翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Managed Microsoft AD を に接続する Microsoft Entra Connect Sync
このチュートリアルでは、 をインストールして AWS Managed Microsoft AD Microsoft Entra ID
このチュートリアルでは、以下の作業を行います。
-
AWS Managed Microsoft AD ドメインユーザーを作成します。
-
Entra Connect Sync をダウンロードします。
-
Windows PowerShell を使用してスクリプトを実行し、新しく作成したユーザーに適切なアクセス許可をプロビジョニングします。
-
Entra Connect Sync をインストールします。
前提条件
このチュートリアルを完了するに必要なものは以下のとおりです。
-
AWS Managed Microsoft AD。詳細については、「を作成する AWS Managed Microsoft AD」を参照してください。
-
Managed Microsoft AD に参加している Amazon EC2 Windows Server AWS インスタンス。詳細については、「Windows インスタンスにシームレスに接続する」を参照してください。
-
AWS Managed Microsoft AD を管理するために Active Directory Administration Tools がインストールされた EC2 Windowsサーバー。詳細については、「管理対象の Microsoft AD AWS 用アクティブディレクトリ管理ツールのインストール」を参照してください。
ステップ 1: Active Directoryドメインユーザーを作成する
このチュートリアルでは、 AWS Managed Microsoft AD と がインストールされた EC2 Windows Server インスタンスが既にあることを前提とActive DirectoryAdministration Toolsしています。詳細については、「管理対象の Microsoft AD AWS 用アクティブディレクトリ管理ツールのインストール」を参照してください。
-
Active Directory Administration Tools がインストールされているインスタンスに接続します。
-
AWS Managed Microsoft AD ドメインユーザーを作成します。このユーザーは Active Directory Directory Service (AD DS) Connector accountの になりますEntra Connect Sync。このプロセスの詳細な手順については、「」を参照してくださいAmazon EC2インスタンスを使用してユーザーを作成する。
ステップ 2: ダウンロード Entra Connect Sync
-
Managed Microsoft AD 管理者である EC2 AWS インスタンスにMicrosoftウェブサイト
Entra Connect Syncからダウンロードします。
警告
この時点では を開いたEntra Connect Syncり実行したりしないでください。次のステップでは、ステップ 1 で作成したドメインユーザーに必要なアクセス許可をプロビジョニングします。
ステップ 3: Windows PowerShell スクリプトを実行する
-
管理者PowerShellとして
を開き、次のスクリプトを実行します。スクリプトの実行中に、ステップ 1 で新しく作成したドメインユーザーの sAMAccountName を入力するように求められます。
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" try { # Attempt to import the module Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..." Import-Module $modulePath -ErrorAction Stop Write-Host -ForegroundColor Green "Success!" } catch { # Display the exception message Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)" } Function Set-EntraConnectSvcPerms { [CmdletBinding()] Param ( [String]$ServiceAccountName ) #Requires -Modules 'ActiveDirectory' -RunAsAdministrator Try { $Domain = Get-ADDomain -ErrorAction Stop } Catch [System.Exception] { Write-Output "Failed to get AD domain information $_" } $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName' $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName' Try { $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName' } Catch [System.Exception] { Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_" } Try { $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName' } Catch [System.Exception] { Write-Output "Failed to get service account DN $_" } Foreach ($OU in $OUs) { try { Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU" Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU" } catch { Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_" } } }
ステップ 4: Entra Connect Sync をインストールする
-
スクリプトが完了したら、ダウンロードした Microsoft Entra Connect (以前は と呼ばれていましたAzure Active Directory Connect) 設定ファイルを実行できます。
-
前のステップの設定ファイルを実行すると、MicrosoftAzure Active Directory Connectウィンドウが開きます。Express Settings ウィンドウで、 のカスタマイズを選択します。
-
必要なコンポーネントのインストールウィンドウで、既存のサービスアカウントを使用するチェックボックスを選択します。SERVICE ACCOUNT NAME と SERVICE ACCOUNT PASSWORD で、ステップ 1 で作成したユーザーAD DS Connector accountの名前とパスワードを入力します。例えば、AD DS Connector account名前が の場合
entra
、アカウント名は になりますcorp\entra
。次に、インストール を選択します。 -
ユーザーサインインウィンドウで、次のいずれかのオプションを選択します。
-
パススルー認証 -
このオプションを使用すると、ユーザー名とパスワードActive Directoryを使用して にサインインできます。 -
設定しないでください - これにより、 Microsoft Entra (旧称 Azure Active Directory (Azure AD)) または でフェデレーティッドサインインを使用できますOffice 365。
[次へ] を選択します。
-
-
Connect to Azure ウィンドウで、 のグローバル管理者
のユーザー名とパスワードを入力しEntra ID、次へ を選択します。 -
ディレクトリの接続ウィンドウで、ディレクトリタイプ Active Directoryを選択します。FOREST 用の AWS Managed Microsoft AD のフォレストを選択します。次に、ディレクトリの追加 を選択します。
-
アカウントオプションをリクエストするポップアップボックスが表示されます。「既存の AD アカウントを使用する」を選択します。ステップ 1 で作成したAD DS Connector accountユーザー名とパスワードを入力し、OK を選択します。[次へ] を選択します。
-
Azure AD サインインウィンドウで、検証済みバニティドメインが に追加されていない場合にのみ、すべての UPN サフィックスを検証済みドメイン に一致させることなく続行を選択しますEntra ID。[次へ] を選択します。
-
ドメイン/OU フィルタリングウィンドウで、ニーズに合ったオプションを選択します。詳細については、 MicrosoftドキュメントのEntra Connect Sync「: フィルタリングの設定
」を参照してください。[次へ] を選択します。 -
ユーザーの識別、フィルタリング、およびオプションの機能ウィンドウで、デフォルト値のままにして、次へ を選択します。
-
Configure ウィンドウで、設定を確認し、Configure を選択します。のインストールEntra Connect Syncが確定し、ユーザーは との同期を開始しますMicrosoft Entra ID。