Microsoft Entra Connectとは?
Microsoft Entra Connectは、オンプレミスのActive DirectoryとクラウドのMicrosoft Entra IDを同期し、ハイブリッドIDを実現するためのMicrosoft公式ツールです。その主な目的は、組織内の利用者がオンプレミスとクラウドの両方にまたがるリソースに対して、単一のIDを用いてアクセスできるようにすることです。これにより、複数のパスワードを管理する手間が省かれ、生産性の向上に貢献します。
このツールは利用者それぞれに以下のようなメリットをもたらします。
- 管理者にとっては、ユーザーアカウントのプロビジョニングを一元化し、ID管理のプロセスを簡略化できることが大きな利点です。また、Microsoftが提供するセキュリティ機能をオンプレミスのIDと連携させることで、組織全体のセキュリティとコンプライアンス体制を強化することができます。
- 利用者にとっては、シングルサインオン(SSO)機能により、一度の認証で様々なアプリケーションやサービスにシームレスにアクセスできるといった利点があります。
本記事では、Microsoft Entra Connectの主な機能から、具体的な使い方、実務での活用例までをわかりやすくご紹介します。
そもそもActive DirectoryとMicrosoft Entra IDとは?
Microsoft Entra Connectについて詳しくご説明する前に、まずはMicrosoft Entra Connectが連携させる二つの主要な基盤、「Active Directory」と「Microsoft Entra ID」についてご説明します。
Active Directory
Active Directoryは、従来型のオンプレミス環境向けディレクトリサービスです。主な役割は、組織内のネットワークに接続されたリソースを一元的に管理することです。具体的には、ユーザーアカウント、デバイス、サーバー、ファイル共有などのオブジェクト情報を格納し、それらへのアクセス権を制御します。
認証にはKerberosやNTLMといった、社内ネットワークでの利用を前提としたプロトコルが使用されます。また、グループポリシーという機能を用いて、多数のPCに対するセキュリティ設定やソフトウェアの配布などを一括で管理することができ、IT管理者の運用負担を軽減することができます。
構造的には、ドメインという管理単位を基本とし、複数のドメインを階層的に束ねたフォレストという大きな枠組みで組織全体を管理します。
Microsoft Entra ID
Microsoft Entra ID(旧称: Azure Active Directory)は、Microsoftが提供するクラウドベースのIDおよびアクセス管理サービスです。インターネット経由での利用を前提として設計されており、Microsoft 365やMicrosoft Azureといったクラウドサービスをはじめ、SalesforceやGoogle Workspaceなど、数多くのサードパーティ製SaaSアプリケーションへのアクセス管理が可能です。
認証にはSAML、OAuth 2.0といった、Web標準のプロトコルが用いられます。これにより、クラウドアプリケーションへの安全なシングルサインオン(SSO)を実現しています。さらに、多要素認証(MFA)や、アクセス可否を動的に判断する「条件付きアクセス」といった高度なセキュリティ機能を提供しています。管理の基本単位はテナントと呼ばれ、組織ごとに独立したディレクトリ空間が提供されます。
次のセクションからは、Microsoft Entra Connectについて詳しくご紹介します。
Microsoft Entra Connectの主な機能
Microsoft Entra Connectの概念図(引用:Microsoft)
Microsoft Entra Connectは、ハイブリッドID環境を運用するためのさまざまな機能を提供しています。これらの機能は大きく「ディレクトリ同期」、「認証連携」、「稼働状況の監視」の3つに分類できます。
以下で主な機能を詳しくご説明します。
ディレクトリ同期
これはMicrosoft Entra Connectの最も基本的な機能で、ハイブリッドID環境の土台となります。オンプレミスのActive Directoryに存在するユーザー、グループなどのオブジェクト情報を読み取り、Microsoft Entra ID上に同じオブジェクトを作成するプロセスです。
この同期処理は、デフォルトで30分ごとに自動実行されるスケジュールに基づいて行われ、両環境のID情報の一貫性を維持します。これにより、管理者はオンプレミスのActive Directoryでユーザーアカウントを作成するだけで、そのユーザーは自動的にMicrosoft 365などのクラウドリソースを利用できるようになります。
認証連携
Microsoft Entra Connectは、組織のセキュリティポリシーやインフラストラクチャの状況に応じて選択できる、主に以下の3つの認証方法を提供しています。
パスワードハッシュ同期(PHS)
パスワードハッシュ同期(PHS)は、シンプルで広く利用されている認証方法です。この方式では、Active Directoryでユーザーが設定したパスワードのハッシュ値(元のパスワードを復元不可能な文字列に変換したもの)をさらに暗号化してMicrosoft Entra IDに同期します。利用者がクラウドサービスにサインインする際は、Microsoft Entra IDが直接認証処理を行います。
PHSの最大の利点は、認証時にオンプレミスのサーバーへの依存がないため、高い可用性を誇る点です。Active Directoryや社内ネットワークに障害が発生しても、利用者はクラウドサービスへのサインインを継続できます。
パススルー認証(PTA)
パススルー認証(PTA)は、認証処理をオンプレミスのActive Directoryに素通しさせる方式です。利用者がMicrosoft Entra IDにサインインしようとすると、その認証要求は、オンプレミスに設置された認証エージェントに転送されます。このエージェントがActive Directoryのドメインコントローラーと通信し、パスワードの検証をリアルタイムで行います。
この方式では、パスワードやハッシュ値がクラウド上に保存されないため、「クラウドに認証情報を保持したくない」という厳格なセキュリティポリシーやコンプライアンス要件を持つ組織に適しています。
フェデレーション統合
フェデレーション統合は、認証プロセスをオンプレミスのActive Directory Federation Services (AD FS) という専用サーバーに委任する方式です。利用者がサインインを試みると、Microsoft Entra IDは利用者をAD FSのサインインページにリダイレクトします。認証が成功すると、AD FSはセキュリティトークンという証明書を発行し、利用者はそのトークンを使ってMicrosoft Entra IDにサインインします。
他の認証方式と比べて構成がやや複雑になりますが、スマートカード認証や、サードパーティ製の多要素認証ソリューションとの連携など、他の方式では対応できない認証要件を実現できるという利点があります。
3つの認証連携の比較
上記のどの認証方法を選択するかは、組織のセキュリティ要件、既存のインフラ、管理負担などを考慮して決定する必要があります。以下に、3つの認証方法の主な特徴を比較した表を示します。
項目 | パスワードハッシュ同期 (PHS) | パススルー認証 (PTA) | フェデレーション統合 |
|---|---|---|---|
認証の場所 | Microsoft Entra ID (クラウド) | Active Directory (エージェント経由) | Active Directory Federation Services |
サインイン時のオンプレミス依存度 | 低 (同期後依存なし) | 高 (Active Directoryへの常時接続が必須) | 高 (AD FSへの常時接続が必須) |
必要なインフラ | Microsoft Entra Connectサーバー | Microsoft Entra Connectサーバー + 認証エージェント | Microsoft Entra Connectサーバー + AD FS |
構成の複雑さ | 低 | 中 | 高 |
稼働状況の監視
Microsoft Entra Connectには、ハイブリッドIDインフラ全体の健全性を監視するためのMicrosoft Entra Connect Healthというクラウドサービスが含まれています。Microsoft Entra管理センター内で、Microsoft Entra Connectサーバー、オンプレミスのActive Directory、AD FSの稼働状況を可視化します。
この機能により、同期処理で発生したエラー、AD FSサーバーでの認証失敗といった問題を検知し、管理者にアラートで通知します。これにより、ハイブリッド環境全体の安定運用を実現することが可能です。
Microsoft Entra Connectの料金
2025年10月現在、Microsoft Entra Connect自体は無料で利用できます。
ただし、同期の状態などを監視するための追加機能である Microsoft Entra Connect Health を利用する場合には、Microsoft Entra ID P1以上のライセンスが別途必要となる点に注意が必要です。
連携先となるMicrosoft Entra IDの各プランと料金は以下の通りです。
プラン | 価格 | 含まれる主なサブスクリプション |
|---|---|---|
Microsoft Entra ID Free | 無料 | Microsoft 365、Azureの各サブスクリプション |
Microsoft Entra ID P1 | $¥899/ユーザー/月 1か月間の無料トライアル | Microsoft 365 E3、Microsoft 365 Business Premium |
Microsoft Entra ID P2 | $¥1,349 /ユーザー/月 1か月間の無料トライアル | Microsoft 365 E5 |
契約しているMicrosoft 365のサブスクリプションによっては、スタンドアロンでのMicrosoft Entra IDの契約が不要な場合もあるため、サブスクリプションの内容を契約前に確認しましょう。
上記の内容は2025年10月時点の情報です。最新情報はMicrosoft Entra IDの公式料金表をご確認ください。
Microsoft Entra Connectの利用手順
このセクションでは、Microsoft Entra Connectを利用する手順をステップごとにご説明します。
ここでは、ウィザードに従って設定が可能なMicrosoft Entra Connect Syncというツールを使用します。
- ローカル管理者としてサインイン
まずは、Microsoft Entra Connectをインストールするサーバーでローカル管理者としてサインインしましょう。サインインしたサーバーが同期サーバーになります。
- Microsoft Entra Connect Syncのインストール
次に、Microsoft Entra Connect Syncをダウンロードし、インストールファイルを開きましょう。
Microsoft Entra Connect Syncのインストール 引用:Get started with Microsoft Entra Connect Sync by using express settings
- Microsoft Entra Connect Syncの設定
インストールウィザードに従って「Express Settings」を選択し、「Microsoft Entra IDに接続」で、ハイブリッドIDの管理者アカウントのユーザー名とパスワードを入力しましょう。
「AD DSに接続」では、エンタープライズの管理者アカウントのユーザー名とパスワードを入力します。
Microsoft Entra Connect Syncの設定 引用:Get started with Microsoft Entra Connect Sync by using express settings
- Microsoft Entra ConnectによるID同期の実行
最後に、「構成が完了したらすぐに同期プロセスを開始する」のチェックボックスをクリックし、「インストール」を選択しましょう。Microsoft Entra IDへすべてのユーザー、グループ、連絡先の同期が開始されます。
Microsoft Entra ConnectによるID同期の実行 引用:Get started with Microsoft Entra Connect Sync by using express settings
上記のステップで、オンプレミスのActive DirectoryとクラウドのMicrosoft Entra IDを同期させることが可能です。
このようにMicrosoft Entra Connect Syncを活用することで、数ステップで設定を完了することができます。
Microsoft Entra Connectの使い方のコツ
Microsoft Entra Connectをより効率的に運用するためには、いくつかのベストプラクティスを理解しておくことが重要です。このセクションでは、実務で役立つ3つの使い方のコツをご紹介します。
ステージングモードの活用
ステージングモードは、本番環境に影響を与えることなく、Microsoft Entra Connectの構成やサーバーの置換を安全に行うための仕組みです。ステージングモードで構成されたサーバーは、Active DirectoryとMicrosoft Entra IDからデータをインポートし、同期処理も実行しますが、エクスポートを行わない読み取り専用の状態で動作します。
この機能は、主に以下の2つのシナリオで効果を発揮します。
障害復旧
本番環境で稼働しているアクティブなサーバーとは別に、もう一台ステージングサーバーを準備しておきます。
アクティブサーバーに障害が発生した場合、ステージングサーバーをアクティブに切り替えることで、同期の停止時間を最小限に抑えることができます。
構成変更のテスト
同期ルールの変更や、Microsoft Entra Connect自体のバージョンアップなど、本番環境に適用する前に影響をテストしたい場合に活用します。ステージングサーバー上で変更を適用し、エクスポートされる予定の変更内容をプレビュー機能で確認します。
意図した通りの結果になることを確認した上で、本番サーバーに変更を適用することで、設定ミスによる事故を防ぎます。
同期ルールのカスタマイズ
Microsoft Entra Connectは、どの属性をどのように同期するかを定義する同期ルールに基づいて動作します。特定の要件を満たすために、このルールをカスタマイズする必要が生じる場合があります。
その際に、デフォルトで用意されている標準ルールを直接編集しないことが重要です。標準ルールを直接変更すると、将来のバージョンアップ時に設定が上書きされてしまったり、予期せぬ不具合が発生する原因となります。
パスワードライトバックの有効化
パスワードライトバックは、セルフサービスパスワードリセットをハイブリッド環境で実行するための機能です。この機能を有効にすると、利用者がクラウド上で自身のパスワードを変更した場合、新しいパスワードが即座にオンプレミスのActive Directoryにも書き戻されます。
これにより、利用者はオンプレミスとクラウドのパスワードを意識することなく、単一のパスワードで管理できるようになります。この機能は、Microsoft Entra Connectの構成ウィザードの「同期オプションのカスタマイズ」から有効化できます。
Microsoft Entra ConnectでハイブリッドIDを実現する際には、上記のようなベストプラクティスを取り入れ、効果的に活用しましょう。
Microsoft Entra Connectの活用シーン
Microsoft Entra Connectは、具体的なビジネス課題を解決するための基盤技術として、様々な場面での活用が期待されます。ここでは、代表的な3つの活用シーンをご紹介します。
Microsoft 365のシームレスな導入
長年にわたりオンプレミスのActive DirectoryでユーザーIDを管理してきた組織が、新たにMicrosoft 365(Exchange Online, Microsoft Teamsなど)を導入する際、利用者が既存のActive Directoryのユーザー名とパスワードをそのまま利用して、これらのクラウドサービスにサインインできるようにしたいと考えます。
ここでMicrosoft Entra Connectを活用することで、Active Directoryのユーザー情報をMicrosoft 365の認証基盤であるMicrosoft Entra IDに同期し、慣れ親しんだ認証情報でシームレスにクラウドサービスを利用開始できます。これにより、Microsoft 365導入時の混乱を最小限に抑え、スムーズな移行を支援します。
ハイブリッドクラウド環境の構築
業務アプリケーションのすべてをクラウドへ移行することは困難な場合が多く、オンプレミスの既存システムと、Azureなどのパブリッククラウドで開発したアプリケーションを併用するハイブリッドクラウドを構成することが一般的です。このような環境では、オンプレミスとクラウドでID管理が分断されがちですが、Microsoft Entra Connectを導入することで、共通のID基盤を構築できます。
例えば、Azure上で稼働するWebアプリケーションへのアクセス制御に、Microsoft Entra IDの条件付きアクセスポリシーを適用しつつ、認証自体はオンプレミスのActive Directoryで行うといった柔軟な構成が可能です。これにより、場所やデバイスを問わず、一貫したセキュリティポリシーのもとで、業務アプリケーションのアクセスを管理できるようになります。
企業の合併による管理対象の統合
企業の合併後のスムーズな業務連携のためには、従業員が互いの企業のリソースにアクセスしたり、共通のクラウドサービスを利用したりするための統合ID基盤が必要です。
Microsoft Entra Connectは、複数のActive Directoryフォレストから単一のMicrosoft EntraテナントへID情報を同期するマルチフォレストトポロジに対応しています。これにより、各社のActive Directoryはオンプレミスに残したまま、クラウド上で統合された一つのディレクトリを構築できます。これにより管理対象を統合し、スムーズに共同作業を開始することが可能になります。
Microsoft Entra Connectの注意点
Microsoft Entra Connectは有用なサービスですが、導入と運用にはいくつかの注意点があります。このセクションでは、特に注意すべき3つのポイントを解説します。
サーバーのセキュリティ
Microsoft Entra Connectサーバーは、オンプレミスActive Directoryのすべての情報を読み取る権限と、Microsoft Entra IDの情報を書き換える権限の両方を保持しています。そのため、このサーバーへのセキュリティ対策は、Microsoft Entra Connectを導入する上で最も注意するべき点といえます。
具体的な対策として、以下のような手段が推奨されます。
- サーバーへの管理者アクセスを、ごく一部の特権ID管理者に限定する。
- サーバーの管理には、通常の業務で使用するアカウントとは分離された、専用の管理アカウントを使用する。
- セキュアな管理端末からのみアクセスを許可する。
同期のパフォーマンス
同期のパフォーマンスは、Active Directory内のオブジェクト数だけでなく、グループのメンバー数やネストの深さ、属性変換ルールの複雑さなど、多くの要因に影響されます。特に、メンバー数が数万に及ぶ大規模な組織のメンバーシップが頻繁に変更されると、処理に長時間を要することがあります。したがって、導入前や運用中に同期のパフォーマンスに問題が発生した場合は、Active Directory側のデータクリーンアップやグループ構成の見直しが必要になることもあります。
サポートされない構成
Microsoftは、特定のネットワーク構成やActive Directoryの構成下でのMicrosoft Entra Connectの利用をサポートしていません。代表的なサポート対象外の構成には以下のようなものがあります。
- 分断された名前空間を持つフォレスト
- 名前にピリオドを含むNetBIOS
- ネットワークアドレス変換でのフォレスト間通信
導入を計画する際は、自社の環境がサポート対象外の構成に該当しないかを事前に確認することが重要です。
詳しくは、Microsoft Entra Connect公式ドキュメントをご確認ください。
まとめ
本記事では、Microsoft Entra Connectの概要、主な機能、導入手順、活用シーン、注意点について詳しく解説しました。
Microsoft Entra Connectは、オンプレミスのActive DirectoryとクラウドのMicrosoft Entra IDを統合し、ハイブリッドID環境を実現するためのサービスです。
このサービスを活用することで、シングルサインオンやID管理の効率化、セキュリティの強化を実現し、オンプレミスとクラウドのシームレスな連携を可能にします。一方で、サーバーのセキュリティや同期のパフォーマンスなど、運用上の注意点を理解し、適切な対策を講じることが重要です。
Microsoft Entra Connectを導入することで、クラウド移行やハイブリッド環境の構築をスムーズに進め、組織全体の生産性向上とセキュリティ強化を目指しましょう。
東京エレクトロンデバイスは、企業のAzure導入を支援しています。
お問い合わせはこちら
