LoginSignup
6
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

お題は不問!Qiita Engineer Festa 2024で記事投稿!
Qiita Engineer Festa20242024年7月17日まで開催中!
@mokonacl(Watanabe Mitsuki)

【Entra ID ハンズオン】Microsoft Entra Connect クラウド同期 (Cloud Sync)

Last updated at Posted at 2024-07-09

1.はじめに

本記事は、Microsoft Entra Connect クラウド同期(Cloud Sync) に関する説明です。

Entra Connect(旧名Azure AD Connect)には、現在2つの同期エージェントがあります。

1つ目は、Connect同期と呼ばれ、1つのEntra IDに対して、1つのEntra Connectのみがサポートされます。従来から利用されている同期エージェントです。
2つ目は、複数のADがあるような環境下で、1つのEntra IDに対して、複数の同期エージェントがサポートされます。これはMicrosoft Entra Connect クラウド同期と呼ばれるエージェントによるID同期で、今回はこちらを説明致します。

2.Entra Connect クラウド同期とは

2-1.トポロジー

まず初めに、ADが複数ある環境下において、従来のEntra Connect のConnect同期エージェントでは、以下のようなトポロジーがサポートされていませんでした。

image.png

つまり、従来のEntra Connect のConnect同期エージェントでは、以下のようなトポロジーにする必要があります。特に問題なく構成できる場合は良いのですが、ADが複数の拠点にあることにより、Entra ConnectとAD間においてNAT通信が発生してしまい、通信要件を満たせないことも多々ありました。

image.png

そんな問題を解消するのが、Microsoft Entra Connect クラウド同期です。
以下図のように、すでにEntra ConnectによるID同期を実施している場合に、追加する形であるADのユーザ情報をEntra IDに同期させることが可能となります。

image.png

さらに、複数のADに対して、複数のEntra Connect クラウド同期によるID同期を実施することができます。
加えて、Entra Connect クラウド同期エージェントは、ADとの同居も可能となります。
※Entra Connect Connect同期エージェントもADと同居可能ですが、基本的には非推奨構成となります。

image.png

2-2.Entra Connect クラウド同期のデメリット

上記話だけですと、良い事だけのように思えてしまいますが、Entra Connect クラウド同期のデメリットもあります。
個人的に一番大きいと思われるデメリットは、デバイスオブジェクトを同期することができず、Entra Hybrid Joinedを実現できないという点です。つまり、ユーザオブジェクトの同期をすることに限定されるため、Entra Joinedや、Entra Registeredのみになります。

2-3.比較

Microsoft Learnの比較表から、少し項目をピックアップしたのが、以下の比較表です。
他にも同期間隔の違いや、パススルー認証、フィルター機能の違いがありますね。

また、Entra IDからADに、グループプロビジョニングもEntra Connect クラウド同期はサポートしてたりします。ただ、ユーザプロビジョニングがサポートされていないので、なんとも言えない機能です。

image.png

3.手順

3-1.前提条件

今回は事前に、以下環境を構築しておきます。
Microsoft Entra Connect クラウド同期でのみサポートされる構成とするため、Windows Server 2022にEntra Connectをインストールしています。

  • Hyper-V上に、Windows Server 2025とWindows Server 2022を1台ずつ用意
  • 異なるフォレストとして、それぞれのサーバにActive Directoryの設定を実施
  • Windows Server 2022には、Entra Connectをインストールさせて同期済み

image.png

3-2.ユーザ作成

ADからEntra IDにユーザ同期されることを確認するため、AD上にユーザを作成します。

image.png

セキュリティグループを作成し、このグループ内にユーザを追加しています。
これは、グループの同期とグループ内のメンバーも同期されるか確認するためとなり、v-user01とv-user02を所属させています。
image.png

さらに、ソフトマッチのテスト用のユーザも作成しています。

ソフトマッチ用のユーザ
User Name UPNが一致かどうか e-mailが一致かどうか
match-test-user01 一致 不一致
match-test-user02 不一致 一致

ソフトマッチ
ソフトマッチとは、Entra IDにユーザがある場合において、AD上にも同一のユーザが存在している場合に、Entra Connect (Connect 同期 / クラウド同期) によるID同期を実施した場合でも、ADとEntra IDのユーザを一致させるという処理になります。
ソフトマッチについて、詳しくは以下ブログをご覧ください。

https://jpazureid.github.io/blog/azure-active-directory-connect/aboutSoftMatching/

3-3.Entra Connect クラウド同期エージェントのインストール

Entra 管理センターに移動し、「ハイブリッド管理 > Microsoft Entra Connect」を選択し、「クラウド同期」をクリックします。

image.png

クラウド同期の画面は、以下のようになっています。

image.png

「Agents > オンプレミスのエージェントをダウンロードします」を選択し、「使用条件に同意してダウンロードする」を選択し、Entra Connec クラウド同期のエージェントをダウンロードします。
このインストーラをADに置きます。

image.png

AD上で、インストーラを実行します。

image.png

「HR-driven provisioning / Microsoft Entra Cloud Sync」を選択します。
image.png

次に、Entra IDの認証が発生するため、ハイブリッドID管理者の権限以上をもつアカウントでサインインを完了します。

image.png


「Create gMSA」を選択し、グループ管理サービス アカウント (gMSA) を作成いたします。
このgMSAは、エージェントサービスの実行に利用されます。
image.png

gMSA
AD上のユーザーとコンピューターを確認すると、「Managed Service Accounts」の中に、provAgentgMSAというグループ管理サービス アカウントが作成されていることを確認することができます。

image.png

対象となるドメイン名を入力します。

image.png

確認画面が表示されるので、「Confirm」をクリックします。
image.png

問題なければ、完了となりますので、「Exit」をクリックします。
image.png

エージェントサービス
AD上でサービスを確認すると、Microsoft Azure AD Connect Provisioning Agentというサービスが作成されています。

image.png

3-4.Entra Connect クラウド同期の実行

ここまででエージェントのインストールは完了しました。
Entra 管理センターに移動し、「ハイブリッド管理 > Microsoft Entra Connect」において、「Agents」をクリックすると、先ほどエージェントをインストールしたサーバ名を確認することができます。

image.png

「構成 > +新しい構成」を選択し、「ADからMicrosoft Entra IDへの同期」を選択します。
image.png

対象となるエージェントを選択し、「パスワードハッシュの同期を有効にする」にチェックを付けた状態で、「作成」をクリックします。

image.png

作成すると一覧に新しい構成が追加されます。新しく追加された構成をクリックします。
image.png

「スコープフィルター」から「選択した組織単位」にチェックし、オブジェクトの識別名(distinguishedName) を入力し、「追加」を選択します。

image.png

オブジェクトの識別名(distinguishedName)

例えば、ドメインがsample.example.com、OUがSAMPLE-OUの場合において、distinguishedNameの表記で記載する場合は、OU=SAMPLE-OU,DC=sample,DC=example,DC=com のような形式で表記されます。

distinguishedNameは、「サーバーマネージャ― > ツール > ADSIエディター」から対象のOUのプロパティからも確認することができます。

概要のところから、「確認して有効にする」を選択し、「構成を有効にする」をクリックし完了です。
image.png

4.動作確認

4-1.ID同期

少し待つと自動で、Entra 管理センターにユーザが作成されます。
同期されたユーザは、「オンプレミスの同期が有効」が「はい」になっています。
このとき、UPNとmail addressによるソフトマッチも正常に動作されていました。

image.png

グループに関しても同期されており、AD内のメンバーも反映されていました。
image.png

注意点
ADから同期されたユーザに関しては、Entra 管理センター上でのプロパティ編集が一部できなくなります。
例えば、表示名、姓、名、ユーザーの種類、ジョブ情報、連絡先情報などの編集ができなくなります。
編集をしようとする場合は、ADで編集して、Entra IDに同期させる必要があります。

4-2.同期NGの確認

また、意図時に、AD上にユーザを2つ作成し、同じmail addressを付与しました。
この場合は、Entra IDにユーザは同期されませんでした。ユーザの一意性を担保するために、UPNやmail addressなどがバッティングする状態では同期できないためです。

また、現実的にはID同期を開始する前、IdFixを利用した確認をします。
IdFixは、Github上にあるツールとなり、ID同期の事前確認をすることができます。

今回のケースでは、以下のような出力となっていました。
ERRORのところを確認すると、Duplicateとなっており、VALUEのところが重複しているという判定をしています。

image.png

5.おわりに

今回は、Microsoft Entra Connect クラウド同期に関して、取り上げてみました。
Entra Hybrid Joinedを利用しないのであれば、推奨パターンといえるかもしれませんね。

6
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
6
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?