ローカル Active Directory ユーザーとデバイスを Microsoft Entra ID と同期する方法 (ハイブリッド参加)

📅
🕑 1 分で読む

これは確かに少し長いプロセスですが、オンプレミスの Active Directory と Microsoft 365 Entra ID のハイブリッド参加を設定しようとしている場合は、すべての手順を知っておく価値があります。Windows と Azure は必要以上に複雑にすることがあるため、すべての要素を正しく調整しようとすると、特に初めて行う場合や、いくつかの奇妙な問題に対処する場合は、少しイライラすることがあります。ここでの主な目標は、ローカルユーザーとデバイスをクラウドで適切に管理および認識し、サインインをスムーズにしてセキュリティを強化できるようにすることです。すべての設定が完了すると、ユーザーは同じ資格情報でログインできるようになり、デバイスは Intune に自動的にオンボードされるため、ハイブリッド設定全体の管理が簡素化されます。

Entra Connect を使用してオンプレミスの Active Directory を Microsoft Entra ID にハイブリッド参加させる方法

前提条件

始める前に、準備しておく必要があるものは次のとおりです。

  • Microsoft 365 テナント内の検証済みドメイン。カスタム ドメインの所有権を取得できます。
  • Azure AD Connect (別名 Entra Connect)を実行するために、AD に参加している Windows Server 2016 以降。
  • Microsoft 365 のグローバル管理者。これらすべてを接続するには適切な権限が必要です。
  • 必要な変更を行えるように、AD 内のドメイン管理者アカウント。
  • Microsoft 365 サービスとの通信には、ネットワークポート 80 と 443 が開いている必要があります。当然ながら、Windows は必要以上に通信を困難にするためです。
  • Windows 10 または 11 を実行しているデバイス — 古いバージョンではおそらく対応できないためです。

ステップ1: Microsoft 365でカスタムドメインを確認する

Microsoft 365 ドメインページに移動し、ドメインが追加され、検証済みであることを再度確認してください。まだonmicrosoft.com既存のドメインをお使いの場合は、諦めてください。この設定を正しく行うには、カスタムドメインが必要になります。

「ドメインを追加」をクリックし、ウィザードに従って、ドメインレジストラでDNSレコードが正しく設定されていることを確認してください。通常はTXTレコードで検証を行います。なぜそうなるのかは分かりませんが、設定によっては検証が反映されるまでに少し時間がかかる場合があります。

ステップ2: 外部ドメインをUPNサフィックスとしてActive Directoryに追加する

ほとんどのローカル AD ユーザーは としてログインしますjohn.smith@localdomain. LOCAL。検証済みの外部ドメインでサインインできるようにするには、それを UPN サフィックスとして追加する必要があります。

サーバーマネージャーを開き、「ツール」「Active Directoryドメインと信頼関係」を選択します。 「Active Directoryドメインと信頼関係」を右クリックし、「プロパティ」を選択します。ドメイン(例:yourdomain.com)を入力し、「追加」「適用」→「OK」をクリックします。

一部のマシンでは、最初は失敗しますが、再起動やリフレッシュを行うとうまくいくことがあります。奇妙ですが、Windowsらしいですね。

ステップ3: 各ユーザーのUPNサフィックスとプロキシアドレスを更新する

次に、[Active Directory ユーザーとコンピューター]を開いてユーザーを見つけ、各ユーザーに対して次の操作を実行します。

  • ダブルクリックしてプロパティを開きます。
  • 「アカウント」タブに切り替えます。
  • 新しいドメインを使用するようにユーザー ログオン名を変更します(例: [email protected])。
  • 「属性エディタ」タブに移動します( 「表示」メニューから「高度な機能」を有効にする必要がある場合があります)。「proxyAddresses」を見つけてダブルクリックします。
  • 新しいエントリを追加します:SMTP:[email protected]。プライマリSMTPアドレスが大文字のSMTPでマークされていることを確認してください。
  • [OK][適用]をクリックします。

ユーザーが既にMicrosoft 365に異なるUPNを持つアカウントを持っている場合は、同期の問題を防ぐためにメールアドレスを一致させるようにしてください。ある設定ではうまくいきましたが、別の設定ではうまくいきませんでした。場合によっては、再同期またはサーバーの再起動だけで解決することもあります。

ステップ 4: 特定の組織単位 (OU) を作成する (オプションですが推奨)

ハイブリッド参加させたいユーザーやデバイス専用のOUを作成することをお勧めします。こうすることで、ディレクトリ全体を混乱させることなく、事前にテストを行うことができます。OUを作成し、対象のユーザーやデバイスをそこに移動し、そのOUのみを同期するだけです。何か問題が発生した場合、ディレクトリ全体が混乱するのを防ぎ、トラブルシューティングに役立ちます。

ステップ5: グループポリシーによる自動MDM登録を有効にする

Intune にデバイスを自動的に登録するには、グループポリシーを設定します。グループポリシー管理を開き、新しい GPO を作成し、ドメインまたは OU にリンクして編集します。

  • [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [MDM]に移動します。
  • 既定の Azure AD 資格情報を使用して自動 MDM 登録を有効にする を見つけて有効にします。
  • 有効に設定し、ユーザー資格情報を選択します。

クライアントマシンで実行するgpupdate /forceか、ポリシーが更新されるまでお待ちください。一部のネットワークでは、この手順がエラーメッセージを表示せずに失敗する場合があります。その場合は、再起動してデバイスがIntuneに表示されるかどうかを確認してください。

ステップ6: Intuneで自動登録をオンにする

Intune管理センターにアクセスします。デバイス> Windows >登録>自動登録で、MDMユーザースコープを「すべて」に設定します(必要に応じて特定のユーザーを選択します)。「保存」をクリックします。

注意: 「デバイス管理を有効にできませんでした」などのエラーが発生した場合は、同じセクションで WIP (Windows 情報保護) を無効にしてから再登録してみてください。

ステップ7: Microsoft 365管理センターで同期を開始する

次に、Microsoft 365 管理センターにアクセスします。「セットアップ」で、 「ユーザーを Microsoft Entra ID に同期」オプションを見つけます。「開始する」をクリックします。

継続的な更新が必要な場合は「継続同期」を、手動で同期したい場合は「1回限りの同期」を選択してください。重複アカウントや不適切なフォーマットといっ​​た一般的なエラーを検出するのに役立つIdFixツールをダウンロードしてください。場合によっては、同期前にIdFixを実行してADをクリーンアップすることで、多くの手間を省くことができます。

ステップ8: IdFixを実行してADエラーをクリーンアップする

IdFix を今すぐ実行してください。ドメインに問題がないかクエリが実行されます。表示される推奨事項に従って、重複、属性の欠落、フォーマットの問題を修正してください。もちろん、Windows と Active Directory は、そのままでは完璧に動作するとは限りません。クリーンアップが完了したら、次のステップに進んでください。

ステップ9: Azure AD Connectをダウンロードしてインストールする

同期設定ページで、Azure AD Connectインストーラーをクリックしてダウンロードします。インストーラーを実行し、ライセンスに同意します。オプションを細かく設定したい場合は「カスタマイズ」を選択し、デフォルト設定のままにします。画面の指示に従って、同期専用のアカウント(マネージドサービスアカウントが望ましい)を指定し、同期オプションを選択し、プロンプトが表示されたら AD と Entra ID の両方に接続します。

ステップ10: 同期設定を構成して検証する

インストール後、Azure AD Connect を実行し、ライセンスに同意し、同期機能(パスワードハッシュ、パススルー、フェデレーション)を選択して、グローバル管理者アカウントでサインインします。同期する組織単位(OU)を選択します(理想的には、最初にテスト用の組織単位のみを選択してください)。ウィザードを完了すると、同期が開始されます。Azure AD Connect 正常性ダッシュボードで同期の状態とエラーを確認してください。

ステップ11: 同期とハイブリッド参加の成功を確認する

Microsoft Entra管理センターで、「ユーザー」 > 「すべてのユーザー」に移動し、同期済みのユーザーを探します。また、「デバイス」 > 「すべてのデバイス」を確認し、WindowsワークステーションがMicrosoft Entraハイブリッド参加ステータスで表示されているかどうかを確認します。デバイスにこのステータスが表示されていれば、問題ありません。

Windowsマシンでハイブリッド参加が正しく行われていることを確認するには、管理者特権のコマンドプロンプトを開き、 を実行しますdsregcmd /status。「AzureAdJoined :YES」と「DomainJoined:YES」が「AzureAdPrt」とともに表示されれば、すべてが正しく構成されています。理由は分かりませんが、このコマンドは素早い確認には意外と信頼できるようです。

追加のヘルプとトラブルシューティング

情報が一致しない場合、またはデバイスがハイブリッド参加済みとして表示されない場合は、ハイブリッド参加に関するドキュメントを確認してください。再起動で改善する場合もありますが、同期を再度実行したり、DNS設定を修正したりする必要があるかもしれません。重要なのは、忍耐強く、すべての手順を二重に確認することです。

これでほぼ完了です。これでローカルのActive DirectoryがEntra IDと統合され、両方の環境でデバイスとユーザーの管理がよりスムーズになります。もちろん、Windows側では必要以上に難しくなっていますが、それでも十分可能です。

まとめ

  • Microsoft 365 でドメインを確認する
  • ADのUPNサフィックスとして外部ドメインを追加する
  • ユーザーの UPN と proxyAddresses を更新する
  • テスト用のOUを作成する(必要な場合)
  • 自動MDM登録用のグループポリシーを設定する
  • Intune で自動登録を有効にする
  • 同期プロセスを開始し、IdFixでエラーを修正します
  • Azure AD Connect をインストールして構成する
  • Entra IDでユーザーとデバイスを確認する

まとめ

決して簡単な作業ではありませんが、一度設定が完了すれば、オンプレミスとクラウド間のID管理がはるかに簡単になります。重要なのは、ドメイン設定、UPN、同期ログを念入りに確認することです。何かが同期されなかったり、正しく表示されない場合は、通常、どこかで詳細を見落としている可能性があります。この記事がお役に立てば幸いです。ハイブリッド環境の成功をお祈りしています。