます。 主な違いは、ステージング モードが既定で意図的に有効になっており、結果を Microsoft Entra ID にアクティブにエクスポートする前に、構成と同期の結果を比較できるようにすることです。

[ディレクトリの接続] 画面を示すスクリーンショット。

プライマリ ロールに含めることができる同期サーバーは 1 つだけで、構成の変更を Microsoft Entra ID にアクティブにエクスポートできます。 その他のサーバーはすべて、ステージング モードにする必要があります。

既存のサーバーから設定を移行する

既存のサーバーが設定管理をサポートしていない場合は、サーバーを適切にアップグレードするか、新しいステージング サーバーで使用する設定を移行するかを選択できます。

移行には、新しいインストールで使用するために既存の設定を抽出する PowerShell スクリプトを実行する必要があります。 既存のサーバーの設定をカタログ化し、それを新しくインストールしたステージング サーバーに適用するには、この方法を使用します。 元のサーバーの設定を新しく作成されたサーバーと比較すると、サーバー間の変更をすばやく視覚化できます。 常に、組織の認定プロセスに従って、他の構成が必要ないことを確認します。

移行プロセス

設定を移行するには:

  1. 新しいステージング サーバーで AzureADConnect.msi を開始し、Microsoft Entra Connect の ウェルカム ページで停止します。

  2. Microsoft Entra Connect\Tools ディレクトリから既存のサーバー上の場所に MigrateSettings.ps1 をコピーします。 たとえば、C:\setup です。セットアップは、既存のサーバー上に作成されたディレクトリです。

    Microsoft Entra Connect ディレクトリを示すスクリーンショット。

    エラー Message: A positional parameter cannot be found that accepts argument 'True'.が表示された場合:

    エラーを示すスクリーンショット。

    次に、 MigrateSettings.ps1 ファイルを編集し、 $true を削除してスクリプトを実行します。

    構成の編集を示すスクリーンショット。

  3. 次のスクリーンショットに示すようにスクリプトを実行し、ダウンレベル サーバー構成ディレクトリ全体を保存します。 このディレクトリを新しいステージング サーバーにコピーします。 Exported-ServerConfiguration-* フォルダー全体を新しいサーバーにコピーする必要があります。

    PowerShell のスクリプトを示すスクリーンショット。

    Exported-ServerConfiguration-* フォルダーのコピーを示すスクリーンショット。

  4. デスクトップのアイコンをダブルクリックして Microsoft Entra Connect を起動します。 Microsoft ソフトウェア ライセンス条項に同意し、次のページで [カスタマイズ] を選択します。

  5. [ 同期設定のインポート ] チェック ボックスをオンにします。 [ 参照] を 選択して、コピーした Exported-ServerConfiguration-* フォルダーを参照します。 MigratedPolicy.jsonを選択して、移行された設定をインポートします。

    [同期設定をインポート] オプションが示されているスクリーンショット。

インストール後の検証

新しくデプロイされたサーバーの最初にインポートされた設定ファイルを、エクスポートされた設定ファイルと比較することは、意図していたデプロイと結果のデプロイとの違いを理解するうえで不可欠な手順です。 お気に入りの横並びのテキスト比較アプリケーションを使用すると、必要な変更または偶発的な変更をすばやく強調表示する瞬時の視覚化が得られます。

多くの以前の手動構成手順は削除されましたが、組織の認定プロセスに従って、他の構成が必要ないようにする必要があります。 この構成は、設定管理のこのリリースでは現在キャプチャされていない詳細設定を使用している場合に発生する可能性があります。

次の制限事項がわかっています。

  • 同期規則:Microsoft の標準ルールとの競合を避けるために、カスタム ルールの優先順位は予約済みの 0 から 99 の範囲にする必要があります。 予約済みの範囲外にカスタム ルールを配置すると、標準ルールが構成に追加されるときに、カスタム ルールが移動される可能性があります。 構成に変更された標準規則が含まれている場合も同様の問題が発生します。 標準ルールを変更することは避けてください。ルールの配置が正しくなくなる可能性があります。
  • デバイス ライトバック:これらの設定は、カタログ化されています。 これらは現在、構成時には適用されません。 元のサーバーでデバイス ライトバックが有効になっている場合は、新しくデプロイされたサーバーでこの機能を手動で構成する必要があります。
  • 同期オブジェクトの種類: 同期サービス マネージャーを使用して同期されたオブジェクトの種類 (ユーザー、連絡先、グループなど) の一覧を制限することはできますが、この機能は現在、同期設定ではサポートされていません。 インストールが完了したら、詳細構成を手動で再適用する必要があります。
  • 選択した属性: 同期サービス マネージャーを使用して同期された属性 (拡張機能の属性など) の一覧を制限することはできますが、この機能は現在、同期設定ではサポートされていません。 インストールが完了したら、詳細構成を手動で再適用する必要があります。
  • カスタム実行プロファイル:Synchronization Service Manager を使用して実行プロファイルの既定のセットを変更することはできますが、この機能は現在、同期設定ではサポートされていません。 インストールが完了したら、詳細構成を手動で再適用する必要があります。
  • プロビジョニング階層の構成:Synchronization Service Manager のこの高度な機能は、同期設定ではサポートされていません。 初期デプロイの完了後に手動で再構成する必要があります。
  • Active Directory フェデレーション サービスと PingFederate 認証: これらの認証機能に関連付けられているサインオン方法が自動的に事前選択されます。 その他の必要なすべての構成パラメーターを対話形式で指定する必要があります。

関連コンテンツ