AWS Managed Microsoft AD を Microsoft Entra Connect Sync に接続する - AWS Directory Service
前提条件Active Directory ドメインユーザーを作成するEntra Connect Sync のダウンロードスクリプト PowerShell を実行Entra Connect Sync をインストールする

AWS Managed Microsoft AD を Microsoft Entra Connect Sync に接続する

このチュートリアルでは、「Microsoft Entra ID」を AWS Managed Microsoft AD に同期するために「Microsoft Entra Connect Sync」をインストールする必要な手順について説明します。

このチュートリアルでは、以下の作業を行います。

  1. AWS Managed Microsoft AD ドメインのユーザーを作成します。

  2. をダウンロードしますEntra Connect Sync

  3. PowerShell を使用してスクリプトを実行して、新しく作成したユーザーに適切なアクセス権限をプロビジョニングします。

  4. Entra Connect Sync をインストールします。

前提条件

このチュートリアルを完了するに必要なものは以下のとおりです。

Active Directory ドメインユーザーを作成する

このチュートリアルでは、AWS Managed Microsoft AD と Active Directory Administration Tools をインストールした EC2 Windows Server インスタンスが既にあることを前提としています。詳細については、「AWS Managed Microsoft AD の Active Directory 管理ツールをインストールする」を参照してください。

  1. Active Directory Administration Tools がインストールされているインスタンスに接続します。

  2. AWS Managed Microsoft AD ドメインのユーザーを作成します。このユーザーは Entra Connect Sync の Active Directory Directory Service (AD DS) Connector account になります。このプロセスの詳細なステップについては、「AWS Managed Microsoft AD ユーザーの作成」を参照してください。

Entra Connect Sync のダウンロード

  • AWS Managed Microsoft AD 管理者である EC2 インスタンスに「Microsoft ウェブサイト」から Entra Connect Sync をダウンロードします。

警告

この時点では Entra Connect Sync を開いたり実行したりしないでください。次のステップでは、ステップ 1 で作成したドメインユーザーに必要なアクセス権限をプロビジョニングします。

スクリプト PowerShell を実行

  • 管理者として PowerShell を開き、次のスクリプトを実行します。

    スクリプトの実行中に、ステップ 1 から新しく作成したドメインユーザーの sAMAccountName を入力するように求められます。

    注記

    スクリプトの実行の詳細については、以下を参照してください:

    • ps1 拡張子を持つスクリプトは、temp のようなフォルダに保存できます。スクリプトを読み込むには、次の PowerShell コマンドを実行できます。

      import-module "c:\temp\entra.ps1"

    • スクリプトをロードしたら、次のコマンドを使用してスクリプトを実行するための必要なアクセス権限を設定し、Entra_Service_Account_Name を Entra サービスアカウント名に置き換えます:

      Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
表示を増やす表示を減らす

Entra Connect Sync をインストールする

  1. スクリプトが完了したら、ダウンロードした Microsoft Entra Connect (以前は Azure Active Directory Connect と呼ばれていた) 設定ファイルを実行できます。

  2. 前のステップの設定ファイルを実行した後、Microsoft Azure Active Directory Connect ウィンドウが開きます。[Express の設定] ウィンドウで、[カスタマイズ] を選択します。

    カスタマイズボタンが強調表示された Microsoft Azure Active Directory Connect ウィンドウ。

  3. [必要なコンポーネントのインストール] ウィンドウで、[既存のサービスアカウントを使用する] チェックボックスを選択します。[サービスアカウント名][サービスアカウントパスワード]で、ステップ 1 で作成したユーザーの AD DS Connector account 名とパスワードを入力します。例えば、AD DS Connector account 名が entra とすると、アカウント名は corp\entra となります。次に、[インストール] を選択します。

    既存のサービスアカウントとドメインアカウントを選択し、指定されたサービスアカウント名とパスワードを使用して、必要なコンポーネントウィンドウをインストールします。

  4. [ユーザーサインイン] ウィンドウで、次のいずれかのオプションを選択します:

    1. パススルー認証 – このオプションを使用すると、ユーザー名とパスワードを使用して Active Directory にサインインできます。

    2. 設定しない」– これによりMicrosoft Entra、(以前は Azure Active Directory (Azure AD) と呼ばれた) または Office 365 でフェデレーションサインインを利用できます。

      [次へ] を選択します。

  5. [Azure に接続する] ウィンドウで、Entra ID の [グローバル管理者] のユーザー名とパスワードを入力し、[次へ] を選択します。

  6. [ディレクトリを接続する] ウィンドウで、[ディレクトリタイプ][Active Directory] を選択します。AWS Managed Microsoft AD for FOREST にフォレストを選択します。次に、[ディレクトリの追加] を選択します。

  7. アカウントオプションをリクエストするポップアップボックスが表示されます。[既存の AD アカウントを使用する] を選択します。ステップ 1 で作成した AD DS Connector account のユーザー名とパスワードを入力し、[確認] を選択します。[次へ] を選択します。

    AD フォレストアカウントのポップアップボックス。選択した既存の AD アカウントを使用し、ドメインのユーザー名とパスワードを提供します。

  8. [Azure AD サインイン] ウィンドウで、検証済みのバニティドメインが Entra ID に追加されていない場合にのみ、[すべての UPN サフィックスを検証済みのドメインと一致せずに続行] を選択します。[次へ] を選択します。

  9. [ドメイン/OU フィルタリング] ウィンドウで、必要に応じてオプションを選択します。詳細については、Microsoft ドキュメントの「Entra Connect Sync 設定ファイル」を参照してください。[次へ] を選択します。

  10. [ユーザーの特定、フィルタリング、およびオプションの機能] ウィンドウで、デフォルト値を維持し、[次へ] を選択します。

  11. [設定] ウィンドウで、設定を確認し、[設定] を選択します。Entra Connect Sync のインストールが確定され、ユーザーは Microsoft Entra ID との同期を開始します。