オンプレADとEntraIDをシンプルに同期させる方法を検証してみました。
最近になって「ああ、これは本当に便利になったな」と思えるのが Entra Connect Cloud Sync の登場です。
以前はオンプレのActive Directory(AD)とMicrosoft 365のAzure AD(今はEntra ID)を同期させるには、「Microsoft Entra Connect (旧Azure AD Connect)」を使うのが一般的でした。でも、これが意外と重い。インストールも構成もそこそこ複雑で、少し古めのサーバーだと動作ももっさり……。
そんな中、Microsoftが新しく出した「Entra Connect Cloud Sync」を試してみたところ、「あれ?これ、めちゃくちゃシンプルじゃない?」と感じました。この記事では、その体験をベースに、オンプレADとEntraIDをどうやってシンプルに同期できるのか、初心者の方にも伝わるように、丁寧にお話していきます。
シンプルに同期するとは?
まず、「オンプレAD」と「EntraID」の関係をざっくり説明すると、
オンプレAD は自社のネットワーク内にあるユーザー情報の管理システム、
EntraID(旧Azure AD) はMicrosoft 365などクラウドサービス用のユーザー管理システム、
という感じです。
これらを「同期」するというのは、たとえば社内のADで作ったユーザーアカウントが、自動的にMicrosoft 365にも反映されるようにすること。つまり、一元管理ができて、手作業がいらなくなるというわけです。
その中でも「Entra Connect Cloud Sync」は、
クラウド中心の軽量な仕組み
サーバーに負担をかけず、最小限の構成で済む
というのがポイント。簡単に言うと「昔よりもずっとラクになった同期方法」です。
シンプルに同期するメリット
実際に試してみて、「これはいいな」と思ったのは以下のような点でした。
- インストールが軽い
「Microsoft Entra Connect (旧Azure AD Connect)」 はSQL Serverのインスタンスなどが必要で重かったのですが、Cloud Syncはエージェントを1つインストールするだけ。あっという間です。 - 設定が簡単
昔はウィザードが長かったり、ドメインのUPNとか気を使ったりしましたが、Cloud Syncはブラウザベースの設定中心で迷わないです。 - 複数ドメインやフォレストでも対応しやすい
中小企業でも、グループ会社のADが複数あるというケースがありますよね。Cloud Syncなら複数のADにも柔軟に対応できるんです。
何より、「このサーバー重いな…」とか「再起動したら同期止まった?」みたいなメンテナンスの不安が激減しました。
シンプルに同期する手順
では、実際にどうやって同期するのか、順を追って説明しますね。
※ 画像上の赤枠は説明のために付与しています。
※ 画像は選択すると拡大表示できます。見づらい場合は拡大してご覧ください。
検証シナリオとして、オンプレADの「TEST」ユーザー(TEST@digitalwith.net)をEntraIDへ同期させます。
オンプレADのドメイン名が「.local」場合、EntraID のカスタム ドメイン名に「.local」を指定することができないため、「Entra Connect Cloud Sync」を使用して EntraID 間で同期設定をすることができません。解決策としてオンプレADに作成した「TEST」ユーザーの「電子メール」属性に、EntraIDのカスタムドメインに追加した「digitalwith.net」を使用し、電子メール(TEST@digitalwith.net)を設定しています。
① 検証環境を作成する
- Windows11ProのHyper-V上に、WindowsServer2025を構築しています。
- 1フォレスト1ドメインとして、ドメインコントローラー(digitalwith.local)を構成しています。
オンプレAD環境構築は、こちらの記事で解説していますので参考にしてみてください。
- Microsoft Entra 管理センターへカスタムドメイン「digitalwith.net」を追加しています。
カスタムドメインを登録する方法は、こちらの記事で解説していますので参考にしてみてください。
② CloudSyncのダウンロード
次に、Microsoft 365の管理者アカウントで Entra 管理センター にアクセスし、CloudSyncをダウンロードします。
ホーム上の「ハイブリッド管理」→「 Microsoft Entra Connect」→「クラウド同期」を選択します。
クラウド同期の画面から「Agents 」→「 オンプレミスのエージェントをダウンロードします」→「使用条件に同意してダウンロードする」ボタンを押しダウンロードします。
③ CloudSyncのインストール
画面に出てくる指示に従って、オンプレのADサーバーに Cloud Sync エージェントをインストールします。
オンプレAD上でダウンロードしたセットアップアイコンを左ボタンで2回操作します。
l agree~にチェックし「install」ボタンを押します。
「NEXT」ボタンを押して次のステップに進みます。
「HR-driven provisioning / Microsoft Entra Cloud Sync」を選択します。
「Authenticate」ボタンを選択します。
Entra IDの認証が発生するため、ハイブリッドID管理者の権限以上をもつアカウントでサインインします。
Create gMSAにチェックし、オンプレADの管理者アカウントとパスワードを入力し「Next」ボタンを押します。
「Create gMSA」を選択し、グループ管理サービス アカウント (gMSA) を作成いたします。
このgMSAは、エージェントサービスの実行に利用されます。
対象となるドメイン名を確認し、「Next」ボタンを押します。
内容を確認し、「Confirm」ボタンを押します。
「Exit」ボタンを押します。
④ 同期グループの設定
ブラウザに戻ると、「どのユーザーやグループを同期するか?」という設定に入ります。
OU(組織単位)単位で選べるので、たとえば「営業部だけ同期」なんてこともOK。
あと、フィルター機能も優秀で、「名前に’admin’が入っているユーザーだけ同期しない」なんて細かい設定もできます。
ホーム上の「ハイブリッド管理」→「 Microsoft Entra Connect」→「クラウド同期」を押します。
画面上の構成から「新しい構成」→「ADからMicrosoft Entra IDへの同期」を押します。
対象となるエージェントを選択し、「パスワードハッシュの同期を有効にする」にチェックされていることを確認し、「作成」ボタンを押します。
画面上の「属性マッピング」からターゲット属性「UserPrincipalName」の「属性マッピングの編集」ボタンを押します。
式の個所を以下のように変更し、「適用」ボタンを押します。
IIF(IsPresent([mail]), [mail], IIF(IsPresent([userPrincipalName]), [userPrincipalName], Error(“AccountName is not present”)))
画面上の「属性マッピング」から「スキーマ保存」を選択します。
スキーマ保存しないと属性マッピングが更新されないので注意が必要です。
概要のところから、「確認して有効にする」を選択し、「構成を有効にする」を選択します。
一覧に新しい構成が追加されオンプレADからEntraIDへの同期が開始されます。
⑤ 同期の確認
設定が終わると、あとは自動で同期が走ります。
Entra側の「同期状態」をチェックすれば、成功・失敗もリアルタイムで確認できるので安心です。
画面上の「ユーザー」→「すべてのユーザー」を選択すると「TEST」ユーザー(TEST@digitalwith.net)が同期されています。
「TEST」ユーザー名(ユーザープリンシパル名)のドメイン部分が、「digitalwith.net」となっています。
CloudSyncのトラブルシューティング
- CloudSyncエージェントがインストールできない/エラーになる
-
サーバーに.NET 4.8以上が入っているか確認してください。また、プロキシ環境では通信先のURLがブロックされている可能性もあります。
- 同期が始まらない/ユーザーが出てこない
-
OUやフィルター設定で対象外になっていないか確認しましょう。また、UPN(ユーザー名)が正しいドメインになっているかも要チェックです。
- 同期が途中で止まってしまった
-
Entra側の「同期エラー」ページに詳細が表示されるので、まずそこを確認。それでもわからなければ、エージェントを再起動してみるのも手です。
CloudSyncを使用してみた感想
実際にEntra Connect Cloud Syncを使ってみて、最初に感じたのは「とにかくシンプルで速い!」ということでした。導入に迷うポイントがほとんどなく、手順もすっきりしていて、すぐに同期が始められたのが印象的です。
しかも、同期用のエージェントがとても軽いんです。CPUやメモリの負荷も最小限で、サーバーにあまり負担をかけずに使えるのは、長年インフラに関わってきた身としては安心材料でした。Web上から同期の状態がすぐ確認できるのも便利で、「今ちゃんと動いてるかな?」という確認がサクッとできるのは嬉しいポイントです。
ただ、細かい設定、たとえばカスタム同期やハイブリッドAzure AD Joinみたいな高度な構成になると、まだAzure AD Connectのほうが柔軟だなと感じる部分はあります。あと、何らかの理由で同期に失敗している場合、通知や検知が少し遅れることがあるのも気になりました。
とはいえ、Active DirectoryのユーザーをMicrosoft 365と合わせたい、という基本的なニーズには、このCloud Syncは十分すぎるくらい使いやすいです。あまり難しいことを考えず、最短で同期を始めたい人には、かなりおすすめできる選択肢だと思いました。
まとめ
オンプレADとEntraIDをシンプルに同期!Entra Connect Cloud Syncの特徴について紹介させて頂きました。
これからオンプレADとMicrosoft 365(Entra ID)を連携しようとしている方には、Entra Connect Cloud Syncは非常におすすめです。
- 軽くて早い
- 操作がわかりやすい
- 管理もラク
IT経験の長い自分でも「もうMicrosoft Entra Connect (旧Azure AD Connect)には戻れないかも」と思ったくらい、運用面でも安心できる設計でした。
「もっと早く知りたかった」と思えるレベルのサービスなので、ぜひ一度試してみてくださいね!
コメント