この連載の「はじめてのIntune」シリーズでは、「Windows Server Update Services（WSUS）」の代替ソリューションとしてのMicrosoft Intune（以下、Intune）を評価しています。前回（vol.96）から、オンプレミスのActive Directory（AD）ドメイン参加デバイス（ADクライアント）をIntuneで管理できるようにする環境を構築中です。

Microsoft Entra Connectをインストールして同期を開始する

　前回は、Entraテナントに接続するオンプレミスのActive Directoryのドメイン名（UPNサフィックス）と、Entraテナントのカスタムドメイン名を一致するように準備しました（図1）。今回は、その続きです。

図1　ディレクトリ同期のための、Active Directoryドメイン名、代替UPNサフィックス、Entraテナントのドメイン名、カスタムドメイン名の関係（実際には、mylab.say-tech.co.jpには別のDNSドメイン名を使用）

　オンプレミスのActive DirectoryとEntraテナント間の接続には、Microsoft Onlineサービスでプロビジョニングが調整される“新しい”「クラウド同期」と、オンプレミスのサーバーに「Microsoft Entra Connect（旧称、Azure AD Connect）」をインストールする「Connect同期」の2つの方法が用意されています。Entraハイブリッド参加のためには、デバイスオブジェクトの同期に対応した「Connect同期」を使用する必要があります。

Microsoft Entra Connect とクラウド同期の比較｜Microsoft Entra（Microsoft Learn）

　以下の前提条件で説明されているように、Microsoft Entra ConnectはWindows Server 2016以降（Windows Server 2022以降を推奨）を実行するActive Directoryドメインのメンバーサーバーにインストールする必要があります。

Microsoft Entra Connect の前提条件｜Microsoft Entra（Microsoft Learn）

　検証目的であれば、ドメインコントローラーにインストールして同居させることも可能ですが、運用面、トラブルシューティング、セキュリティ面を考慮して、ドメインコントローラーとは別のサーバーにインストールすることをお勧めします。今回は検証目的なので、ドメインコントローラーにインストールしたが、Microsoft Entra Connectのインストールの前提条件（TLS 1.2の強制）を満たすため、あるいは同期や構成のトラブル解決目的でサーバーの再起動が何度か必要でした。運用環境ではドメインコントローラーを簡単に再起動することはできないでしょう。

　Microsoft Entra Connectをインストールするサーバーにドメイン管理者としてログオンし、Microsoft Entra管理センター（https://entra.microsoft.com/）にサインインします。ポータルメニュー「ID > ハイブリッド管理 > Microsoft Entra Connect」を開き、「Connect同期」を選択し、「Microsoft Entra Connectのダウンロード」リンクをクリックして、「AzureADConnect.msi」をダウンロードし、実行します（画面1）。^*1*2

*1　インストール中のエラーを回避するため、インストーラーを実行する前にブラウジング環境を調整しておくことをお勧めします。「サーバーマネージャー」の「ローカルサーバー」を開き、「IEセキュリティ強化の構成」は無効（Administratorsグループ:オフ）にしてください。
*2　Microsoft Entra Connectバージョン2.3.20.0（2024年7月リリース）以降では、Microsoft Entra Connectによる接続にTLS 1.2が必須となっています。TLS 1.2の使用を強制するには、以下のドキュメントの「TLS 1.2 を有効にする PowerShell スクリプト」を実行して、OSを再起動します。この手順を行わない場合、インストーラー実行中に「TLSの正しくないバージョン」エラーが表示されます。
Microsoft Entra Connect に対する TLS 1.2 の強制｜Microsoft Entra（Microsoft Learn）


画面1　Microsoft Entra Connectのインストーラー（AzureADConnect.msi）をダウンロードして実行する

　「Microsoft Entra Connect同期」ウィザードが開始したら、「Microsoft Entra Connect Syncへようこそ」のページで「続行」ボタンをクリックします（画面2）。

画面2　「ようこそ」のページで「続行」ボタンをクリックする

　「簡単設定」のページで「簡単設定を行う」ボタンをクリックします（画面3）。

画面3　「簡単設定を行う」をクリックする

　「Microsoft Entr IDに接続する」のページでは、Entraテナントのグローバル管理者の資格情報を入力し、「次へ」ボタンをクリックしてサインインします（画面4）。

画面4　Entraテナントのグローバル管理者の資格情報を使用してサインインする

　「AD DSに接続」のページで、Active Directoryのドメイン（エンタープライズ）管理者（Enterprise Adminsのメンバー）の資格情報を入力し、「次へ」ボタンをクリックします（画面5）。

画面5　Active Directoryのドメイン管理者の資格情報を入力する

　「Microsoft Entraサインインの構成」のページでは、前回、Entraテナントに追加したカスタムドメインが“確認済み”になっていることを確認し、「一部のUPNサフィックスが確認済みドメインに一致していなくても続行する」をチェックして、「次へ」ボタンをクリックする（画面6）

画面6　Entraテナントに追加したカスタムドメインが“確認済み”であることを確認し、「一部のUPNサフィックスが確認済みドメインに一致していなくても続行する」をチェックして続行する

　「構成の準備完了」のページで「構成が完了したら、同期プロセスを開始する」がチェックされている（既定）ことを確認し、「インストール」ボタンをクリックします（画面7）。

画面7　「構成が完了したら、同期プロセスを開始する」がチェックされていることを確認して、インストールを行う

　「構成が完了しました」のページが表示されたら、「終了」ボタンをクリックします（画面8）。

画面8　「終了」ボタンをクリックして、インストールウィザードを終了する。推奨されるActive Directoryごみ箱の有効化方法については、以下を参照してください。
Active Directory のごみ箱を有効にして使用する｜Windows Server（Microsoft Learn）

同期状態を確認し、ユーザーにライセンスを割り当てる

　Microsoft Entra管理センターの「ID > ハイブリッド管理 > Microsoft Entra Connect > Connect同期」を開き、オンプレミスのActive Directoryドメインのユーザーやグループ（ビルトインユーザーやビルトイングループを除く）がEntraテナントに同期されていることを確認します（画面9）。

画面9　ユーザーやグループがEntraテナントに同期されたことを確認する（Active Directoryのドメインユーザー《aduser##》とEntra IDユーザー《entrauser##》を視覚的に区別できるように、Entra管理センターでアイコン《写真》を変更してある）

　同期されたユーザーやグループは、Microsoft 365管理センター（https://admin.microsoft.com/）やMicrosoft Intune管理センター（https://intune.microsoft.com/）でも確認することがでます。Microsoft 365管理センターでは、Intuneを利用するユーザーのプロパティを開き、「ライセンスとアプリ」タブでIntuneの管理に必要なライセンスを割り当てます。Intuneの管理に必要なライセンスについては、以下の回で確認してください。

vol.90　WSUSの代替としてのIntune＋αのライセンス｜はじめてのIntune（2）

画面10　Microsoft 365管理センターを使用して、Intuneによる管理に必要なライセンスをユーザーに割り当てる

　ここまでの段階では、Entraハイブリッド参加の環境は整っていません。次回は、Entraハイブリッド参加をサポートするように、Microsoft Entra Connectの構成を行います。

はじめてのIntune（1）｜...｜（7）前編｜（8）中編｜（9）後編