MENU
  1. ホーム
  2. Microsoft365
  3. Entra ID
  4. Microsoft Entra Connectでアカウント同期とパスワード同期

Microsoft Entra Connectでアカウント同期とパスワード同期

Microsoft365 Entra ID Intune
目次

はじめに

あなたの会社ではMicrosoft365のアカウント管理をどうしているでしょうか?それなりの規模の会社になるとアカウントを管理するシステムを持っていることでしょう。運用管理者の視点からすればどこか一か所メンテナンスしたら全部に反映できるようにしたいというのが一般的です。今回の記事ではMicrosoftが提供するアカウント同期サービスについてご紹介します。

Entra Connect

Microsoft Entra Connectのソフトウェアは無料で提供されています。ただし実行するためのハードウェアは別途必要になります。今更使いたいという会社様も少ないと思いますのでADFSの話は除外して記載していきます。

前提条件

ご利用においては最低限以下の環境準備が必要になります。

  • AuzreテナントまたはOffice365テナント
  • 独自ドメイン(フリーアドレスや契約ドメインは不可)
  • Microsoft Entra Connect を実行するWindowsサーバ

インストーラーの前提

インストーラーには以下のコンポーネントが含まれています。Active Directory のオブジェクト数が10万を超える場合はExpress LocalDBではなく通常のSQLServerをご利用が必要です。別途ライセンスが必要になります。

Azure AD Connect Health
Microsoft SQL Server 2019 Command Line Utilities
Microsoft SQL Server 2019 Express Local DB
Microsoft SQL Server 2019 Native Client
Microsoft Visual C++ 14 再配布パッケージ

ハードウェア要件

同期オブジェクト数が50万を超える場合は、Entra ID PremiumまたはEnterprise Mobiltiy +Securityなどのライセンスが必要です。

AD内のオブジェクト数CPUメモリHDD
10,000未満1.6GHz4GB70GB
10,000~50,0001.6GHz 4GB 70GB
50,000~100,0001.6GHz 16GB100GB
100,000~300,0001.6GHz 32GB300GB
300,000~600,0001.6GHz 32GB 450GB
600,000 を超過1.6GHz 32GB 500GB

ハードウェア要件の詳細はメーカーページをご確認ください。

Microsoft Entra Connectを利用した同期

Azure AD Connectを利用することで、オンプレミスActive Directory 上の以下のオブジェクトを同期することが可能になっています。またユーザの上司属性が同期できるサービスは本サービスが唯一無二の存在となっています。同期可能なオブジェクトは以下の通りです。

・ユーザー
・グループ
・コンピュータ
・連絡先

同期対象オブジェクトにおける同期可能な属性値はMicrosoftのヘルプ記事をご参照ください。またHybrid Azure AD Joinを構成する場合はコンピュータオブジェクトの同期が必須になります。Hybrid Azure AD JoinしたコンピュータをIntuneに自動登録する場合はグループポリシーの設定も必要になります。

[コンピュータの構成]-[ポリシー]-[管理用テンプレート]-[Windowsコンポーネント]-[MDM]の既定のAzure AD資格情報を使用して児童のMDM登録を有効にしますを未構成→有効に変更しておきます。

グループポリシーエディタ

画像のメニューが表示されない場合は、別途Windows10または11のadmxをインポートする必要があります。バージョンがいろいろあるので環境に合うものを入れてください。

Microsoft Entra Connectのインストール

インストール時のオプションとして、パスワード同期方式を選択する機能があります。3rdパーティ製のIdP利用を前提とする場合はパスワードを同期しない選択肢もございます。

  • パスワードハッシュ同期
  • パススルー
  • フェデレーション(本記事ではご紹介対象外)
  • 何もしない(3rdパーティ製のIdPを利用する場合)

パスワードハッシュ同期はEntra ID上にパスワードを同期する方法で、パススルーはパスワードはEntra IDには同期しません。

パスワード同期

2つの大きな差はパスワードが保存される場所です。クラウド上にパスワードを保存して良いかが論点となりますが、パススルー認証はAzure AD Connect に障害が発生するとMicrosoft365にログインできなくなってしまうのでお勧めしていません。

冗長化の必要性

サーバ冗長の必要性は、パスワードをどうするかによって変わりますが、パスワードハッシュ同期では原則冗長化する意味はありません。主な理由は以下の通りです。

  • サービスの仕様上Active-Activeの構成が取れない
  • データの源泉はActive DirectoryでありEntra Connectではない
  • 認証がEntra IDや外部サービスであること前提にユーザやグループを同期しているならこのサービス止まってもすぐに業務が止まらない
  • 最悪作り直ししたとしても30分ぐらいで作り直せる

パススルーを構成する場合は、障害発生時の影響が大きすぎるので少しでも復旧時間が早い冗長構成をとることをお勧めいたします。

まとめ

Microsoft Entra Connect はADの情報を同期するためのツールですが、構成によっては認証を仲介する中継機として機能します。認証中継するのに冗長構成はActive-Activeにできない仕様となっているところに注意が必要です。単一障害ポイントとして放置するには影響が大きすぎるため、クラウド上にADのパスワードを保存したくない場合は、3rdパーティ製品も検討する必要があります。3rdパーティ製品入れるならMicrosoft Entra Connect不要という話もあります。

パスワードハッシュ同期は、ADのパスワードを平文で同期しているわけではなくハッシュ値として同期していますので、一定のセキュリティ担保はされいます。障害時の影響も考慮するとパススルーよりもハッシュ同期がおすすめです。

Microsoft365 Entra ID Intune

関連記事

目次