既存の ADSync データベースを使用して Microsoft Entra Connect をインストールする
Microsoft Entra Connect には、データを格納するための SQL Server データベースが必要です。 Microsoft Entra Connect と共にインストールされる既定の SQL Server 2019 Express LocalDB を使用するか、所有している完全バージョンの SQL を使用することができます。 以前は、Microsoft Entra Connect をインストールすると、ADSync という新しいデータベースが常に作成されました。 Microsoft Entra Connect バージョン 1.1.613.0 (以降) では、既存の ADSync データベースを指定して、Microsoft Entra Connect をインストールするオプションがあります。
既存の ADSync データベースを使用する利点
既存の ADSync データベースを指定することで、次の利点があります。
- 資格情報情報を除き、ADSync データベースに格納されている同期構成 (カスタム同期規則、コネクタ、フィルター処理、オプションの機能構成など) が、インストール時に自動的に復元され、使用されます。 Microsoft Entra Connect が変更をオンプレミス AD および Microsoft Entra ID と同期するために使われる資格情報は暗号化され、前の Microsoft Entra Connect サーバーからのみアクセスできます。
- ADSync データベースに格納されているすべての ID データ (コネクタ空間とメタバースに関連付けられている ID データ) と同期 Cookie も復元されます。 新しくインストールされた Microsoft Entra Connect サーバーは、前の Microsoft Entra Connect サーバーが最後に同期した時点から継続して同期できます。完全な同期を実行する必要はありません。
既存の ADSync データベースを使用する方が役に立つシナリオ
これらの利点は、次のシナリオで役立ちます。
- Microsoft Entra Connect の既存のデプロイがあります。 既存の Microsoft Entra Connect サーバーは動作しなくなっていますが、ADSync データベースを含む SQL サーバーはまだ機能しています。 新しい Microsoft Entra Connect サーバーをインストールし、既存の ADSync データベースを指定できます。
- Microsoft Entra Connect の既存のデプロイがあります。 ADSync データベースを含む SQL サーバーは動作しなくなっています。 ただし、データベースの最新のバックアップがあります。 最初に、ADSync データベースを新しい SQL サーバーに復元できます。 その後、新しい Microsoft Entra Connect サーバーをインストールし、復元された ADSync データベースを指定できます。
- LocalDB を使っている Microsoft Entra の既存のデプロイがあります。 LocalDB の上限は 10 GB なので、完全な SQL に移行できます。 LocalDB から ADSync データベースをバックアップし、SQL サーバーに復元することができます。 その後、新しい Microsoft Entra Connect サーバーを再インストールし、復元された ADSync データベースを指定できます。
- ステージング サーバーを設定し、構成を現在のアクティブ サーバーと同じ構成にしたいと考えています。 ADSync データベースをバックアップし、別の SQL サーバーに復元できます。 その後、新しい Microsoft Entra Connect サーバーを再インストールし、復元された ADSync データベースを指定できます。
前提条件情報
次に進む前に気を付ける必要がある重要な注意事項があります。
- ハードウェアと必須コンポーネントに Microsoft Entra Connect をインストールするための前提条件と、Microsoft Entra Connect のインストールに必要なアカウントとアクセス許可を確認します。 "既存のデータベースを使用する" モードを使って Microsoft Entra Connect をインストールするために必要なアクセス許可は、"カスタム" インストールと同じです。
- 既存の ADSync データベースに対する Microsoft Entra Connect のデプロイは、完全な SQL でのみサポートされています。 SQL Express LocalDB ではサポートされていません。 使用する LocalDB に既存の ADSync データベースがある場合は、まず ADSync データベース (LocalDB) をバックアップし、完全バージョンの SQL に復元する必要があります。 その後、この方法を使って復元されたデータベースに対し、Microsoft Entra Connect をデプロイできます。
- インストールに使われる Microsoft Entra Connect のバージョンは、次の条件を満たす必要があります。
- 1.1.613.0 以降かつ
- ADSync データベースで最後に使われた Microsoft Entra Connect のバージョンと同じか、それより高いもの。 インストールに使われる Microsoft Entra Connect のバージョンが ADSync データベースで最後に使われたバージョンより新しい場合、完全な同期が必要になる可能性があります。 2 つのバージョン間でスキーマまたは同期規則の変更があった場合、完全な同期が必要です。
- 使用する ADSync データベースには、比較的新しい同期状態が含まれています。 既存の ADSync データベースとの最後の同期アクティビティが、過去 3 週間以内である必要があります。そうでない場合、ディレクトリのウォーターマークを更新するために Microsoft Entra ID からの完全なインポートが必要になります。
- "既存のデータベースを使用する" 方法で Microsoft Entra Connect をインストールすると、以前の Microsoft Entra Connect サーバーで構成されていたサインイン方法は維持されません。 さらに、インストール時はサインイン方法を構成できません。 インストールが完了した後にのみ、サインイン方法を構成できます。
- 複数の Microsoft Entra Connect サーバーで同じ ADSync データベースを共有することはできません。 "既存のデータベースを使用する" 方法を使うと、新しい Microsoft Entra Connect サーバーで既存の ADSync データベースを再利用できます。 共有はサポートしていません。
"既存のデータベースを使用する" モードで Microsoft Entra Connect をインストールする手順
- Microsoft Entra Connect インストーラー (AzureADConnect.MSI) を Windows サーバーにダウンロードします。 Microsoft Entra Connect インストーラーをダブルクリックして、Microsoft Entra Connect のインストールを開始します。
- MSI のインストールが完了すると、Microsoft Entra Connect ウィザードは簡易モードの設定で開始します。 [終了] アイコンをクラスター リソースして画面を閉じます。
- 新しいコマンド プロンプトまたは PowerShell セッションを開始します。 フォルダー "C:\Program Files\Microsoft Entra Connect" に移動します。 コマンド .\AzureADConnect.exe /useexistingdatabase を実行して、"既存のデータベースを使用する" 設定モードで Microsoft Entra Connect ウィザードを開始します。
Note
データベースに以前の Microsoft Entra Connect のインストールからのデータが既に含まれている場合にのみ、/UseExistingDatabase スイッチを使います。 たとえば、ローカル データベースから完全な SQL Server データベースに移行している場合や、Microsoft Entra Connect サーバーが再構築されて、Microsoft Entra Connect の以前のインストールから ADSync データベースの SQL バックアップを復元した場合です。 データベースが空の場合、つまり以前の Microsoft Entra Connect インストールからのデータがデータベースに含まれていない場合は、このステップをスキップしてください。
[Microsoft Entra Connect へようこそ] 画面が表示されます。 ライセンス条項とプライバシーに関する声明に同意したら、 [続行] をクリックします。
[必須コンポーネントのインストール] 画面で [既存の SQL Server を使用する] オプションをオンにします。 ADSync データベースをホストしている SQL サーバーの名前を指定します。 ADSync データベースのホストに使用されている SQL エンジン インスタンスが SQL サーバーで既定のインスタンスではない場合、SQL エンジン インスタンス名を指定する必要があります。 さらに、SQL の参照が有効ではない場合、SQL エンジン インスタンスのポート番号も指定する必要があります。 次に例を示します。
[Connect to Microsoft Entra ID] (Microsoft Entra ID に接続) 画面で、Microsoft Entra ディレクトリのハイブリッド ID 管理者の資格情報を指定する必要があります。 既定の onmicrosoft.com ドメインでアカウントを使用することをお勧めします。 このアカウントは、Microsoft Entra ID にサービス アカウントを作成するためにのみ使われ、ウィザードが完了した後は使われません。
[ディレクトリの接続] 画面では、ディレクトリ同期に構成されている既存の AD フォレストは、赤色の×アイコンで表示されます。 オンプレミスの AD フォレストの変更を同期するには、AD DS アカウントが必要です。 ADSync データベースに格納されている AD DS アカウントの資格情報は暗号化されていて、前の Microsoft Entra Connect サーバーでしか解読できないため、Microsoft Entra Connect ウィザードでは取得できません。 [資格情報の変更] をクリックして、AD フォレストの AD DS アカウントを指定します。
ポップアップ ダイアログでは、(i) エンタープライズ管理者の資格情報を指定して Microsoft Entra Connect に AD DS アカウントの作成を任せるか、(ii) AD DS アカウントを自分で作成してその資格情報を Microsoft Entra Connect に提供することができます。 オプションを選択し、必要な資格情報を指定したら、 [OK] をクリックしてポップアップ ダイアログを閉じます。
資格情報を入力すると、赤色の×アイコンは緑色のチェック アイコンで置き換えられます。 次へをクリックします。
[構成の準備完了] 画面で、 [インストール] をクリックします。
インストールが完了すると、Microsoft Entra Connect サーバーはステージング モードで自動的に有効になります。 ステージング モードを無効にする前に、予期しない変更に備えてサーバー構成と保留中のエクスポートを確認することをお勧めします。
インストール後のタスク
1.2.65.0 より前のバージョンの Microsoft Entra Connect によって作成されたデータベースのバックアップを復元するときは、[構成しない] サインイン方法がステージング サーバーによって自動的に選択されます。 パスワード ハッシュ同期とパスワード ライトバックの設定は復元されますが、アクティブな同期サーバーに有効な他のポリシーに一致するようにサインイン方法を後で変更する必要があります。 これらの手順を完了しないと、このサーバーがアクティブになった場合にユーザーがサインインできなくなる可能性があります。
次の表を使用して、必要な追加の手順を確認してください。
機能 | 手順 |
---|---|
パスワード ハッシュの同期 | Microsoft Entra Connect バージョン 1.2.65.0 以降では、パスワード ハッシュ同期とパスワード ライトバックの設定が完全に復元されます。 これより前のバージョンの Microsoft Entra Connect を使って復元する場合は、これらの機能の同期オプションの設定がアクティブな同期サーバーと一致することを確認してください。 他の構成手順は必要ありません。 |
AD FS とのフェデレーション | お使いのアクティブな同期サーバー用に構成された AD FS ポリシーが Azure 認証で引き続き使用されます。 Microsoft Entra Connect を使って AD FS ファームを管理する場合は、必要に応じて、スタンバイ サーバーがアクティブな同期インスタンスになる場合に備えて、サインイン方法を AD FS フェデレーションに変更することもできます。 デバイス オプションがアクティブな同期サーバーで有効な場合は、"デバイス オプションの構成" タスクを実行してこのサーバーでこれらのオプションを構成します。 |
パススルー認証およびデスクトップ シングル サインオン | お使いのアクティブな同期サーバーの構成に合わせてサインイン方法を更新します。 サーバーをプライマリに昇格させる前にこの作業を実行しないと、パススルー認証とシームレス シングル サインオンが無効になり、バックアップ サインイン オプションとしてパスワード ハッシュの同期を設定していないときにテナントがロックアウトされる可能性があります。 また、ステージング モードでパススルー認証を有効にすると、新しい認証エージェントがインストールおよび登録され、サインイン要求を受け入れる高可用性エージェントとして実行されることに注意してください。 |
PingFederate によるフェデレーション | お使いのアクティブな同期サーバー用に構成された PingFederate ポリシーが Azure 認証で引き続き使用されます。 必要に応じて、スタンバイ サーバーがアクティブな同期インスタンスになるための準備として、サインイン方法を PingFederate に変更することもできます。 この手順は、PingFederate で追加のドメインをフェデレーションする必要があるときまで延期することができます。 |
次のステップ
- Microsoft Entra Connect をインストールしたので、インストールを検証してライセンスを割り当てることができます。
- インストールで有効になった機能について詳しくは、誤った削除の防止と Microsoft Entra Connect Health に関する記事をご覧ください。
- 一般的なトピックについては、スケジューラの使用と同期のトリガー方法に関するページを参照してください。
- オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。