Microsoft Entra Connect（Azure AD Connect）によるハイブリッドID管理の基礎知識

オンプレミスのActive Directory（AD）を使っている企業がMicrosoft 365を導入する場合、ADのユーザー情報をEntra ID（旧Azure AD）に同期する必要があります。この同期を担うのがMicrosoft Entra Connect（旧Azure AD Connect）です。

Entra Connectの役割

Entra Connectは、オンプレミスADのユーザー、グループ、パスワード情報をEntra IDに自動同期するツールです。同期により、社員はオンプレミスADと同じID/パスワードでMicrosoft 365にサインインできます。

3つの認証方式

パスワードハッシュ同期（PHS）

ADのパスワードハッシュをEntra IDに同期し、クラウド側で認証を行う方式。最もシンプルで推奨される構成。オンプレミスADがダウンしてもM365への認証は継続可能。

パススルー認証（PTA）

認証要求をオンプレミスADに中継し、AD側でパスワード検証を行う方式。パスワードハッシュがクラウドに保存されないため、セキュリティポリシーでクラウドへのパスワード保存が禁止されている場合に選択。ただし、オンプレミスADがダウンするとM365にもサインインできなくなる。

フェデレーション（AD FS）

AD FSサーバーを経由して認証を行う方式。最も複雑だが、高度な認証ルール（クレームルール）が設定可能。近年はPHS + 条件付きアクセスでAD FSと同等の制御が可能になったため、新規導入は減少傾向。

M&A後のハイブリッド環境

M&A後に買収先のオンプレミスADとEntra IDを統合する場合、Entra Connectの設計が重要になります。親会社と買収先で異なるADフォレストがある場合、マルチフォレスト同期の構成が必要です。

Entra Connect Cloud Sync

Entra Connectの後継としてEntra Connect Cloud Sync（旧Cloud Provisioning）も提供されています。軽量エージェント型でオンプレミスサーバーの負荷が少なく、マルチフォレスト環境にも対応しやすい設計です。新規導入ではCloud Syncを優先的に検討してください。

まとめ

ハイブリッドID管理の第一選択は「パスワードハッシュ同期（PHS）＋条件付きアクセス」です。新規構成ではEntra Connect Cloud Syncの採用を検討してください。

情シス365では、Entra Connectの設計・構築・移行を支援しています。お気軽にご相談ください。