Microsoft Entra Connectで簡単IDaaS管理
| 【目次】 1 はじめに 2 Entra Connectとクラウド同期とは? 2.1 Entra Connectの特徴 2.2 Entra クラウド同期 の特徴 3 Entra Connectを試してみた 3.1 インストール 3.2 初期設定 3.3 同期確認 4 Entra Connectとクラウド同期の違いまとめ 5 導入前に押さえておきたいポイント 6 まとめ |
1 はじめに
こんにちは!入社2年目のiiiです。
クラウドサービスの普及により、社員のID管理は今や企業にとって欠かせない課題です。MicrosoftのEntra ID(旧Azure AD)は、そんなID管理をクラウド上で実現する代表的なサービスです。
しかし、多くの企業ではまだ社内にオンプレミスのActive Directoryがあり、クラウドとオンプレをどう繋ぐかで迷うことも多いですよね。
そこで活躍するのが「Entra Connect」と「Entra クラウド同期(Cloud Sync)」です。
この記事では、この2つの同期方式の違いや特徴、導入手順までを分かりやすく解説します。これからハイブリッド環境を整えたい方や、どちらが自社に合うか知りたい方の参考になれば幸いです。
2 Entra Connectとクラウド同期とは?
まずは「Entra Connect」について。これはオンプレADとEntra IDを連携させるツールで、ユーザ情報のほかパスワード同期やシングルサインオンもサポートします。多くの企業で採用されている“王道”の同期方法です。
一方、「Entra クラウド同期」は、より軽量でシンプルな同期を目指した新しい方式です。同期する情報を細かく選べたり、運用の柔軟性が高いのが特徴です。クラウド主体の環境や、段階的に移行したい場合に向いています。
どちらも目的は同じ「オンプレADとクラウドIDの連携」ですが、使いやすさや機能に違いがあります。続く章で、それぞれの特徴や選び方を具体的に見ていきましょう。
2-1 Entra Connectの特徴
Entra Connectは、オンプレADとEntra IDを強力に連携させるためのツールです。多くの企業で「ハイブリッドID環境」を構築する際の標準的な同期方法として使われています。
主な機能
- ユーザ・グループの同期
オンプレADのユーザやグループ情報をクラウド側に自動で同期。これにより、社内で管理しているアカウント情報をそのままクラウドで利用できます。 - パスワード同期
ユーザのパスワードハッシュを安全にクラウドに同期し、同じパスワードでログイン可能にします。パスワード変更も自動的に反映されるので運用が楽です。 - パススルー認証(PTA)
パスワードをクラウドに保存せず、認証はオンプレADで直接行う方式もサポートしています。セキュリティ重視の環境で使われることが多いです。 - フェデレーション連携
AD FSなどのフェデレーションサービスと連携し、より高度な認証シナリオに対応可能です。
運用面のポイント
Entra ConnectはWindows Server上にインストールして使い、サーバ単位で管理します。
ADの構造やOU(組織単位)、属性など細かく制御できるため、大規模環境や複雑な組織構成で力を発揮します。
ただし、セットアップやメンテナンスには一定の技術知識が必要で、サーバ管理の手間もあります。運用負荷がかかるため、社内に管理リソースがあることが望ましいです。
2-2 Entra クラウド同期(Cloud Sync)の特徴
一方、Entra クラウド同期はここ数年で登場した新しい同期方式で、より軽量でシンプルな仕組みです。
主な機能
- 選択的な同期
オンプレADのすべての情報を同期するのではなく、必要なユーザやグループだけをピンポイントで同期可能です。これによりクラウド側の管理をスリムに保てます。 - エージェントベースの構成
軽量なエージェントをオンプレADにインストールし、そこから同期処理を行います。 - 高い可用性と拡張性
複数のエージェントを配置して負荷分散や冗長化ができるため、大規模環境でも安定した運用が可能です。 - クラウドネイティブ設計
Azure Portalから設定や管理ができ、管理者は負担少なく運用できます。
運用面のポイント
Cloud Syncはサーバのセットアップが簡単で、柔軟に運用しやすいのが魅力です。オンプレADの構造を大きく変えずに、一部だけをクラウドに同期したいケースに向いています。
また、将来的にはクラウドネイティブな環境を重視する企業や、クラウド移行の第一歩として段階的に導入する場合にも適しています。
3 Entra Connectを試してみた
というわけで、実際に「Entra Connect」を使って、オンプレADとEntra IDを同期してみました。
初めての方は「難しそう」と感じるかもしれませんが、基本的な構成であれば、実際のセットアップはそこまで複雑ではありません。
今回はテスト環境での構成を例に、インストールから初期設定~動作確認までの流れを画像付きで順を追って紹介します。
3-1 インストール
Entra Connect用サーバで下記URLにアクセスし、「Microsoft Entra Connectをダウンロードする」を押下する。
「select language」で日本語を選択し、「Download」を押下する。
3-2 初期設定
インストーラーを開き、「ようこそ」の画面で「ライセンス条項及びプライバシーに関する声明に同意します」にチェックを入れて「続行」を押下する。
「簡単設定」で「カスタマイズ」を押下する。
インストール先の指定があればチェックを入れ、「インストール」を押下する。
「ユーザーサインイン」でサインオン方式を選択し、「次へ」を押下する。
Entra IDのグローバル管理者権限を持つアカウントを入力し、「次へ」を押下する。
パスワードを入力し、「サインイン」を押下する。
「ディレクトリの接続」で「ディレクトリの追加」を押下する。
「新しいADアカウントを作成」を選択し、作成したエンタープライズ管理者のユーザ名とパスワードを入力して「OK」を押下する。
「構成済みディレクトリ」で緑のチェックが付いたことを確認し、「次へ」を押下する。
「ユーザープリンシパル名」で、Entra IDユーザ名として使用する任意のオンプレミス属性を選択する。
「一部のUPNサフィックスが確認済みドメインに一致していなくても続行する」にチェックを入れ、「次へ」を押下する。
「ドメインとOUのフィルタリング」で同期したいOUにチェックを入れ、「次へ」を押下する。
「一意のユーザの識別」で「次へ」を押下する。
「ユーザおよびデバイスのフィルタリング」で「次へ」を押下する。
「オプション」で任意のオプションを追加して「次へ」を押下する。
「構成の準備完了」で「構成が完了したら、同期プロセスを開始する」と「ステージングモードを有効にする」にチェックを入れ、「インストール」を押下する。
Entra Connectの構成が完了し、同期が開始される。
3-3 同期確認
同期対象のドメイン内に「MSOL_○○○○」という名前のユーザが存在していることを確認する。
※コネクト同期用ユーザ
グローバル管理者権限を持つユーザでAzureポータルにログインし、「Microsoft Entra ID」を検索もしくは選択する。
左メニューの「管理」から「Microsoft Entra Connect」を選択する。
ユーザ検索で「on-premises」と検索し、「On-Premises Directory Synchronization Service Account」が存在することを確認する。(同期用に自動作成される)
画像にすると多く感じますが、およそ1時間程度でサーバ構築~同期確認までが完了しました。また、自動アップグレードの有無や同期間隔の設定も柔軟に変更可能です。
「クラウド同期」についての検証は割愛させていただきますが、導入という意味ではエージェントを専用サーバにインストールするかオンプレADにインストールするか程度の違いであるように感じました。もちろん機能は異なりますが。
4 Entra Connectとクラウド同期の違いまとめ
Entra ConnectとEntra クラウド同期の違いについて、簡単な表にまとめてみました。悩んだ際の参考になれば幸いです。
どちらを選ぶべき?
- 既にオンプレADが複雑で、大規模かつフル同期が必要なら「Entra Connect」がおすすめ。
フェデレーション認証を使いたい場合もこちらです。 - シンプルに必要な部分だけ同期したい、クラウド移行の段階的導入を考えているなら「クラウド同期」も有力な選択肢。
管理負荷を抑えたい場合や、複数のエージェントで冗長構成を作りたい場合に適しています。
5 導入前に押さえておきたいポイント
- 社内リソースと技術力
Entra Connectはサーバ管理の経験がある担当者がいると安心です。
クラウド同期はサーバを必要とせず、Azure Portal中心の管理で比較的簡単です。 - 同期したい範囲・頻度
フル同期が必要か、特定ユーザだけで良いかを整理しましょう。 - セキュリティ要件
パススルー認証やフェデレーション連携が必要ならEntra Connectが必須です。
6 まとめ
Entra IDとオンプレADの連携は、ハイブリッド環境を支える重要な技術です。
「Entra Connect」と「Entra クラウド同期」にはそれぞれ特徴があり、企業の規模や運用方針によって最適な選択が変わってきます。
本記事で紹介したポイントを参考に、自社の環境に合った同期方法を選び、安全で効率的なID管理を目指しましょう。
参考文献
Microsoft Entra Connect Sync: 同期の理解とカスタマイズ – Microsoft Entra ID | Microsoft Learn
Microsoft Entra クラウド同期とは? – Microsoft Entra ID | Microsoft Learn
