での重要な概念です。Azure AD Connectのマスター:同期スケジューリングと強制

チュートリアル
PowerShell

オンプレミスのActive Directory Domain Services(AD)をAzure ADと統合し、同期する方法は、Synchronization Service Manager GUIまたはPowerShellを使用します。

Azure ADをオンプレミスで使用する方法には、パススルー認証(認証リクエストを直接Azure ADに送信する)またはディレクトリ同期(オンプレミスADとAzure AD間でパスワードハッシュを同期する)の2つの方法があります。このブログ投稿では、Azure Active Directory Connectソフトウェアを設定してパスワードハッシュを同期する方法について説明します。

定期的な同期を実行する方法と、Azure AD Connectを使用してパスワードハッシュの同期を強制する方法についても説明します。

要するに、PowerShellを使用してAzure ADを同期するには、次の手順が必要です:

  1. Azure Active Directory Connectをインストールする
  2. ADSync PowerShellモジュールをインポートする
  3. Start-AdSyncScheduleコマンドレットを実行し、ドメインコントローラーのパスワードハッシュを読み取り、Azure ADと同期する。

ビデオで学ぶことに興味がある場合は、この有益なTechSnipsビデオもチェックしてください。

Azure AD Connectをインストールする

オンプレミスのActive DirectoryをAzure ADテナントと同期するには、まずAzure AD Connectソフトウェアをダウンロードしてインストールする必要があります。そのためには、2つのオプションがあります。Azureポータルからダウンロードするか、直接ソフトウェアパッケージからダウンロードすることができます。

Azureポータルからのダウンロード

Microsoftのサイトからパッケージをダウンロードしないことを選択した場合は、Azureポータルからパッケージを取得する必要があります。

ポータルで「Azure Active Directory」を検索します。 Azure Active Directoryセクションで、Azure AD Connectをクリックします。ここで、Sync StatusセクションにDownload Azure AD Connectへのリンクがあります。

Azure Portal – Azure AD Connect

同期ツール

Azure AD Connectをインストールすると、スケジュールされた同期や強制同期を行うために使用できる2つの主要なツールがインストールされます。

  • ADSync PowerShellモジュール
  • 同期サービスマネージャー

これらの2つのツールを使用して、定期的な(スケジュールされた)同期を設定してAzure AD同期を定期的に実行することができます。または、どちらかを使用して同期を強制することもできます。両方のツールは同じ動作を行います。ただし、1つはコマンドライン(PowerShell)を介して実行され、もう1つはGUIアプリケーションです。

ADSync PowerShellモジュールの設定

Azure AD Connectをインストールすると、ADSyncというPowerShellモジュールがインストールされます。このモジュールには、PowerShellを使用して同期プロセスを管理するためのコマンドが含まれています。

この記事では、Windows PowerShell 5.1を使用しています。古いバージョンを使用している場合は、結果が異なる可能性があります。

すべてのPowerShellモジュールと同様に、モジュールのインポートは簡単です。ただし、このモジュールは既知のWindows PowerShellモジュールフォルダには存在しません。インストールにより、PowerShellモジュールがC:\Program Files\Microsoft Azure AD Connect Sync\Binフォルダにインストールされます。

モジュールをインポートするには、PowerShellコンソールを開き、次のコマンドを入力します:

PS51> Import-Module –Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -Verbose

モジュールがインポートされたことを確認するには、Get-Moduleを使用します。モジュール一覧にADSyncモジュールが表示されるはずです。

ADSync PowerShell Module

デフォルトのAzure AD同期スケジュール

Azure AD Connectでは、デフォルトで差分のみを同期するデルタ同期が30分ごとに実行されるスケジュールタスクが作成されます。このスケジュールはタスクスケジューラを開いて確認することができます。Microsoft→Windowsの下にAzure AD Sync Schedulerというスケジュールタスクがあるはずです。

Azure AD Sync Scheduler scheduled task

このスケジュールを変更することもできますが、最小のインターバルは30分です。同期間隔は変更をキャッチアップするために十分に頻繁に行われるように設定する必要があります。同期間隔が短すぎると、ネットワークが飽和する可能性がありますので注意してください。

スケジューラは2つのタスクを処理します:

  • 同期サイクル – 変更のインポート、同期、エクスポートの処理。
  • メンテナンスタスク – パスワードリセットとデバイス登録サービス (DRS)のキーと証明書を更新します。また、操作ログの古いエントリを削除します。

スケジューラ自体は常に実行されていますが、これらのタスクのうちのいずれかを実行するか、実行しないように設定することもできます。

Azure AD Connect Syncを強制する

オブジェクトの同期を強制する必要がある場合があります。例えば、独自の同期サイクル処理が必要な場合、スケジューラでこのタスクを無効にすることができますが、メンテナンスタスクは実行されます。

Azure Active Directory Connectを使用してパスワードの同期やその他の情報を強制するには、同期サービスマネージャまたはPowerShellを使用することができます。

同期サービスマネージャを使用して同期を強制する

Azure AD Connectがインストールされたサーバーで、スタートメニューに移動し、AD Connect、次に同期サービスを選択します。

一見するとわかりにくいかもしれませんが、関連するのはコネクタタブと右側の選択ペインだけです。右側のペインを見ると、同期の停止(停止)と実行(実行)のオプションが表示されています。

Synchronization Service Manager

同期サイクルが実行中の場合は、構成の変更はできません。現在のサイクルを停止することは危険ではありませんし、保留中の変更は次回の実行時に処理されます。

PowerShellでの同期ステータスの取得

同期を強制する前に、現在の同期サイクルのステータスを取得することが良いアイデアです。現在実行中の同期中に同期を強制すると、後で問題が発生する可能性があります。

現在の設定を表示するには、Azure Active Directory Connectがインストールされているサーバー上でPowerShellコンソールを開き、Get-ADSyncSchedulerを実行します。いくつかのプロパティが表示され、有用な情報が提供されます。

Get-AdSyncScheduler

解析する情報はかなり多いです。1行ずつ説明します:

  • AllowedSyncCycleInterval – これは同期間隔の最短時間です。デフォルトでは30分に設定されています。
  • CurrentlyEffectiveSyncCycleInterval現在有効なスケジュールです。 CustomizedSyncInterval(設定されている場合)と同じ値を持ち、AllowedSyncIntervalよりも頻繁ではありません。バージョン1.1.281より前のビルドを使用している場合、CustomizedSyncCycleIntervalを変更した場合、この変更は次の同期サイクル後に有効になります。1.1.281以降のビルドでは、変更は即座に有効になります。
  • CustomizedSyncCycleIntervalデフォルトの30分以外の頻度でスケジューラを実行したい場合、これを設定します。
  • NextSyncCyclePolicyTypeこのパラメータは、次の実行が何を処理するかを定義します。次の実行が完全同期の場合、最初に表示されます。
  • NextSyncCycleStartTimeInUTCこれはスケジューラが次の同期サイクルを開始する時刻です。
  • PurgeRunHistoryInterval操作ログを保持する期間を設定します。デフォルトはログを7日間保持します。
  • SyncCycleEnabledスケジューラがインポート、同期、エクスポートプロセスを実行しているかどうかを示します。
  • MaintenanceEnabledメンテナンスが有効になっている場合、証明書/キーが更新され、操作ログが削除されます。
  • StagingModeEnabled – 有効になっている場合、エクスポートが実行されなくなります。同期は行われます。
  • SchedulerSuspended – スケジューラが一時的に実行をブロックするように設定されます。

PowerShellを使用して同期を強制する

Active Directoryの漏洩している・安全でないパスワードを、NCSCパスワードリストと照らし合わせて検出します。

同期を強制する場合、完全同期またはデルタ同期のいずれかを選択できます。完全同期はAD全体のオブジェクトをチェックします。デルタ同期は前回の実行以降の変更のみをチェックして同期します。

完全同期を開始するには、Start-AdSyncSyncCycleコマンドレットを使用します。 PolicyTypeパラメータを使用して、同期を開始するにはFullまたはDeltaのいずれかを選択します。どちらの方法も、Office 365、ユーザーの識別アカウント、およびその他の属性のAD同期を強制します。

PS51> Start-ADSyncSyncCycle -PolicyType Full
PS51> Start-ADSyncSyncCycle -PolicyType Delta

同期を停止する

進行中の同期を停止する場合は、Stop-ADSyncSyncCycleコマンドレットも使用できます。

PS51> Stop-ADSyncSyncCycle

概要

GUIまたはPowerShellのいずれを選択しても、Azure Active Directory Connectツールを使用して、オンプレミスのActive Directory環境とAzure ADとの同期をスケジュールまたは強制するためのさまざまな方法を知ることができるはずです。

Source:
https://adamtheautomator.com/azure-ad-connect/