こんにちは。今回は、自分が業務でよく携わることがある、Microsoft Entra Connect(以下MEC)の仕組みについて書かせていただきました。
これから初めてMECを活用した業務に携わる方たちに向けて情報を共有しMECを知る一助にしていただく共に、自分が現在に至るまでに学んできた事のおさらいも兼ねて、この場を借りて執筆させていただきます。
Microsoft Entra Connectの概要
はじめに、MECとは何かを解説させていただきます。
MECとは、オンプレミスのActive Directory ドメインサービス(以下、AD DS)とクラウドのMicrosoft Entra ID側でアカウント情報などを同期させるためのものです。
Microsoft Entra ID を使用したハイブリッド ID とは - Microsoft Entra ID | Microsoft Learn
オンプレミスおよびクラウドの両方のアプリケーション等へ、別々のログイン情報を使ってログインすることなく、一度のログインと同一のパスワードによってアクセスを可能にします。
従来まではAzure AD Connectという名称で運用されていましたが、2023年7月に名称が変更されたことにより、Microsoft Entra Connectとして現在に至るまで活用されています。
具体的には以下の機能を有しています。
- パスワードハッシュ同期
- AD DSで設定または変更されたパスワードをMicrosoft Entra IDに同期し、同一のパスワードでクラウド上のアプリケーションへアクセス可能にする機能
- パススルー認証
- ユーザーがオンプレミスとクライドの両方で同一のパスワードでサインインすることができる機能
- ユーザーがMicrosoft Entra IDにサインインする際にAD DSに対して直接認証が通るようになる
- フェデレーション統合
- オンプレミスのActive Directory フェデレーションサービス(以下、ADFS)と、Microsoft Entra ID間でフェデレーションを構成可能
- 一度のログインで多数のサービスにアクセス可能になる
- AD DSを用いたシングルサインオンのソリューション
- 稼働状況の監視
- Microsoft Entra Connect Healthの機能によって、同期時のエラーやその内容および解決策が提供される
- 電子メール通知を有効にしておけば、正常性に関する内容のアラートをメールにて受け取ることが可能
以上のように、MECには、管理の効率化およびコスト削減や監視の強化といった、ハイブリッド環境を運用するための便利な機能が備わっています。
Microsoft Entra Connect と Connect Health とは。 - Microsoft Entra ID | Microsoft Learn
同期の仕組み
では、MECはどのような仕組みで同期を行っているのでしょうか。
主に、MECの同期はMetaVerse空間と呼ばれる領域を中心に同期を行っています。
MetaVerse空間とは、AD DSとMicrosoft Entra IDの中間に存在しています。AD DSとMicrosoft Entra IDのそれぞれから受信したデータを、コネクタスペースと呼ばれる場所で一時的に保持します。
MetaVerse空間がコネクタスペースが保持するデータを受信し、統合・同期を実施します。この中間領域での一連の流れが動作することで、AD DSとMicrosoft Entra ID間で両方のディレクトリが一致するようになります。
詳細は下記のリンクに記載されています。
- Microsoft Entra Conect 同期: アーキテクチャの解釈 - Azure - Microsoft Entra ID | Microsoft Learn
- Microsoft Entra Connect 同期: 技術的概念 - Microsoft Entra ID | Microsoft Learn
本記事では、同期時の動きをもう少し深掘りしてみましょう。
同期プロセス
同期時には、以下のプロセスが実行されます。
インポート
まずはじめに、同期処理を促す操作が実行されることでAD DSおよびMicrosoft Entra IDからデータがインポートされます。
ここで述べている「同期処理を促す操作」の例として、Start-ADSyncSyncCycle -PolicyType Initialコマンドの実行や、Synchronization ServiceからGUIで1つ1つの処理を実行していく方法があります。
この時点では、データはコネクタスペースで一時的に保持されている状態になります。
同期
次に、コネクタスペースからMetaVerseにデータが同期されます。各ディレクトリから取得したデータがまとめられます。ここで、適宜データに対して統合、および変換などが行われます。
この働きにより、各ディレクトリから取得したデータが同じオブジェクトとして認識されます。
エクスポート
最後に、MetaVerseにてまとめられたデータがコネクタスペースを経由して、AD DSおよびMicrosoft Entra IDへエクスポートが実行されます。これで、お互いのディレクトリの内容が一致している状態が保持されます。
上記の3つの流れをまとめると、以下の図のようになります。
※ CD=接続されたディレクトリ(AD DS,Microsoft Entra ID等)、CS=コネクタスペース、MV=MetaVerse空間
まとめ
今回、MECの同期はどのようにして行われているかについて記載させていただきました。
今回取り上げた機能の他にも、同期するオブジェクトをフィルタリングするための同期ルール【Syncronization Rule】というのも存在します。*1
このように、管理者側とユーザーの双方で業務の効率化を図れる機能があり、それらが集約されたものがMECとなります。
読者の皆様の中で、この記事を読んで業務に活用できた、少しでも知識が深まったという方が生まれましたら嬉しく思います。
最後までお読みいただきありがとうございました。
*1:特定の属性値が一致するユーザーのみ同期を実行するなど、ユーザー単位でカスタマイズ可能
白岩 素直(日本ビジネスシステムズ株式会社)
クラウドソリューション本部に所属。現在は、Active Directoryの移行や新規サーバーの構築などを中心とした案件に携わっています。趣味は読書です。
担当記事一覧