前提条件ステップ 1: Active Directoryドメインユーザーを作成するステップ 2: ダウンロード Entra Connect Sync ステップ 3: Windows PowerShell スクリプトを実行するステップ 4: Entra Connect Sync をインストールする

AWS Managed Microsoft AD をに接続する Microsoft Entra Connect Sync

このチュートリアルでは、をインストールして AWS Managed Microsoft AD Microsoft Entra IDにMicrosoft Entra Connect Sync同期するために必要な手順について説明します。

このチュートリアルでは、以下の作業を行います。

AWS Managed Microsoft AD ドメインユーザーを作成します。
Entra Connect Sync をダウンロードします。
Windows PowerShell を使用してスクリプトを実行し、新しく作成したユーザーに適切なアクセス許可をプロビジョニングします。
Entra Connect Sync をインストールします。

前提条件

このチュートリアルを完了するに必要なものは以下のとおりです。

AWS Managed Microsoft AD。詳細については、「を作成する AWS Managed Microsoft AD」を参照してください。
Managed Microsoft AD に参加している Amazon EC2 Windows Server AWS インスタンス。詳細については、「Windows インスタンスにシームレスに接続する」を参照してください。
AWS Managed Microsoft AD を管理するために Active Directory Administration Tools がインストールされた EC2 Windowsサーバー。詳細については、「管理対象の Microsoft AD AWS 用アクティブディレクトリ管理ツールのインストール」を参照してください。

ステップ 1: Active Directoryドメインユーザーを作成する

このチュートリアルでは、 AWS Managed Microsoft AD とがインストールされた EC2 Windows Server インスタンスが既にあることを前提とActive DirectoryAdministration Toolsしています。詳細については、「管理対象の Microsoft AD AWS 用アクティブディレクトリ管理ツールのインストール」を参照してください。

Active Directory Administration Tools がインストールされているインスタンスに接続します。
AWS Managed Microsoft AD ドメインユーザーを作成します。このユーザーは Active Directory Directory Service (AD DS) Connector accountのになりますEntra Connect Sync。このプロセスの詳細な手順については、「」を参照してくださいAmazon EC2インスタンスを使用してユーザーを作成する。

ステップ 2: ダウンロード Entra Connect Sync

Managed Microsoft AD 管理者である EC2 AWS インスタンスにMicrosoftウェブサイトEntra Connect Syncからダウンロードします。

警告

この時点ではを開いたEntra Connect Syncり実行したりしないでください。次のステップでは、ステップ 1 で作成したドメインユーザーに必要なアクセス許可をプロビジョニングします。

ステップ 3: Windows PowerShell スクリプトを実行する

管理者PowerShellとしてを開き、次のスクリプトを実行します。スクリプトの実行中に、ステップ 1 で新しく作成したドメインユーザーの sAMAccountName を入力するように求められます。


$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}

表示を増やす

表示を減らす

ステップ 4: Entra Connect Sync をインストールする

スクリプトが完了したら、ダウンロードした Microsoft Entra Connect (以前はと呼ばれていましたAzure Active Directory Connect) 設定ファイルを実行できます。
前のステップの設定ファイルを実行すると、MicrosoftAzure Active Directory Connectウィンドウが開きます。Express Settings ウィンドウで、のカスタマイズを選択します。
必要なコンポーネントのインストールウィンドウで、既存のサービスアカウントを使用するチェックボックスを選択します。SERVICE ACCOUNT NAME と SERVICE ACCOUNT PASSWORD で、ステップ 1 で作成したユーザーAD DS Connector accountの名前とパスワードを入力します。例えば、AD DS Connector account名前がの場合entra、アカウント名はになりますcorp\entra。次に、インストール を選択します。
ユーザーサインインウィンドウで、次のいずれかのオプションを選択します。
1. パススルー認証 - このオプションを使用すると、ユーザー名とパスワードActive Directoryを使用してにサインインできます。
2. 設定しないでください - これにより、 Microsoft Entra (旧称 Azure Active Directory (Azure AD)) またはでフェデレーティッドサインインを使用できますOffice 365。
  
  [次へ] を選択します。
Connect to Azure ウィンドウで、のグローバル管理者のユーザー名とパスワードを入力しEntra ID、次へを選択します。
ディレクトリの接続ウィンドウで、ディレクトリタイプ Active Directoryを選択します。FOREST 用の AWS Managed Microsoft AD のフォレストを選択します。次に、ディレクトリの追加 を選択します。
アカウントオプションをリクエストするポップアップボックスが表示されます。「既存の AD アカウントを使用する」を選択します。ステップ 1 で作成したAD DS Connector accountユーザー名とパスワードを入力し、OK を選択します。[次へ] を選択します。
Azure AD サインインウィンドウで、検証済みバニティドメインがに追加されていない場合にのみ、すべての UPN サフィックスを検証済みドメインに一致させることなく続行を選択しますEntra ID。[次へ] を選択します。
ドメイン/OU フィルタリングウィンドウで、ニーズに合ったオプションを選択します。詳細については、 MicrosoftドキュメントのEntra Connect Sync「: フィルタリングの設定」を参照してください。[次へ] を選択します。
ユーザーの識別、フィルタリング、およびオプションの機能ウィンドウで、デフォルト値のままにして、次へを選択します。
Configure ウィンドウで、設定を確認し、Configure を選択します。のインストールEntra Connect Syncが確定し、ユーザーはとの同期を開始しますMicrosoft Entra ID。