Azure AD Connect へのアップグレードについて

  • Article

みなさま、こんにちは。

古いバージョンのディレクトリ同期ツール(DirSync , Azure AD Sync)は、2017 年 4 月 13 日をもってサポート終了となります。

現在は、最新版の Azure AD Connect の使用を推奨しておりますので、余裕をもってアップグレード作業の計画を立ててくださいますようお願い申し上げます。

 

今回は、Azure AD Connect へアップグレードする際に参考となる情報をご紹介いたします。

はじめに確認していただきたい公開情報は下記の通りです。

 

オンプレミス ID と Azure Active Directory の統合

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect/

>Azure AD Connect 概要のご紹介です。

 

Azure AD Connect のトポロジ

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-topologies/

>既に構成済と存じますが、トポロジ構成についてご紹介です。

 

Azure AD Connect の前提条件

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-prerequisites/

>Azure AD Connect を使用するための前提条件です。

 

ハイブリッド ID ディレクトリ統合ツールの比較

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-hybrid-identity-design-considerations-tools-comparison/

>新旧ディレクトリ同期ツールの機能比較表です。

 

Azure AD Connect: Windows Azure Active Directory 同期 (DirSync) のアップグレード

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-dirsync-upgrade-get-started/

>アップグレード手順の詳細です。

 

Azure AD Connect のカスタム インストール

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-get-started-custom/

>インストール画面のご紹介です。

 

Azure AD Connect sync: アーキテクチャの概要

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnectsync-understanding-architecture/

>ディレクトリ同期がどのように行われるか説明しています。

 

上記公開情報の補足として、Azure AD Connect への移行、 移行後の操作についてよくご質問をいただく項目についてまとめました。ご理解の一助となれば幸いです。

- 目次

  1. Azure AD Connect へのアップグレード方法について
  2. アップグレード手順の補足
  3. 設定の引き継ぎについて
  4. 並列デプロイ時のステージング モードについて
  5. Azure AD Connect の管理について

 

-------------------------------------------------------------

1. Azure AD Connect へのアップグレード方法について

-------------------------------------------------------------

Azure AD Connect へのアップグレード方法には、下記の 2 通りがあります。

同期対象オブジェクトの数によって推奨される方法が異なりますので、お使いの環境に合わせて選択する必要がございます。

  • インプレース アップグレード:同期対象オブジェクトの数が 50,000 を超えない場合に推奨します。
  • 並列デプロイ:同期対象オブジェクトの数が 50,000 を超える場合に推奨します。

 

これは、オブジェクトの数が多い場合には、同期に時間を要することが主な理由です。

インプレース アップグレードを実施したタイミングでは、すでに同期済みのオブジェクトについても改めて同期処理が行われます。

50,000 件のオブジェクトをディレクトリ同期するには、約 3 時間かかるという想定値があり、

それだけの時間、同期がされない状況が続くのは一般に望ましくないということが並列デプロイを推奨している理由です。

 

ご利用の環境にて同期対象オブジェクトの数を確認する方法は、下記の通りです。

 

- 手順

  1. ディレクトリ同期ツールサーバーに管理者権限でログインします。
  2. %programfiles%\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell より miisclient.exe を実行します。
    ※旧バージョンの場合は %programfiles%\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell になります。
  3. アプリケーション画面上部の [Metaverse Search] をクリックします。
  4. 検索条件を指定しないで [Search] をクリックします。
  5. 「Retrieved XXX of XXX matching records」の表示を確認します。
    ※ XXX が同期対象オブジェクトの数です。

 

-------------------------------------------------------------

2.  アップグレード手順の補足

-------------------------------------------------------------

インプレース アップグレードは、旧ディレクトリ同期ツールを使用している環境に Azure AD Connect を上書きインストールする方法です。

インプレース アップグレードでは、基本的にそのまま設定情報は引き継がれ、改めて同期処理が行われます。

 

並列デプロイは、既存環境とは別のサーバーを用意する方法となり、大まかな作業の流れは下記の通りです。

 

  1. 旧ディレクトリ同期ツールの設定をエクスポート
  2. Azure AD Connect をインストール
    1. 旧ディレクトリ同期ツールの設定をインポート
    2. ステージング モードに設定
  3. Azure AD Connectへオンプレミス AD や Azure AD のデータをインポート
  4. 旧ディレクトリ同期ツールの設定を正しく引き継いで、 Azure AD Connect がデータの突合処理を実施できているかどうかを確認
  5. 設定に問題がないことを確認し、DirSync を停止
  6. Azure AD Connect のステージング モードを解除
  7. ディレクトリ同期処理を Azure AD Connectへ移行完了

 

-------------------------------------------------------------

3. 設定の引き継ぎについて

-------------------------------------------------------------

インプレース アップグレード、 並列デプロイを問わず、旧ディレクトリ同期ツールから Azure AD Connect へ引き継がれる設定と引き継がれない設定がございます。

 

Azure AD Connect: Windows Azure Active Directory 同期 (DirSync) のアップグレード

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-dirsync-upgrade-get-started/

--- 抜粋ここから ---

DirSync では次の構成の変更が サポートされており、アップグレードされます。

  • ドメインと OU のフィルター処理
  • 別の ID (UPN)
  • パスワード同期と Exchange ハイブリッドの設定
  • フォレスト/ドメインと Azure AD の設定
  • ユーザー属性に基づくフィルター処理

 

次の変更をアップグレードすることはできません。この変更を加えた場合は、アップグレードがブロックされます。

  • サポートされていない DirSync の変更 (削除された属性やカスタム拡張 DLL の使用など)

--- 抜粋ここまで ---

 

ディレクトリ同期を行うための基本的な構成情報やフィルタリング設定は引き継がれますが、

同期対象の属性値を編集したり、拡張 DLL をお使いのような場合、その設定は引き継がれません。

 

標準で同期される属性値をカスタマイズして、非同期にされている場合、移行されないことがございますので、

もし、そのような特別な設定をされている場合には、一度標準設定に戻していただき、移行後に再設定してくださいますようお願いいたします。

標準で同期される属性値は下記のサイトにてご案内しておりますので、移行前にあらかじめご確認ください。

 

Azure AD Connect Sync: Azure Active Directory に同期される属性

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnectsync-attributes-synchronized/

 

サポートされる構成情報が正しく引き継がれたことを確認するには、下記サイトの [Azure AD Connect の同期を開始する準備が完了していることを確認する] をご確認ください。

構成情報に問題がなければ、メタバースへのインポートや同期が成功します。

 

-------------------------------------------------------------

4. 並列デプロイ時のステージング モードについて

-------------------------------------------------------------

並列デプロイを実施するときには、「ステージング モード」の Azure AD Connect を用意 します。

ステージング モードとは、データ インポート、同期までを処理しますが、Azure AD に対してエクスポートは行わない設定です。

移行作業時や、Azure AD Connect の可用性を高めるために 2 台目以降のサーバーを構築する際に使用します。

Azure AD Connect をステージング モードとするには、通常のインストールと方法が異なりますので、

詳細につきましては下記の公開情報をご確認ください。

 

Azure AD Connect: Windows Azure Active Directory 同期 (DirSync) のアップグレード

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnect-dirsync-upgrade-get-started/

>並列デプロイ -  別のサーバーに Azure AD Connect をインストールする の項目を参照ください。

 

Azure AD Connect Sync: 操作タスクおよび考慮事項

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnectsync-operations/

 

-------------------------------------------------------------

5. Azure AD Connect の管理について

-------------------------------------------------------------

Azure AD Connect では、様々な設定を PowerShell にて行うことができるようになりました。

特にサポートチームにて多く質問いただく項目をご紹介いたします。

 

▼同期間隔を設定する方法

旧ディレクトリ同期ツールでは、規定の同期間隔が 3 時間でしたが、Azure AD Connect(Version:1.1.130.0 以降)では 30 分となっております。

この同期間隔は下記の PowerShell コマンドを実行することで変更することが可能です。

 

Set-ADSyncScheduler -CustomizedSyncCycleInterval <任意の時間>

 

例(60 分に設定する場合):

Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:60:00

 

※同期間隔の時間を変更する際に、既定値の 30 分より小さい時間 (20 分など) を指定した場合、既定値の 30 分が使用されます。

このため、30 分以上の時間を指定する必要がある場合のみ、上記のコマンドレットにて変更することをご検討ください。

 

- 参考情報

Azure AD Connect 同期: スケジューラ

URL:https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-aadconnectsync-feature-scheduler/

--- 抜粋ここから ---

CustomizedSyncCycleInterval.

既定の 30 分以外の頻度でスケジューラを実行する場合は、この設定を構成します。上の図では、スケジューラは 1 時間ごとに実行されるように設定されています。これを AllowedSyncInterval より低い値に設定すると、その値が使用されます。

--- 抜粋ここまで ---

 

▼手動同期する方法

Azure AD Connect では、PowerShell コマンドを使用して手動でのディレクトリ同期を実行することができます。

 

// 完全同期

Start-ADSyncSyncCycle -PolicyType Initial

// 差分同期

Start-ADSyncSyncCycle -PolicyType Delta

 

- 参考情報

How To Run Manual DirSync / Azure Active Directory Sync Updates

URL:https://blogs.technet.com/b/rmilne/archive/2014/10/01/how-to-run-manual-dirsync-_2f00_-azure-active-directory-sync-updates.aspx

 

▼定期同期を停止・開始する方法

Azure AD Connect では、PowerShell コマンドを使用してディレクトリ同期の自動実行を有効・無効に設定することができます。

 

// 無効化

Set-ADSyncScheduler -SyncCycleEnabled $False

// 有効化

Set-ADSyncScheduler -SyncCycleEnabled $True

 

現在の設定は、Get-ADSyncScheduler コマンドにて確認します。

 

Get-ADSyncScheduler

---

AllowedSyncCycleInterval            : 00:30:00

CurrentlyEffectiveSyncCycleInterval : 00:30:00

CustomizedSyncCycleInterval         :

NextSyncCyclePolicyType             : Delta

NextSyncCycleStartTimeInUTC         : 2016/04/18 11:46:24

PurgeRunHistoryInterval             : 7.00:00:00

SyncCycleEnabled                    : False <<<自動同期が「無効」に設定されています。

MaintenanceEnabled                  : True

StagingModeEnabled                  : False

---

 

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。