(2021/09/07 追記)
Azure AD Connect 1.x のすべてのバージョンは 2022/08/31 でリタイアするとアナウンスがありました。
お早めに 2.x にアップグレードしましょう。
はじめに
2021 年 6 月 30 日をもって Azure AD での TLS 1.0/1.1 が無効化され、Azure AD Connect でも TLS 1.2 を対応する必要があります。
この対応について主な作業は以下のとおり。
- Azure AD Connect を最新のバージョン (1.4.38.0 以降) に更新する
- (2021/06/22 以下を追記)
- 以下のドキュメントでは、「Azure Active Directory Connect のバージョン 1.2.65.0 以降では、Azure との通信に対して TLS 1.2 のみの使用が完全にサポートされています。」と記載されているので、これ以降がマストですかね。
- Azure AD Connect に対する TLS 1.2 の強制
- Windows Server で TLS 1.2 が無効化されていないことを確認する
- パススルー認証を採用している場合、エージェントのバージョンが 1.5.389.0 以降であることを確認する
ここ最近、この対応をいくつか行ったので、その際に参考にした公式ドキュメントや記事を備忘録としてここにまとめておこうと思います。
※追記した内容は、更新履歴をご確認ください。
その前に、そもそも同期の動きって?
更新作業を実施する際、以下のような質問をよくいただくことがあります。
- 新規に構築した Azure AD Connect のステージングモードを無効化した途端にフル同期 (完全同期) となって同期完了するまで時間がかかってしまうの?
- 同期元の Azure AD Connect サーバーを切り替えると、Azure AD 上の同期済みのオブジェクトに影響はないの?書き換わってしまうの?
私 (たち) もなんとなく理解しているつもりですがツッコまれると回答に詰まり、あーちゃんと深く理解していなかったなーと自覚&反省しました...
このあたりの挙動を理解するために情報を探ってみたところ、以下の記事がとても分かりやすかったです。
とくに、記事中の「1. Staging サーバーとは?」の「Active サーバーと Staging サーバーを並べて構成したイメージ」図がとても分かりやすい!理解した!
さて前述した質問ですが、以下のように回答できるかと思います。
ステージングモードの状態で「フル同期」を実施して事前に Azure AD とオンプレ AD からの Import (最新の状態の取り込み) と Sync (データベースの更新) することで、
- 切り替え時に実施する同期の大半は「Azure AD とオンプレ AD への Export」となり、同期時間の短縮を図ることができる
- 切り替え時は Azure AD Connect 内の情報は最新の状態となっているので大丈夫
- 切り替え前にオブジェクトの追加・更新・削除はなるべく避けていただいたほうが良い (想定外の同期が発生させたくないので)
Azure AD Connect をアップグレード
Azure AD Connect のアップグレード方法を決める
Azure AD Connect のアップグレード方法には以下の 4 パターンが挙がるかと思います。
- 2 台構成によるスウィングアップグレード
- 1 台構成に新規でもう 1 台追加してアップグレード
- 1 台構成によるインプレースアップグレード
- 自動アップグレード
※1. と 2. はだいたい似たような作業 (スウィングアップグレード) になりますね。
Azure AD Connect のアップグレード方法の手順は?
それぞれのアップグレード方法の解説や手順は、公式ドキュメントにも記載されています。まずはこちらを一読すると良いでしょう。
- 旧バージョンからアップグレードする>スウィング移行 (スウィングアップグレード)
- 旧バージョンからアップグレードする>一括アップグレード (インプレースアップグレード)
- Azure AD Connect 自動アップグレード
読んでわかるように、文字がいっぱいでちょっとツラいです。
以下の記事には、それぞれの方法 (自動アップグレード以外) の詳しい手順が記載されたパワポがダウンロードできます。お客様に説明する際の参考資料としても使えそうです。
既存のものと同じようにセットアップしたかシンパイ
2 台構成 (および新規で 1 台追加した構成) で一方をステージングモードでセットアップした内容が既存のものと同じであることをチェックする必要があるかと思います。
そのような場合は、Azure AD Connect Sync Configuration Documenter を使用して、設定内容を機械的に比較して、差分があるか、そしてその差分内容をチェックします。
カスタマイズした同期規則がシンパイ
(2021/06/22 追記)
標準の同期規則を変更している状態で、アップグレードを実施すると上書きされてしまいます。
以下のドキュメントに従って対処しましょう。
- Azure AD Connect Sync: 既定の構成を変更するためのベスト プラクティス>同期規則に対する変更
セットアップ後の事前確認
(2021/07/07 追記)
ステージングモードでも同期処理は行っています。ただ、Azure AD とオンプレミス AD へのエクスポート (Azure AD とオンプレミス AD のオブジェクトへの変更) 処理は行っていません。この状態で、CSExportAnalyzer を使ってエクスポート待ちとなっているデータを確認することができます。このコマンドのアウトプットから Azure AD オブジェクトに対する変更内容を確認することができます。
- どうやって大きな作業に向けた事前確認で安心できるの?
自動アップグレードなのに最新バージョンじゃない!
自動アップグレードなのにも関わらず最新バージョンではない!という場合は、以下のトラブルシューティングを行って確認してみましょう。
- Azure AD Connect 自動アップグレード>トラブルシューティング
(2021/06/22 以下を追記)
あと、リリース履歴には、バージョンごとに自動アップグレード用にリリースされたか否かが記載されているので、こちらもご参照ください。
(2021/06/24 以下を追記)
リリース履歴を確認すると、最後に自動アップグレード用にリリースされたのは**「1.4.18.0」**です。
※一部のテナントにはその次のバージョン「1.4.25.0」がリリースされたそうですが。
もし、既存の Azure AD Connect がこのバージョン (またはこの次のバージョン) だった場合は、自動アップグレード機能に不具合があるわけではない (正常な動作) ということですね。
なお、バージョン「1.4.xx.x」の Azure AD Connect を利用している環境では、以下のような既知の問題があるそうです。
OS レベルで TLS 1.2 が有効になっているか
「Windows Server で TLS 1.2 が無効化されていないこと」の確認については、以下のドキュメントと記事が参考になります。
- Azure AD Connect に対する TLS 1.2 の強制>レジストリを更新する
- Azure AD Connect における TLS 1.2 の対応について>2. Windows Server (OS レベル)で TLS 1.2 が無効化されていないことを確認する。
Azure AD への接続を確認したい
Azure AD との接続に問題がないことを確認したい場合は、以下の記事で紹介されているスクリプト**「AADConnect-CommunicationsTest.ps1」**を Azure AD Connect をインストールしたサーバーで実行します。
このスクリプトは、Azure AD Connect が使用する接続先への疎通テストを一括で実施してくれます。また、システム構成 (Azure AD Connect) の確認 (プロキシ設定や OS レベルでの TLS など) も実施してくれます。
なお、この記事で紹介されているスクリプト**「AADConnect-CommunicationsTest.ps1」**は、以下のページから入手できます。
※TechNet ギャラリーは無くなってしまいました。
まとめ
他にも参考になりそうな情報があったら (思い出したら)、今後も追記していこうと思います!
更新履歴
- 2021/06/22 更新
- 「はじめに」にて、Azure AD Connect のバージョンについて追記
- 「カスタマイズした同期規則がシンパイ」を追記
- 「自動アップグレードなのに最新バージョンじゃない!」にて、リリース履歴について追記
- 2021/06/24 更新
- 「自動アップグレードなのに最新バージョンじゃない!」にて、リリース履歴について追記
- 2021/07/07 更新