1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 4

夜コツコツ1人で書く Advent Calendar 2025

@yuyanz(yuya)

【Microsoft Entra Connect】テナント名・UPN・通信要件の整理

Last updated at Posted at 2025-12-24

はじめに

こちらの記事を参考にMicrosoft Entra Connect を構築しました。

その際に興味を持った点について、追加で検証した内容や調査した点を整理しました。

前提構成

ADDSをAzure上で構築しConnect同期を行います。
カスタムドメインは取得済みで、ユーザプリンシパル名を変更すればカスタムドメイン利用が可能な状態です。
しかし、Entra ID上のユーザは既に作成されているものがあるためカスタムドメインを使用しているかどうかはバラバラです。
DNS設定は正しく構成されている前提とします。

ADDS名とMicrosoft Entra テナント名を合わせる

テナント名を合わせる手順として以下の方法が紹介されています。

  • ADDSと同じテナント名でカスタムドメインを使用
  • 「.onmicrosoft.com」に合わせてADDSを構築
  • 代替UPNサフィックス
  • 代替ユーザーID

元記事を参考に、環境に応じた方法でテナント名を合わせる必要があります。
上記が完了すればあとは元記事に従って同期させれば完成です。

【パターン別】同期した際の挙動

以下のように用意していたとします。

  • ADDS:aaa.local
  • カスタムドメイン:bbb.com
  • Entra テナント:ccc.onmicrosoft.com

同期させた環境下でパターン別にどういう挙動となるかをまとめます。

パターン1

  • ADDSユーザ:A@aaa.local 
  • Entraユーザ:A@bbb.comA@ccc.onmicrosoft.comからカスタムドメイン@bbb.comへ変更

上記の場合、Entra Connectが同じ「Aさん」と認識しません。
よって、Entra ID上でA@aaa.localとは別にA@ccc.onmicrosoft.comを作成します。

パターン2

  • ADDSユーザ:B@bbb.com ※B@aaa.localが代替UPNサフィックスで@bbb.comを指定
  • Entraユーザ:B@bbb.com ※Entra テナント上でカスタムドメイン@bbb.comへ変更

上記の場合、Entra Connectが同じ「Bさん」と認識可能です。
よって、Entra ID上でBさんのアカウントはB@bbb.comのみとなります。

パターン3

  • ADDSユーザ:C@bbb.com ※C@aaa.localが代替UPNサフィックスで@bbb.comを指定
  • Entraユーザ:C@ccc.onmicrosoft.com ※ユーザプリンシパル名でカスタムドメインを指定しない

上記の場合、Entra Connectが同じ「Cさん」と認識しません。
よって、Entra ID上でC@ccc.onmicrosoft.com(オンプレミス:いいえ)とは別に
C@ccc.onmicrosoft.com(オンプレミス:はい)を作成します。

パターン4

  • ADDSユーザ:D@aaa.local
  • Entraユーザ:D@ccc.onmicrosoft.com ※ユーザプリンシパル名でカスタムドメインを指定しない

上記の場合、Entra Connectが同じ「Dさん」と認識しません。
よって、Entra ID上でD@aaa.localとは別にD@ccc.onmicrosoft.comを作成します。

ちなみに、AVDでEntra Connectを使用する場合
ADDSユーザのみがAVDに接続でき、Entra側にしかいないユーザは接続できません。

UPN以外をマッチさせる

こちらに記載されているようにUPN以外にもマッチさせる方法があります。

  • UPN
  • proxyAddresses
  • mail属性

これらの属性を用いた一致判定は『ソフトマッチ』と呼ばれます。

ハードマッチ

こちらで紹介されている方法です。

オンプレミスのADDS 側でエンコードされた『ObjectGUID』を確認し、Microsoft Entra ID 側の『Immutable ID』に設定します。
「ObjectGUID」と「Immutable ID」が一致すれば同期可能です。

Microsoft Entra Connectの通信を許可する

ファイアウォールやプロキシなどで通信制御を行っている場合、以下の通信先を許可する必要があります。

  • mscrl.microsoft.com
  • *.verisign.com
  • *.entrust.net
  • *.management.core.windows.net
  • *.graph.windows.net
  • secure.aadcdn.microsoftonline-p.com
  • *.microsoftonline.com
  • *.crl3.digicert.com
  • *.crl4.digicert.com
  • *.digicert.cn
  • *.ocsp.digicert.com
  • *.www.d-trust.net
  • *.root-c3-ca2-2009.ocsp.d-trust.net
  • *.crl.microsoft.com
  • *.oneocsp.microsoft.com
  • *.ocsp.msocsp.com

上記は Microsoft Entra ID への接続に最低限必要な URLです。
Microsoft Entra Connect Health や パスワード ライトバックは含まれていません。

オンプレミスのパスワードをAzureで保管させない

デフォルトではAzure側でオンプレミスのパスワードをハッシュ値で保持します。
セキュリティポリシーなどでこれが許可されていない場合は「パススルー認証」を設定します。
これによりMicrosoft Entra IDにログインすると、直接ADDSへパスワード検証を行います。(クラウド側にパスワードを保持しない)

こちらの記事が参考になります。

参考文献

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?