Microsoft Entra Connect には、データを格納するための SQL Server データベースが必要です。 Microsoft Entra Connect と共にインストールされる既定の SQL Server 2019 Express LocalDB を使用するか、所有している完全バージョンの SQL を使用することができます。 以前は、Microsoft Entra Connect をインストールすると、ADSync という新しいデータベースが常に作成されました。 Microsoft Entra Connect バージョン 1.1.613.0 (以降) では、既存の ADSync データベースにリンクすることで、Microsoft Entra Connect をインストールできます。
既存の ADSync データベースを使用する利点
既存の ADSync データベースを指定することで、次の利点があります。
- 資格情報情報を除き、ADSync データベースに格納されている同期構成は自動的に復旧され、インストール中に使用されます。 これには、カスタム同期規則、コネクタ、フィルター処理、オプション機能の構成が含まれます。
- ADSync データベースに格納されているすべての ID データ (コネクタ空間とメタバースに関連付けられている ID データ) と同期 Cookie も復元されます。 新しくインストールされた Microsoft Entra Connect サーバーは、前の Microsoft Entra Connect サーバーが最後に同期した時点から継続して同期できます。完全な同期を実行する必要はありません。
Von Bedeutung
特定のエッジ ケースでは、既存の ADSync データベースからインストールすると、完全同期サイクルがトリガーされる場合があります。 インストール直後に完全同期を開始する準備ができていない場合は、同期スケジューラを構成することで、同期を延期できます。 次のいずれかのオプションを使用します。
- NextSyncCyclePolicyType を設定するには:
Set-ADSyncScheduler -NextSyncCyclePolicyType Delta - コネクタの動作をオーバーライドし、完全なインポート/同期を防止するには:
Set-ADSyncSchedulerConnectorOverride -ConnectorName '<connector name>' -FullImportRequired $false -FullSyncRequired $false
既存の ADSync データベースを使用する方が役に立つシナリオ
これらの利点は、次のシナリオで役立ちます。
- Microsoft Entra Connect の既存のデプロイがあります。 既存の Microsoft Entra Connect サーバーは動作しなくなっていますが、ADSync データベースを含む SQL サーバーはまだ機能しています。 新しい Microsoft Entra Connect サーバーをインストールし、既存の ADSync データベースを指定できます。
- Microsoft Entra Connect の既存のデプロイがあります。 ADSync データベースを含む SQL サーバーは動作しなくなっています。 ただし、データベースの最近のバックアップがあります。 最初に、ADSync データベースを新しい SQL サーバーに復元できます。 その後、新しい Microsoft Entra Connect サーバーをインストールし、復元された ADSync データベースを指定できます。
- LocalDB を使っている Microsoft Entra の既存のデプロイがあります。 LocalDB の上限は 10 GB なので、完全な SQL に移行できます。 LocalDB から ADSync データベースをバックアップし、SQL サーバーに復元することができます。 その後、新しい Microsoft Entra Connect サーバーを再インストールし、復元された ADSync データベースを指定できます。
- ステージング サーバーを設定し、構成を現在のアクティブ サーバーと同じ構成にしたいと考えています。 ADSync データベースをバックアップし、別の SQL サーバーに復元できます。 その後、新しい Microsoft Entra Connect サーバーを再インストールし、復元された ADSync データベースを指定できます。
前提条件情報
次に進む前に気を付ける必要がある重要な注意事項があります。
- ハードウェアと必須コンポーネントに Microsoft Entra Connect をインストールするための前提条件と、Microsoft Entra Connect のインストールに必要なアカウントとアクセス許可を確認します。 "既存のデータベースを使用する" モードを使って Microsoft Entra Connect をインストールするために必要なアクセス許可は、"カスタム" インストールと同じです。
- 既存の ADSync データベースに対する Microsoft Entra Connect のデプロイは、完全な SQL でのみサポートされています。 SQL Express LocalDB ではサポートされていません。 LocalDB に既存の ADSync データベースを使用する場合は、まず ADSync データベース (LocalDB) をバックアップする必要があります。 次に、完全な SQL に復元します。 次に、この方法を使用して、復元されたデータベースに対して Microsoft Entra Connect をデプロイできます。
- インストールに使われる Microsoft Entra Connect のバージョンは、次の条件を満たす必要があります。
- 1.1.613.0 以降、かつ
- ADSync データベースで最後に使われた Microsoft Entra Connect のバージョンと同じか、それより高いもの。 インストールに使われる Microsoft Entra Connect のバージョンが ADSync データベースで最後に使われたバージョンより新しい場合、完全な同期が必要になる可能性があります。 2 つのバージョン間でスキーマまたは同期規則の変更があった場合、完全な同期が必要です。
- 使用する ADSync データベースには、比較的新しい同期状態が含まれています。 既存の ADSync データベースとの最後の同期アクティビティは、過去 3 週間以内である必要があります。それ以外の場合は、ディレクトリの透かしを更新するために Microsoft Entra ID からの完全なインポートが必要です。
- "既存のデータベースを使用する" 方法を使用して Microsoft Entra Connect をインストールする場合、以前の Microsoft Entra Connect サーバーで構成されたサインイン方法は保持されません。 さらに、インストール中にサインイン方法を構成することはできません。 インストールが完了した後にのみ、サインイン方法を構成できます。
- 同じ ADSync データベースを複数の Microsoft Entra Connect サーバーで共有することはできません。 "既存のデータベースを使用する" 方法を使うと、新しい Microsoft Entra Connect サーバーで既存の ADSync データベースを再利用できます。 共有はサポートされていません。
"既存のデータベースを使用する" モードで Microsoft Entra Connect をインストールする手順
- Microsoft Entra Connect インストーラー (AzureADConnect.MSI) を Windows サーバーにダウンロードします。 Microsoft Entra Connect インストーラーをダブルクリックして、Microsoft Entra Connect のインストールを開始します。
- MSI のインストールが完了すると、Microsoft Entra Connect ウィザードは簡易モードの設定で開始します。 終了アイコンを選択して画面を閉じます。
![左側のメニューの [簡単設定] が強調されている、[Microsoft Entra Connect へようこそ] ページを示すスクリーンショット。](media/how-to-connect-install-existing-database/db1.png)
- 新しいコマンド プロンプトまたは PowerShell セッションを開始します。 フォルダー "C:\Program Files\Microsoft Azure Active Directory Connect" に移動します。 コマンド .\AzureADConnect.exe /useexistingdatabase を実行して、"既存のデータベースを使用する" 設定モードで Microsoft Entra Connect ウィザードを開始します。
注
データベースに以前の Microsoft Entra Connect のインストールからのデータが既に含まれている場合にのみ、/UseExistingDatabase スイッチを使います。 たとえば、ローカル データベースから完全な SQL Server データベースに移行している場合や、Microsoft Entra Connect サーバーが再構築されて、Microsoft Entra Connect の以前のインストールから ADSync データベースの SQL バックアップを復元した場合です。 データベースが空の場合、つまり以前の Microsoft Entra Connect インストールからのデータがデータベースに含まれていない場合は、このステップをスキップしてください。
[Microsoft Entra Connect へようこそ] 画面が表示されます。 ライセンス条項とプライバシーに関する通知に同意したら、[ 続行] を選択します。
![[Microsoft Entra Connect へようこそ] ページを示すスクリーンショット。](media/how-to-connect-install-existing-database/db3.png)
[必須コンポーネントのインストール] 画面で [既存の SQL Server を使用する] オプションをオンにします。 ADSync データベースをホストしている SQL サーバーの名前を指定します。 ADSync データベースのホストに使用される SQL エンジン インスタンスが SQL サーバー上の既定のインスタンスでない場合は、SQL エンジン インスタンス名を指定する必要があります。 さらに、SQL 参照が有効になっていない場合は、SQL エンジン インスタンスのポート番号も指定する必要があります。 例えば次が挙げられます。
![[必須コンポーネントのインストール] ページを示すスクリーンショット。](media/how-to-connect-install-existing-database/db4.png)
[Connect to Microsoft Entra ID] (Microsoft Entra ID に接続) 画面で、Microsoft Entra ディレクトリのハイブリッド ID 管理者の資格情報を指定する必要があります。 既定の onmicrosoft.com ドメインでアカウントを使用することをお勧めします。 このアカウントは、Microsoft Entra ID でのサービス アカウントの作成にのみ使用され、ウィザードの完了後には使用されません。
[ディレクトリの接続] 画面では、ディレクトリ同期に構成されている既存の AD フォレストは、赤色の×アイコンで表示されます。 オンプレミスの AD フォレストの変更を同期するには、AD DS アカウントが必要です。 Microsoft Entra Connect ウィザードでは、ADSync データベースに格納されている AD DS アカウントの資格情報を取得できません。 これは、資格情報が暗号化され、以前の Microsoft Entra Connect サーバーによってのみ復号化できるためです。 [ 資格情報の変更] を選択して、AD フォレストの AD DS アカウントを指定します。
ポップアップ ダイアログでは、(i) エンタープライズ管理者の資格情報を指定して Microsoft Entra Connect に AD DS アカウントの作成を任せるか、(ii) AD DS アカウントを自分で作成してその資格情報を Microsoft Entra Connect に提供することができます。 オプションを選択し、必要な資格情報を入力したら、[ OK] を 選択してポップアップ ダイアログを閉じます。
![[新しい AD アカウントを作成] が選択されている [AD フォレスト アカウント] ポップアップ ダイアログのスクリーンショット。](media/how-to-connect-install-existing-database/db7.png)
資格情報を入力すると、赤色の×アイコンは緑色のチェック アイコンで置き換えられます。 [次へ] を選択します。
![[ディレクトリの接続] ページを示すスクリーンショット。](media/how-to-connect-install-existing-database/db8.png)
[ 構成の準備完了 ] 画面で、[インストール] を選択 します。
インストールが完了すると、Microsoft Entra Connect サーバーはステージング モードで自動的に有効になります。 ステージング モードを無効にする前に、サーバー構成と保留中のエクスポートで予期しない変更を確認することをお勧めします。
インストール後のタスク
1.2.65.0 より前のバージョンの Microsoft Entra Connect によって作成されたデータベース バックアップを復元すると、ステージング サーバーは自動的に [ 構成不可] のサインイン方法を選択します。 パスワード ハッシュ同期とパスワード ライトバックの基本設定が復元されている間は、アクティブな同期サーバーに有効な他のポリシーと一致するようにサインイン方法を変更する必要があります。 これらの手順を完了しないと、このサーバーがアクティブになった場合にユーザーがサインインできなくなる可能性があります。
次の表を使用して、必要な追加の手順を確認します。
| 特徴 | ステップス |
|---|---|
| パスワード ハッシュの同期 | Microsoft Entra Connect バージョン 1.2.65.0 以降では、パスワード ハッシュ同期とパスワード ライトバックの設定が完全に復元されます。 これより前のバージョンの Microsoft Entra Connect を使って復元する場合は、これらの機能の同期オプションの設定がアクティブな同期サーバーと一致することを確認してください。 他の構成手順は必要ありません。 |
| AD FS とのフェデレーション | Azure 認証では、アクティブな同期サーバー用に構成された AD FS ポリシーが引き続き使用されます。 Microsoft Entra Connect を使用して AD FS ファームを管理する場合は、必要に応じて、サインイン方法を AD FS フェデレーションに変更できます。 これにより、スタンバイ サーバーがアクティブな同期インスタンスになるように準備されます。 デバイス オプションがアクティブな同期サーバーで有効な場合は、"デバイス オプションの構成" タスクを実行してこのサーバーでこれらのオプションを構成します。 |
| パススルー認証およびデスクトップ シングル サインオン | お使いのアクティブな同期サーバーの構成に合わせてサインイン方法を更新します。 サーバーをプライマリに昇格する前にこの手順に従わない場合、パススルー認証とシームレス シングル Sign-On は無効になります。 また、バックアップ サインイン オプションとしてパスワード ハッシュ同期がない場合は、テナントがロックアウトされる可能性があります。 ステージング モードでパススルー認証を有効にすると、新しい認証エージェントがインストールされ、登録され、サインイン要求を受け入れる高可用性エージェントとして実行されます。 |
| PingFederate によるフェデレーション | Azure 認証では、アクティブな同期サーバー用に構成された PingFederate ポリシーが引き続き使用されます。 必要に応じて、スタンバイ サーバーがアクティブな同期インスタンスになるための準備として、サインイン方法を PingFederate に変更することもできます。 この手順は、PingFederate で追加のドメインをフェデレーションする必要があるときまで延期することができます。 |
次のステップ
- Microsoft Entra Connect がインストールされたので、インストールを確認し、ライセンスを割り当てることができます。
- インストールで有効になった機能について詳しくは、誤った削除の防止と Microsoft Entra Connect Health に関する記事をご覧ください。
- 一般的なトピックについては、スケジューラの使用と同期のトリガー方法に関するページを参照してください。
- オンプレミス ID と Microsoft Entra ID の統合の詳細をご確認ください。