Azure AD Connect : ディレクトリ同期の応用 – オブジェクト間の属性値の移動

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) ツールを利用している環境で “オンプレミス AD ユーザー B にセットしたメール アドレス値が同期先 AAD ユーザーに反映されない” という事象について AADC の動作仕様を元に解説します。今回 AADC の動作についての応用編となりますので、先に基本的な考え方については、以下の Blog もぜひご参照いただけたら嬉しいです。   Azure AD Connect : ディレクトリ同期の基本的なポイント https://blogs.technet.microsoft.com/jpazureid/2018/05/09/synchronization-basic-point/   まず、AADC の基本的な動作を整理します。 AADC は、オンプレミス AD と AAD 間の [中間データベース] の位置づけとなり、オンプレミス AD と AAD のディレクトリに対して、それぞれに対応した Connector と呼ばれるモジュールを作成して対話を行います。 Connector は通信対象ディレクトリとやり取りするデータを、Connector Space (CS) と呼ばれるデータベースに一時的に格納 (ステージング) します。…

0

Azure AD Connect : 2018/11/7 以降 AADC 1.0.8641.0 以前では Password Writeback が利用できない

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) をご利用いただいている皆様に急ぎお伝えしたい情報がございます。   先に結論ですが、表題の通り AADC 1.0.8641.0 とそれ以前のバージョンをご利用の環境において 2018/11/7 以降は  Password Writeback が機能しなくなります。   理由として、AADC 1.0.8641.0 以前のバージョンでは、Password Writeback を実現するために ACS (Access Control Service) を利用していました。 ACS が 2018/11/7 に完全リタイアするのですが、ACS の機能が提供されなくなることで、AADC 1.0.8641.0 以前をご利用の環境で Password Writeback が動作しなくなります。なお、それ以降のバージョンについては特に影響はありませんのでご安心ください。   How-to: Configure password writeback https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-writeback   ACS のリタイアに関しては、昨年から情報を公開しておりましたので準備を進めていただいている方も多いかもしれませんが、今回は ACS 対応のアプリケーションを他に利用しているか否かは関係しません。   How to: Migrate…

0

Office 365 の TLS 1.0/1.1 無効化に伴うAzure AD Connectの対応

こんにちは。 Azure Identity サポートの谷です。 以下のサイトで案内している Office 365 での TLS 1.0 と 1.1 の無効化に伴う、Azure AD Connect での対応についてまとめました。   Office 365 への TLS 1.2 の実装に対する準備 https://support.microsoft.com/ja-jp/help/4057306/preparing-for-tls-1-2-in-office-365   Azure AD Connect でも TLS 1.2 による接続を有効にする必要があります。 Azure AD Connect では、Azure AD Connect、OS (および更新プログラムの適用状況)、.Net Framework のバージョンに依存し、それぞれ対応が異なります。 TLS 1.2 を Azure AD Connect の通信で使用するためのサマリは以下の通りです。   各バージョン毎での対応 ======================================== □ OS として TLS…

0

Azure AD Connect アップグレード手順

こんにちは。 Azure Identity サポートの谷です。 Azure AD Connect (AADC) のアップグレード手順をご紹介いたします。 AADC の更新バージョンのリリース頻度は高く、この 3 カ月でも 3 回更新バージョンがリリースされています。 更新には、既知の不具合やセキュリティに関する修正に加えて機能強化も含まれています。 そのため、できるだけ安定して AADC を運用いただくうえで弊社としての推奨は以下となります。 – 最新バージョンの利用 – 最低でも 6 カ月毎に最新バージョンへのアップグレード   Azure AD Connect: バージョンのリリース履歴 https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-version-history   なお、サポートという観点では、リリースされている全てのバージョンの AADC が現在サポート対象となります。 特定のバージョンの AADC をサポート終了する場合にはアップグレードを実施いただくために十分な期間を設け、ご案内いたしますので、ご安心ください。 (トラブルシューティングなどの中で古いバージョンをご利用されている場合に切り分けのためのバージョンアップをお願いする、より詳細な調査をするためにも、まずアップグレードをお願いするという可能性があることについては予めご承知おきください)   ■ アップグレードの流れ AADC 1 台構成の場合 —————————————- A. バージョンアップ前にサーバーの健全性確認 B. 設定情報 / ルールのバックアップ C. アップグレード  …

0

Azure AD Connect サーバーの CPU 使用率が頻繁に 100% になる問題について

こんにちは、Azure ID チームの松枝です。 本記事では、Azure AD Connect サーバーの CPU 使用率が頻繁に 100% になる問題について、次のとおりご案内いたします。 先日より同様の事象について、多くのお問い合わせをいただいております (ご迷惑をお掛けしまして申し訳ありません)。先日修正を含む Azure AD Connect のバージョンがリリースされましたので、もし本問題事象が発生しましたら、下記の対処方法を実施ください。 本事象の概要: ”バージョン 1.1.819.0 以前” の Azure AD Connect の不具合が原因で、 .NET Framework に関するセキュリティ更新プログラムの適用が行われた後、 Azure AD Connect サーバーの CPU 使用率 が常に 100% に近い高負荷状態になります。 事象発生が報告されている更新プログラム: KB4338420 KB4338606 KB4054542 KB4054566 KB4054590 KB4338814 KB4338419 KB4338605 KB4345418 参考情報: High CPU issue in Azure Active…

0

Azure AD Connect サーバー : ウィルス対策ソフト除外項目 / 使用する通信ポート

こんにちは!Azure Identity サポートの谷です。 Azure AD Connect サーバーを新規構築に構築する場合や既存環境のセキュリティ面での見直しなどの背景により、 サードパーティ製のウィルス対策ソフトやファイアウォールでの通信制限についてのお問い合わせを多くいただいています。 公開情報等の情報を踏まえ、これらの情報を一目できるようにお纏めしました。 構築時や運用時の参考にしていただければ幸いです。   ======================================== ウィルス対策ソフトでのスキャン除外項目 ======================================== 基本的には SQL Server 2012 Express LocalDB としての除外をご考慮いただければと存じますので、以下の技術情報をまずは参考としてご参照いただければと存じます。 Title: SQL Server を実行しているコンピューター上で実行するウイルス対策ソフトウェアを選択する方法 URL:https://support.microsoft.com/ja-jp/help/309422/how-to-choose-antivirus-software-to-run-on-computers-that-are-running 上記技術情報を踏まえ、AADC 製品を添付の SQL Server 2012 Express LocalDB をご利用いただいた状態で、既定でセットアップされた際の除外対象は以下となります。 ・SQL Server データ ファイル格納先 C:\Program Files\Microsoft Azure AD Sync\Data ※ 一時的に利用される場合があるため、[C:\Program Files\Microsoft Azure AD Sync\MaData] も併せて除外していただければと存じます。 ・ウイルス スキャンから除外するプロセス C:\Program Files\Microsoft SQL…

0

Azure AD Connect : ディレクトリ同期の基本的なポイント

こんにちは。Azure Identity チームの金森です。 今回は Azure AD Connect (AADC) ツールによるオブジェクト同期の考え方を改めて紹介したいと思います。   AADC の技術情報は以下の技術情報をはじめとして豊富に公開されています。 オンプレミスのディレクトリと Azure Active Directory の統合   アーキテクチャや実装の仕様、構成の方法など幅広く情報が公開されていますので、ぜひお時間があれば各ページをご一読いただければ幸いです。 しかし、情報量が多いがゆえに逆に勘所となるポイントがつかみづらい、というご意見にこたえる形で、今回は AADC によるオブジェクト同期のポイントをかいつまんで紹介したいと思います。   紹介するポイントは以下の通りです。   1. AADC はオンプレミス  AD 側のオブジェクトが AAD に向けて同期される 2. AADC には重要な基本設定が2つある 3. オンプレミス AD オブジェクトと AAD オブジェクトはどのように紐づくのか   それでは1つずつ見ていきましょう!   1. AADC はオンプレミス  AD 側のオブジェクトが AAD に向けて同期される   AADC ツールを構成する際、接続先のオンプレミス AD と AAD…

0

自動アップグレード機能の問題

皆さん、こんにちは。 Azure AD Connect (AADC) のサポートを担当している福島です。   今回のブログは、AADC で発生する 「本来行われるべき AADC の自動アップグレードが実施されない問題」 に関する投稿です。 “バージョン 1.1.524.0 以降 1.1.750.0 未満” の Azure AD Connect を利用している場合、気づかない間に本問題事象に該当している可能性がありますため一読ください。   概要 : バージョン 1.1.524.0 を一度でもインストールしたことがある環境では、本来行われるように設定している自動アップグレードが行われていない可能性があります。 既定で AADC は自動アップグレードが有効になっています。しかし、バージョン 1.1.524.0 を新規でインストールした、あるいはそれ以前のバージョンを利用しており自動アップグレードを利用して 1.1.524.0 がインストールされた環境では、その後自動アップグレード設定を有効にしていても 1.1.524.0 以降のバージョンにアップグレードが行われていない可能性があります。   問題となるシナリオを整理すると次の通りです。   シナリオ 1. バージョン 1.1.524.0 よりも前の AADC をインストールし、自動アップグレードを有効な状態としていた このケースでは、1.1.524.0 までは自動アップグレードによる更新が行われていました。 しかし、 1.1.524.0 のアップグレード機能に問題が存在していたため、1.1.524.0 以降への自動アップグレードが行われない状態となります。  …

0

“AAD Notification” から送られた DirSync に関するメールについて

Azure Identity サポートの橋本です。   日本時間の 4 月 18 日に、一部の Azure AD Connect のご利用者様  (テナント管理者) 宛に、以下のような、”Action required: your sync solution is no longer supported and you need to upgrade to a newer version ” という件名のメールが AAD Notification <aad-notification-noreply@azureemail.microsoft.com> より配信されました。     本メールは弊社システムにより誤って配信されてしまったメールであることが確認できました。 DirSync や ADSync をご利用の場合はアップグレードいただく必要がございますが、Azure AD Connect をすでにご利用の場合は必要ございません。 そのため、もしこのようなメールを受信されている場合は、大変申し訳ございませんが本メールは無視くださいますようお願いいたします。   ご不明な点等がありましたら、恐れ入りますが弊社サポート サービスまでお問い合わせください。   よろしくお願いします。

0

Azure AD Connect:属性フロー(変換フロー)のためのカスタム同期ルールの作り方

こんにちは、Azure & Identity サポート チームの山口です。 本記事は、米国時間 2016 年 2 月 4 日に公開された Support-Tip: (AADCONNECT) How to create a custom sychronization rule for attribute flow (transformation flow) の抄訳です。Azure AD Connect の同期ルール作成についてのチュートリアルが簡単にまとめられており、日本のサポート チームとして皆様にぜひ内容を共有させていただきたいと思います。     Identity and Access Management Support Team Blog Support-Tip: (AADCONNECT) How to create a custom sychronization rule for attribute flow (transformation flow) サポートの業務のなかで、さまざまなビジネスの規則に沿うためにカスタマイズされた同期ルールを…

0