「Active Directory のユーザーと、Microsoft Entra ID のユーザーを同期させてサインインを楽にしたい」という方は必見！！Microsoft Entra Connect（旧 Azure AD Connect）の構築を解説します。

この記事は「はじめて Microsoft Entra Connect の構築をする」という方にもわかりやすいよう、ドメインに参加するところから同期の確認まで、各作業ごとのスクリーンショット付きで詳しくフォローしています。

Microsoft Entra Connect やその関連リソース、各作業を理解しながら構築し、IT環境の効率化を目指しましょう！

※この記事では、AD DS コネクタアカウントを新規で作成する場合を解説しています。

Active Directory のユーザーと Microsoft Entra ID（旧 Azure Active Directory）のユーザーを同期することで Active Directory と同じID / パスワードでクラウドサービスにサインインすることができます。この同期を実現するのが Microsoft Entra Connect です。

今回は以下の流れで構築を進めていきます。

また、構築の解説後に＋αとして Microsoft Entra Connect の冗長構成を紹介しています。

それでは構築を始めていきましょう！

今回の Microsoft Entra Connect の構築には以下の環境が必要です。

オンプレミスや AWS など、Azure 以外にデプロイしているサーバーでも問題ありません。

今回の検証では Azure で VM を1台作成しました。

^{※日本語設定は済んでいます}

Azure で VM を1台作成してもいいのですが、既存サーバー、オンプレミスのサーバーでももちろん可能です！

ただし、オンプレミスなど Azure 以外のサーバーに Microsoft Entra Connect をインストールする場合は、Azure の Microsoft Entra ID と通信できるように適宜環境設定が必要です。

また、Active Directory サーバーを使用することも可能ですが、1つのサーバーに多くの機能を持たせるべきではないためサーバーを別で構築することを推奨します。

VM を Active Directory にドメイン参加をさせます。既にドメインに参加している場合はこの手順はスキップしてください。

１．Microsoft Entra Connect を構築するサーバーに接続後、コントロールパネルから「システムとセキュリティ」をクリック

２．「システム」をクリック

３．右側、もしくは下方にある「関連設定」から「このPCの名前を変更（詳細設定）」を選択（「システムの詳細設定」でも可）

４．上部タブから「コンピューター名」を選択し、「変更」を選択

５．ドメインにチェックを入れて、ドメイン名を入力しOKをクリック

例では、ドメインを「adctest.local」としています。

６．管理者のIDとパスワードを入力

７．こちらが表示されれば完了です。この後再起動が求められるため実施してください。

この画面が出ない場合は Active Directory サーバーと通信が上手くいっていない可能性があります。DNSの設定などをもう一度見直してみてください。

Microsoft Entra Connect 設定時に、AD DS（Active Directory Domain Service）と通信するための AD DS コネクタアカウント設定があります。

そこでは以下選択肢があります。

◆新しいADアカウントを作成

◆既存のADアカウントを使用

今回は、「新しいADアカウントを作成」する場合を解説していきます。また、Microsoft Entra ID ユーザーと同期させるための新規ユーザー、新規OUを作成し、このユーザーにエンタープライズ管理者権限を付与する形で構築を進めていきます。

新規ユーザー、OUの作成が不要で、エンタープライズ管理者権限の付与のみ必要な方は、手順2の「③エンタープライズ管理者権限付与」までスキップしてください。

さらに、エンタープライズ管理者権限付与も完了している方は、手順3「Microsoft Entra Connect のインストールおよび設定」までスキップしてください。

１．Active Directory サーバーに接続後、ユーザーを作成します。

「Active Directory ユーザーとコンピュータ」を開き、「Users」を右クリック ＞ 「新規作成」 ＞ 「ユーザー」 をクリック

２．以下ユーザーの設定を行い、確認画面にてドメインが間違っていないか確認して完了します。

３．作成されたユーザーのプロパティを開き、電子メールを設定します。同期させたいユーザーと同じ電子メールを設定してください。

設定後、「適用」 ＞ 「OK」の順で選択

４．OUを作成します。同期はOU単位で行います。

ドメイン（adctest.local）を右クリック ＞ 「新規作成」 ＞ 組織単位（OU）を選択

５．OUの名前を入力し作成します。

６．先ほど作成したユーザーを作成したOUに移動させます。

ユーザーを右クリック ＞ 移動、OUを選択して移動完了です。

これで新規ユーザー、新規OU作成、OUへの移動は完了です。

次に、エンタープライズ管理者権限付与に移ります。

エンタープライズ管理者の用意も完了している方は、手順3「Microsoft Entra Connect のインストールおよび設定」までスキップしてください。スキップする場合、ADサーバーも閉じていただいて問題ありません。（停止はしないでください）

先ほど作成したユーザーにエンタープライズ管理者権限を付与します。この後の Microsoft Entra Connect インストール設定で、エンタープライズ管理者権限が付与されたユーザーが必要となります。

７．作成したユーザーを右クリック ＞ 「プロパティ」を選択（エンタープライズ管理者権限を付与するユーザーを選択してください）

８．上部タブから「所属するグループ」を選択し、「追加」を選択

９．「選択するオブジェクト名を入力してください」欄に「Enterprise Admins^※」を入力＞「名前の確認」を選択

^{※Enterprise Admins：エンタープライズ管理者権限}

１０．「Enterprise Admins」（下線付き）に変化し、権限が選択された状態となったため、「OK」を選択

１１．所属するグループ欄に「Enterprise Admins」が追加されたことを確認し、「Enterprise Admins」を選択した状態で「プライマリグループの設定」を選択

１２．プライマリグループが「Enterprise Admins」に変更されたことを確認し、「適用」 ＞ 「OK」 の順に選択して閉じる

これでエンタープライズ管理者権限付与は完了です。

ここまで出来たらADサーバーの画面は閉じて構いません（停止はしないでください）

１．Microsoft Entra Connect を構築するサーバーに接続後、インストーラーを下記URLからダウンロードします。

なお、ダウンロード時の言語はEnglishしか対応していない模様、、、

２．ダウンロードしたmisファイルをクリックして Microsoft Entra Connect（Azure AD Connect）をインストール

３．ようこその画面が開いたら、「ライセンス条項及びプライバシーに関する声明に同意します」にチェックを入れて「続行」を選択

４．カスタマイズ設定を選択

簡単設定ではより少ない手順で簡単に設定することができますが、今回はより多くの設定項目があるカスタマイズ設定を行います。

５．チェックを入れずにインストールを開始

６．サインオン方式はパスワードハッシュ同期を選択

今回の構築ではシングルサインオンは無効とするため、チェックを外します。

７．Azure Active Directory（Microsoft Entra ID）のグローバル管理者アカウントとパスワードを入力

ここでユーザー名パスワード入力後ウィンドウが立ち上がるので、もう一度入力し接続する必要あります。

８．AD DS の認証を行います。「資格情報の変更」を選択し、AD DS のユーザー情報（AD DS コネクタアカウント）を入力

９．「新しいADアカウントを作成」を選択し、先ほど作成したユーザー（エンタープライズ管理者）のユーザー名、パスワード名を入力

緑のチェックが付けばOK。

１０．ユーザープリンシパル名は「mail」に設定

この設定により、電子メールによって同期するユーザーを判断します。

１１．ドメインとOUのフィルタリングにて、先ほど作成した新規OUのみにチェックを入れる

同期したいOUのみにチェックを入れてください。ここで他のOUもチェックを入れてしまうと、選択したOU全てが同期されてしまいます。

１２．一意のユーザー識別は設定を変更せず、「次へ」を選択

１３．ユーザー及びデバイスのフィルタリングはそのまま「次へ」を選択

１４．オプション機能は選択せずに「次へ」を選択

１５．「構成が完了したら、同期プロセスを開始する」にチェックを入れ、「インストール」を選択

ステージングモードを有効にするにチェックを入れないでください。この機能は冗長構成の時に使用する機能のため、今回の用途では正常に同期がされなくなります！

以上で Microsoft Entra Connect の設定は終了です！

１．Azure ポータルから Microsoft Entra ID を開きます。

２．サイドバー「ユーザー」から先ほどのユーザーが同期されていることを確認します。

「オンプレミスの同期が有効」が”はい”となっていれば Microsoft Entra Connect で同期されていることになります。

これで構築は完了です！お疲れさまでした！

次からは、Microsoft Entra Connect の冗長構成について説明しています。

Microsoft Entra Connect のサーバーを冗長化することが可能です。

以下のような構成が考えられると思います。

オンプレミスの AD サーバー#1とクラウドの AD サーバー#2 は冗長構成になっています。

オンプレミス Microsoft Entra Connect サーバー（active）は AD サーバー#1 にドメイン参加していて、クラウドの Microsoft Entra Connect サーバー（standby^※）は AD サーバー#2 にドメイン参加しています。

^{※standby＝ステージング状態}

そのため、万が一オンプレミス環境が災害にあってもクラウド環境で稼働することが可能です。

Microsoft Entra Connect サーバーが複数台ある場合、同時に同期処理を行うと、データの整合性が失われたり、パフォーマンスが低下する可能性があります。

またエラー発生時の原因特定の複雑化を防ぐためにも、通常、Activeなサーバーは1台のみが推奨されます。

Microsoft Entra Connect サーバー（standby）はactive-standby構成になっているため通常時は稼働していません。

オンプレミスが稼働停止後、クラウドの Microsoft Entra Connect サーバーの設定でstandby状態からactive状態に変更することが可能です。