Entra クラウド同期とは

はじめに

クラウドインテグレーション部の峰松です。

「Entra クラウド同期」をご存じでしょうか。

Active Directory（AD）から Microsoft Entra ID へのプロビジョニングに際して、
従来の Entra Connect に代わる新たな方法として提供されています。

Entra Connect では、AD サーバとは別の専用サーバ上に Entra Connect サービスをインストール・実行し、そのサーバ上で同期構成や実行状態を管理します。
（Entra Connect を AD サーバ上で実行することも可能ですが、非推奨構成となっています。）

一方クラウド同期では、AD サーバへ直接エージェントをインストールすることがサポートされているため、専用サーバを用意する必要がありません。
また、同期構成や実行状態はすべてクラウド上で管理することができます。

Entra Connect とクラウド同期の違いについては以下にまとめられています。

参考: Microsoft Entra Connect とクラウド同期の比較

デバイス同期やパススルー認証はサポートされていませんが、
AD サーバへのエージェントインストールがサポートされていることや、高可用性のためのマルチアクティブ構成が取れることは利点ですね。

本記事では、クラウド同期の基本的な構成手順について記載します。

クラウド同期の構成

早速設定していきましょう。
以下は事前に実施済みです。

• AD の構築
• OU「cloudsync」とアカウントの作成
• Entra テナントにカスタムドメインを作成

エージェントのインストール

AD サーバにエージェントをインストールします。

参考: Microsoft Entra プロビジョニング エージェントをインストールする

Entra 管理センターへログインし、[ID] > [ハイブリッド管理] > [Microsoft Entra Connect] > [クラウド同期] へ遷移します。
[エージェント] タブにて [オンプレミスのエージェントをダウンロードします] をクリックしてダウンロードを実行します。

ダウンロードされたインストーラを実行し、エージェントのインストールを進めます。 チェックを入れ、[Install] をクリックします。

[Next] をクリックします。

[HR-driven provisioning (Workday and SuccessFactors) / Microsoft Entra Connect Cloud Sync] を選択します。

認証画面が表示されますので、ハイブリッド ID 管理者以上の権限を持つアカウントで認証します。
（認証画面が自動的に表示されない場合は、[Authenticate] をクリックします。）

グループ管理サービスアカウント（gMSA）を作成します。
[Create gMSA]（新規作成）が推奨されているため、こちらを選択します。
gMSA はエージェントサービスの実行に使用され、作成にはドメイン管理者の情報が必要です。

接続する AD ドメインを入力します。
ドメインが既に [CONFIGURED DOMAINS] の下に表示されている場合、そのまま次に進みます。

構成内容を確認し、問題なければ [Confirm] をクリックします。

「Your agent installation and configuration is complete.」が表示されればエージェントのインストールは完了です。

エージェントのインストール確認

Entra 管理センターにて、エージェントをダウンロードした画面を更新します。エージェントがインストールされたコンピュータが表示されていることを確認します。

AD サーバにて「サービス」を起動し、以下サービスが実行されていることを確認します。 （旧名称（Azure AD）になっていますが、いずれ変わるかもしれませんね。）

• Microsoft Azure AD Connect Agent Updater
• Microsoft Azure AD Connect Provisioning Agent

また、AD サーバにて「Active Directory ユーザーとコンピューター」を開きます。
OU「Managed Service Accounts」とサービスアカウント「provAgentgMSA」が作成されていることを確認します。

プロビジョニングの構成

参考: Active Directory を Microsoft Entra ID にプロビジョニングする - 構成

Entra 管理センターへログインし、[ID] > [ハイブリッド管理] > [Microsoft Entra Connect] > [クラウド同期] へ遷移します。

[構成] タブにて [新しい構成] > [AD から Microsoft Entra ID への同期] をクリックします。

作成したエージェントを選択し、パスワードハッシュ同期（有効/無効）を選択して [作成] をクリックします。

作成完了後に画面が遷移します。続けて同期構成を設定していきます。

[スコープフィルター] タブにて同期対象を選択します。
今回は OU「cloudsync」を同期対象とするため、[選択した組織単位] を選択します。
OU「cloudsync」の識別名（distinguishedName）をオブジェクトの識別名欄に入力して [追加] をクリックします。
追加した識別名が入力欄の下に表示されていることを確認し、上部にある [保存] をクリックして同期対象設定を保存します。

[概要] に戻って [確認して有効にする] をクリックします。構成の詳細を確認して [構成を有効にする] をクリックします。

「構成が正常に更新されました」と表示されれば、クラウド同期の構成は完了です。 同期対象とした OU「cloudsync」に所属するアカウントの同期が完了するまでしばらく待ちます。（2 分間隔で同期が実行されます。）

Entra 管理センターにて、[ID] > [ユーザ] > [すべてのユーザ] でアカウントが作成されていることを確認できます。
「オンプレミスの同期が有効」フラグが "はい" になっていることから、AD アカウントから同期された Entra ID アカウントであることを確認できます。

なお、同期サービスに使用されるサービスアカウントも作成されています。

補足

入れ子の OU、セキュリティグループについて

OU を同期対象とした場合、入れ子になった OU 内のアカウントも同期されます。
検証のために OU「cloudsync」内に入れ子 OU「nesting」を作成しアカウントを所属させてみましょう。

同期が実行されると、入れ子 OU に所属するアカウントも含めて Entra ID アカウントが作成されます。

しかし、セキュリティグループを同期対象にした場合、入れ子になったセキュリティグループに所属するアカウントは同期されません。
こちらも検証のために、セキュリティグループ「cloudsync_group」と入れ子セキュリティグループ「nesting_group」を作成しアカウントを所属させてみましょう。

Entra 管理センターの [スコープフィルター] タブにて、[選択したセキュリティグループ] を選択します。
セキュリティグループ「cloudsync_group」の識別名（distinguishedName）をオブジェクトの識別名欄に入力して [追加] をクリックします。
追加した識別名が入力欄の下に表示されていることを確認し、上部にある [保存] をクリックして同期対象設定を保存します。

なお、表示されている以下 3 つスコープのうち 1 つしか選択できない仕様となっている点にご注意ください。

• すべてのユーザー
• 選択したセキュリティグループ
• 選択した組織単位

同期が実行されると、Entra ID には「cloudsync_group」に所属するアカウントしか作成されません。

オンデマンドプロビジョニング

クラウド同期には手動で同期を実行する「オンデマンドプロビジョニング」機能があります。
新規作成した AD アカウントを即座に Entra ID へ同期したい場合や、変更した同期構成の動作を確認したい場合に使用します。

参考: オンデマンド プロビジョニング - Active Directory から Microsoft Entra ID へ

入れ子のセキュリティグループ構成の状態で、同期対象アカウントに対してオンデマンドプロビジョニングを実行します。

Entra 管理センターにて [オンデマンドでプロビジョニング] タブをクリックし、
「ユーザーを入力」の欄に同期対象アカウントの識別名（distinguishedName）を入力し、[プロビジョニング] をクリックします。
今回は、同期対象である「クラウド同期 001」に対して実行します。

プロビジョニングの結果が表示されます。

以下の各セクションでアカウントが評価され、同期対象であればプロビジョニングが行われます。 各セクションの [詳細を表示] をクリックして内容を確認できます。

1. インポート
   AD からアカウント情報をインポートした結果が表示されます。

2. フィルタリング
   スコープフィルターに従い、アカウントがスコープ内にあることを確認します。
   スコープ外である場合、「Scoping filter evaluation passed」が「False」となります。

3. マッチング
   既存 Entra ID とのマッチングが行われ、作成、更新、削除が定義されます。

4. アクション
   マッチングの結果に従ったアクションが実行されます。 アカウントが同期対象である場合、Entra ID アカウントの属性値が表示されます。
   なお、同期対象ではない「クラウド同期 004」に対して実行した場合、アクションにてプロビジョニングがスキップされます。

まとめ

本記事ではクラウド同期の基本的な構成手順についてご紹介しました。
専用サーバを持たずに Entra ID へのプロビジョニングを実行でき、Entra Connect よりも操作や管理が簡単だなという印象です。
ただ、クラウド同期では対応していない機能には注意ですね。

クラウド同期におけるエージェントの高可用性や属性値マッピング、アカウントマッチングについても今後執筆する予定です。
次回の記事をお待ちください。

参考

• Microsoft Entra Connect とクラウド同期の比較
• Microsoft Entra プロビジョニング エージェントをインストールする
• Active Directory を Microsoft Entra ID にプロビジョニングする - 構成
• オンデマンド プロビジョニング - Active Directory から Microsoft Entra ID へ