Microsoft Entra Connect Sync: 既定の構成を変更するためのベスト プラクティス

このトピックの目的は、Microsoft Entra Connect Sync に対する、サポートされている変更とサポートされていない変更について説明することです。

Microsoft Entra Connect によって作成される構成は、オンプレミスの Active Directory と Microsoft Entra ID を同期するほとんどの環境で "そのまま" 動作します。 ただし、場合によっては、特定のニーズや要件を満たすために構成にいくつかの変更を適用する必要があります。

サービス アカウントに対する変更

Microsoft Entra Connect Sync は、インストール ウィザードによって作成されたサービス アカウントで実行されます。 このサービス アカウントには、同期によって使用されるデータベースの暗号化キーが保持されます。127 文字の長いパスワードで作成され、パスワードの有効期限が切れないように設定されています。

スケジューラに対する変更

ビルド 1.1 (2016 年 2 月) のリリース以降では、既定の 30 分の同期サイクルとは異なる同期サイクルで スケジューラ を構成できます。

同期規則に対する変更

インストール ウィザードには、最も一般的なシナリオに対応できる構成が用意されています。 構成を変更する必要がある場合は、サポートされている構成となるように、これらの規則に従う必要があります。

• 既定の "直接" 属性フローが自分の所属している組織に適さない場合は、 属性フローを変更 できます。
• 属性をフローしない ように設定したうえで、Microsoft Entra ID に既にある属性値を削除する必要がある場合は、このシナリオ用に規則を作成する必要があります。
• 不要な同期規則は削除するのではなく無効 にしてください。 削除した規則は、アップグレード時に再作成されます。
• 標準の規則を変更するには、元の規則のコピーを作成し、標準の規則を無効にする必要があります。 同期規則エディターが役に立ちます。
• 同期規則エディターを使用して、カスタムの同期規則をエクスポートします。 このエディターには、ディザスター リカバリー シナリオにおいて同期規則を簡単に再作成をするために使用できる PowerShell スクリプトが用意されています。

不要な同期規則は削除するのではなく無効

標準の同期規則を削除しないでください。 これは、次のアップグレード中に再作成されます。

場合によっては、インストール ウィザードによって、トポロジで動作しない構成が生成されます。 たとえば、アカウント リソース フォレスト トポロジがあるが、Exchange スキーマを使用してアカウント フォレスト内のスキーマを拡張した場合、Exchange のルールはアカウント フォレストとリソース フォレストに対して作成されます。 この場合、Exchange 用の同期規則を無効にする必要があります。

前の図では、インストール ウィザードでアカウント フォレストに古い Exchange 2003 スキーマが見つかりました。 このスキーマ拡張が追加されてから、リソース フォレストが Fabrikam の環境に導入されました。 古い Exchange 実装の属性が同期されないようにするには、図のように同期規則を無効にする必要があります。

標準の規則の変更

標準の規則を変更する必要があるのは、結合規則を変更しなければならない場合のみです。 属性フローを変更する必要がある場合は、標準の規則よりも優先順位が高い同期規則を作成してください。 実際に複製する必要がある規則は In from AD - User Join のみです。 他のすべての規則は、優先順位が高い規則でオーバーライドできます。

標準の規則を変更する必要がある場合は、標準の規則のコピーを作成し、元の規則を無効にする必要があります。 そして、コピーした規則を変更します。 同期規則エディターは、この手順で役立ちます。 標準の規則を開くと、次のダイアログ ボックスが表示されます。

[はい] を選択して規則のコピーを作成します。 複製した規則を開きます。

このコピーした規則のスコープ、結合、変換について必要な変更を加えます。

次のステップ

概要トピック

• Microsoft Entra Connect 同期: 同期を理解してカスタマイズする
• オンプレミス ID と Microsoft Entra ID の統合