Microsoft Entra Connect備忘録

Microsoft Entra Connectとは？

• ハイブリッドIDの目標を満たして実現するように設計されたオンプレミスのMicrosoftアプリケーション
• オンプレミスActive DirectoryとAzure Entra IDをSync（同期）し、IDを一元管理可能にすることを目的として使用する

https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/whatis-azure-ad-connect

Microsoft Entra Connectの機能

• パスワードハッシュ同期
  • ユーザーのオンプレミスADパスワードのハッシュをMicrosoft Entra IDと同期させるサインイン方法
• パススルー認証
  • ユーザーがオンプレミスとクラウド内で同じパスワードを使用できるようにするサインイン方法だが、フェデレーション環境の追加のインフラは不要
• フェデレーション統合
  • Microsoft Entra Connectのオプション部分であり、オンプレミスのAD FSインフラを使用してハイブリッド環境を構成するために使用できる。証明書の更新や追加のAD FSサーバーデプロイなどのAD FS管理機能も提供される

同期

• ユーザー、グループ、およびその他のオブジェクトを作成する役割を果たす。
• また、オンプレミスのユーザーやグループのID情報をクラウド側と一致させる役割もある。
• この同期にはパスワードハッシュも含まれる。

稼働状況の監視

• Microsoft Entra Connect Healthは、堅牢な監視を提供し、Microsoft Entra管理センターでこのアクティビティを表示するための一元的な場所を提供する。

https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/whatis-azure-ad-connect

Microsoft Entra Connectインストールに関する前提条件

Microsoft Entra ID

• Microsoft Entraテナントが存在する
  • 次のポータルのいずれかを使用して、Microsoft Entra Connectを管理できる
    • Microsoft Entra 管理センター
    • Officeポータル
• Microsoft Entra IDで使用する予定のドメインを追加して検証する
  • ユーザー向けにcontoso.comを使用する予定の場合は、そのドメインが検証されていることと、使用しているドメインが規定のドメインであるcontoso.onmicrosoft.comだけではないことを確認する
• Microsoft Entraテナントでは、規定で50,000個のオブジェクトが許可される。
  • ドメインを検証すると、このオブジェクトの制限が300,000個に増加する。
  • Microsoft Entra IDでさらに多くのオブジェクトが必要な場合は、制限をさらに引き上げるためにサポートケースを作成する
  • 500,000個を超えるオブジェクトが必要な場合は、Microsoft365, Microsoft Entra ID P1 or P2 or Enterprise Mobility + Securityなどのライセンスが必要

オンプレミスのデータの準備

• Microsoft Entra IDおよびMicrosoft 365に同期する前に、IdFixを使用して、ディレクトリ内の重複や書式の問題などのエラーを特定する
• Microsoft Entra IDで有効にできるオプションの同期機能について確認し、どの機能を有効にする必要があるかを評価する

オンプレミスのActive Directory

• Active Directoryスキーマのバージョンとフォレストの機能レベルは、Windows Server 2003以降である必要がある
  • ドメインコントローラーは、スキーマのバージョンとフォレストレベルの要件が満たされていれば、因位のバージョンを実行できる
  • Windows Server2016以前を実行しているドメインコントローラーのサポートが必要な場合は、有料サポートプログラムが必要になる場合がある
• Microsoft Entra IDで使用されるドメインコントローラーは、書き込み可能である必要がある
  • 読み取り専用ドメインコントローラー（RODC）の使用はサポートされていない
  • また、Microsoft Entra COnnecthあ書き込みリダイレクトに従わない
• ドット形式（名前にピリオドが含まれる）を使用したNetBIODS名を使用するオンプレミスのフォレストまたはドメインは使用できない
• Active Directoryのゴミ箱を有効にすることが推奨されている

PowerShell実行ポリシー

• Microsoft Entra Connectは、インストールの一部として署名済みPowerShellスクリプトを実行するためPowerShell実行ポリシーでスクリプトの実行が許可されていることを確認する
• インストール中に推奨される実行ポリシーは"RemoteSigned"
• PowerShell実行ポリシーの設定の詳細については、「Set-ExecutionPolicy」

Microsoft Entra Connectサーバー

• Microsoft Entra Connectサーバーには重要なIDデータが含まれているため、このサーバーへの管理アクセスが適切にセキュリティで保護されていることが重要
• 「特権アクセスの保護」のガイドラインに従って、Microsoft Entra Connectサーバーをコントロールプレーンアセットとして強化することが推奨されている
• Active Directory環境のセキュリティ保護の詳細については、Active Directoryを保護するためのベストプラクティスに関する記事を参照のこと

設置の前提条件

• Microsoft Entra Connectは、ドメインに参加しているWindows Server 2016以降にインストールする必要がある
  • ドメイン参加済みのWindows Server2022を使用することが推奨されている
  • Windows Server2016は延長サポートであるため、支援が必要な場合有償サポートプログラムが必要になることがある
• 必要な.NET Frameworkの最小バージョンは4.6.2であり、それより新しい.NETのバージョンもサポートされている
  • .NETバージョン4.8以降では、最適なアクセシビリティ コンプライアンスが提供される
• Small Business Serverまたは2019より前のWindows Server Essentialsには、Microsoft Entra Connectをインストールできない（Windows Server Essentials2019はサポートされる）
  • サーバーはWindows Server Standard以上を使用する必要がある
• Microsoft Entra Connectサーバーには、完全なGUIがインストールされている必要がある
  • Microsoft Server CoreへのMicrosoft Entra Connectのインストールはサポートされていない
• Microsoft Entra COnnectウィザードを使用してActive Directoryフェデレーションサービス（AD FS）構成を管理する場合、Microsoft Entra ConnectサーバーでPowerShellトランスクリプショングループポリシーを有効にすることはできない
  • Microsoft Entra Connectウィザードを使用して同期構成を管理する場合は、PowerShellトランスクリプションを有効にできる
• MS Online PowerShell（MSOL）がテナントレベルでブロックされていないことを確認する
• AD FS が展開されている場合:
  • AD FS または Web アプリケーション プロキシがインストールされるサーバーは、Windows Server 2012 R2 以降である必要がある
    • リモート インストールを行うには、これらのサーバーで Windows リモート管理を有効にする必要がある
    • Windows Server 2016 以前のサポートが必要な場合は、有料サポート プログラムが必要になる場合がある
  • TLS/SSL 証明書を構成する必要がある
    • 詳細については、AD FS の SSL/TLS プロトコルおよび暗号スイートの管理および AD FS での SSL 証明書の管理に関する記事を参照のこと
  • 名前解決を構成する必要があります。
• Microsoft Entra Connect と Microsoft Entra ID との間のトラフィックの中断および分析はサポートされていない
  • それを行うとサービスが中断される可能性がある
• ハイブリッド ID 管理者が MFA を有効にしている場合、URL https://secure.aadcdn.microsoftonline-p.com は信頼済みサイトの一覧に "含まれなければならない"
  • MFA チャレンジを求められたときに、この URL がまだ追加されていない場合は、信頼済みサイトの一覧に追加するように促される
  • 信頼済みサイトへの追加には、Internet Explorer を使用できる
• 同期に Microsoft Entra Connect Health を使用する予定の場合は、グローバル管理者アカウントを使用して Microsoft Entra Connect Sync をインストールする必要がある
  • ハイブリッド管理者アカウントを使用する場合、エージェントはインストールされますが、無効な状態になる
  • 詳細については、Microsoft Sentinel Connect Health エージェントのインストールに関する記事を参照のこと

Microsoft Entra Connectで使用されるSQL Server

• Microsoft Entra Connect には、ID データを格納するための SQL Server データベースが必要
  • 既定では、SQL Server 2019 Express LocalDB (SQL Server Express の簡易バージョン) がインストールされる
  • SQL Server Express のサイズ制限は 10 GB で、約 100,000 オブジェクトを管理できる
  • さらに多くのディレクトリ オブジェクトを管理する必要がある場合は、インストール ウィザードで別の SQL Server インストール済み環境を指定する
  • SQL Server のインストールの種類が、Microsoft Entra Connect のパフォーマンスに影響する可能性がある
• SQL Server の別のインストールを使用する場合は、次の要件が適用される
  • Microsoft Entra Connect は、Windows 上で実行される SQL Server 2022 まで、すべてのメインストリーム サポート SQL Server バージョンをサポートする
    • SQL Server ライフサイクル記事を参照し、お使いの SQL Server バージョンのサポート状態を検証すること
    • SQL Server 2012 はサポートされなくなった
    • Azure SQL Database は、データベースとしてはサポートされていない
    • これには、Azure SQL Database と Azure SQL Managed Instance の両方が含まレル
  • 大文字と小文字が区別されない SQL 照合順序を使用する必要がある
    • これらの照合順序は、名前に含まれる CI で識別する
    • 大文字と小文字が区別される照合順序 (名前に含まれる CS で識別) はサポートされていない
  • 1 つの SQL インスタンスにつき保持できる同期エンジンは 1 つだけ
    • MIM Sync、DirSync、または Azure AD Sync との SQL インスタンスの共有はサポートされていない
  • Microsoft Entra Connect にバンドルされている ODBC Driver for SQL Server バージョン 17 と OLE DB Driver for SQL Server バージョン 18 を維持する
    • ODBC/OLE DB ドライバーのメジャー バージョンまたはマイナー バージョンのアップグレードはサポートされていない
    • Microsoft Entra Connect 製品グループ チームは、新しい ODBC/OLE DB ドライバーが利用可能になり、更新の要件が満たされると、それらを組み込む

https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-install-prerequisites

事前確認事項

• Microsoft Entra Connectで使用されるドメイン参加済みかつ以下の条件を満たすWindows Serverが存在するかどうか
  • Windows Server2016以降（推奨：Windows Server2022）
  • バージョン4.6.2以降の.NET Frameworkがインストール済み
  • Small Business Serverでない
  • 2019より前のWindows Server Essentialsでない
  • Windows Server Stanard以上である
• Active Directory内のオブジェクトの数に応じたスペックを満たしていること

  Active Directory内のオブジェクトの数	CPU	メモリ	ハードドライブのサイズ
  10,000未満	1.6GHz	6GB	70GB
  10,000~50,000	1.6GHz	6GB	70GB
  50,000~100,000	1.6GHz	16GB	70GB

• Active Directoryスキーマのバージョンとフォレストの機能レベルがWindows Server 2003以降であること
• オンプレミスのフォレストまたはドメインに"ドット形式"(名前にピリオド"."が含まれる)を使用したNetBIOS名が使用されていないこと
• PowerShell実行ポリシーでスクリプトの実行が許可されていること

https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-install-prerequisites

事前確認手順

Windows Server2016以降（推奨：Windows Server2022）

https://www.ibm.com/support/pages/windows-serverwindows-server-のバージョンsp確認方法#:~:text=1. コマンドプロンプトを開き,内容を確認します。

.NET Frameworkのバージョン確認

https://learn.microsoft.com/ja-jp/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed

Windows Serverのスペック確認

https://www.ibm.com/support/pages/windows-server-システム情報取得方法

Active Directoryスキーマバージョン確認

https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/deploy/find-active-directory-schema?tabs=gui

Active Directoryフォレストバージョン確認

https://www.aiik.net/2020/10/22/active-directory-ドメイン-フォレスト機能レベルを確認してみ/

PowerShell実行ポリシー確認

• 推奨ポリシー："RemoteSigned"

https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.security/get-executionpolicy?view=powershell-7.4#1