Microsoft Entra Connect Health(MECH)は、オンプレミスのActive Directory ドメインサービス(AD DS) から Microsoft Entra ID(Entra ID) への同期を監視および管理するための重要なツールですが、プロキシサーバを使用するネットワーク環境では、適切な設定が必要です。
本記事では、Microsoft Entra Connect Health(MEC) がプロキシ経由で通信できるようにする設定手順等について解説します。
Microsoft Entra Connect Health について
MECH(Microsoft Entra Connect Health)とは、MECに備わっている機能です。AD DS と Entra ID の間で同期を行う際に、これらの環境の健全性とパフォーマンスを監視するための機能になります。
MECサーバーでの同期等で問題が生じた際は、Entra 管理センターあるいは登録先のメールへエラー通知が届きます。
また、エラーについては、 Entra 管理センターにて詳細を確認することが可能です。
プロキシ環境下でのMECHへの設定
プロキシサーバーを構成している環境へ MEC をインストールする場合、別途 MECH に対してプロキシ設定を実施する必要があります。
プロキシサーバーが適切に構成されていない場合、通信が遮断される可能性があります。その場合、図のように同期サービスはエラーになります。
これは、MECHが監視結果を Entra ID に送信するには、インターネット接続が必須となるためです。そのため、MECHがプロキシサーバーを経由して外部に接続出来るようにする必要があります。
プロキシサーバーを適切に構成すると、下図のように同期サービスは「健全」となります。
対処方法
以下に、MECHへのプロキシ設定の手順を記載します。
1. MECサーバーへアクセスし、コマンドプロンプトを起動する
2. 以下コマンドで、MECサーバー自体にプロキシ設定がされているかどうかを確認をする
netsh winhttp show proxy
3. 以下コマンドを実行し、プロキシ設定をインポートする
※ MECサーバーに対してプロキシ設定がされていない場合に実施
netsh winhttp import proxy source=ie
4. PowerShellを起動し、以下コマンドでMECHに対してプロキシ設定がされていないことを確認する
Get-AzureAdConnectHealthProxySettings
5. 以下コマンドを実行し、プロキシ設定をインポートする
Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
6. 以下コマンドを実行し、Azure AD Connect Health を再起動し、プロキシ設定を更新する
Restart-Service AdHealthAdfs*
7. 以下コマンドを入力、完全同期を実施して設定を更新する
Start-ADSyncSyncCycle -PolicyType Initial
8. Entra管理センターへアクセスする
9. [ハイブリッド管理] から、[Microsoft Entra Connect] > [Connect同期] > [正常性と分析] > [Microsoft Entra Connect Health の正常性]を選択する
10. [同期サービス] にて、状態が "健全" に変更されたことを確認する。
まとめ
- Microsoft Entra Connect Health(MECH)とは、AD DS と Entra ID との同期で、環境の健全性とパフォーマンスを監視するための機能
- プロキシ環境では通信にプロキシサーバーを経由する必要があり、設定が不適切だと監視結果が送信されない可能性があるので、MECHへのプロキシ設定が必要
- PowerShell でMECサーバーに適用されているプロキシ設定をMECHに落とし込むことで、監視結果を Entra ID へ正常に送ることが可能。
鍋田 航(日本ビジネスシステムズ株式会社)
MW2部所属。Entra ID Connect や Entra ID 等の認証領域の設計・導入に携わっております。趣味:キャンプ、釣り、ラグビー観戦など。
担当記事一覧