Microsoft Entra Connect Sync 完全ガイド｜ハイブリッド ID 同期の設計・実装・運用

Microsoft Entra Connect (旧 Azure AD Connect) は、オンプレ Active Directory Domain Services (AD DS) と Microsoft Entra ID (クラウド) を同期するハイブリッド ID 同期ツールです。 企業の Microsoft 365 / Azure 導入では事実上必須のコンポーネントで、設計・実装・運用のすべての段階で深い理解が求められます。 本記事では、Entra Connect Sync と新世代の Cloud Sync の選定、認証方式 (PHS / PTA / Federated) の使い分け、Seamless SSO・Password Writeback・トラブルシューティングを網羅的に整理します。

Entra Connect の基本動作

Entra Connect は、オンプレ AD DS のユーザー・グループ・連絡先・デバイス情報を Entra ID にレプリケート (一方向 / 双方向) する仕組みです。

• 同期対象: User・Group・Contact・Device オブジェクト
• 同期方向: AD → Entra ID (Outbound)、Entra ID → AD (Writeback、限定)
• 同期間隔: Delta Sync 30 分間隔 (Cloud Sync は約 2 分)
• 同期エンジン: ADSync SQL Server LocalDB (50,000 オブジェクトまで) または SQL Server (大規模)

Entra Connect Sync vs Cloud Sync

新規プロジェクトは Cloud Sync 推奨、複雑な同期要件 (PTA・Group Writeback・カスタム属性マッピング) があるエンタープライズは Entra Connect Sync が依然有効です。

認証方式の選定

2026 年現在の Microsoft 推奨は PHS で、特殊要件 (カスタム MFA・Smart Card 認証) がない限り PHS 一択。 AD FS からの移行は段階的に進められており、新規 Federated 構成は非推奨です。

Seamless SSO

Seamless SSO (Single Sign-on) は、ドメイン参加デバイスから企業ネットワーク内アクセス時にユーザーがパスワード入力なしで自動サインインする機能。

• Entra Connect の設定で『シングルサインオンを有効化』を Enable にすると有効化
• Active Directory 上に AZUREADSSOACC コンピュータアカウントが作成される
• ブラウザは Kerberos チケットを Entra ID に送信、Entra ID は Kerberos チケットで認証完結
• Domain Joined Windows + 企業ネットワーク内 (オフィス・VPN) で動作
• Hybrid Microsoft Entra Joined / Microsoft Entra Joined では Primary Refresh Token (PRT) が代替手段

Writeback 機能

Password Writeback

ユーザーが Entra ID 側 (SSPR・Identity Protection の Risk Remediation・Conditional Access の Force Password Change) でパスワードを変更した際、その変更をオンプレ AD にレプリケートする機能。 Entra ID Premium P1 以上のライセンスが必要で、Entra Connect の Password Writeback オプションを有効化 + オンプレ AD のサービスアカウントに必要な権限を付与します。

その他の Writeback

• Group Writeback: Microsoft 365 Group をオンプレ AD に書き戻し
• Device Writeback: Hybrid Entra Joined デバイス情報の同期
• Object Writeback: Entra ID で作成したユーザーをオンプレ AD に書き戻し (限定機能)

同期サイクル

Entra Connect Sync は 2 種類の同期サイクルを実行します。

• Delta Sync: 差分同期、デフォルト 30 分間隔、変更分のみ送信
• Initial Sync (Full Sync): フル同期、初期セットアップ時・スキーマ変更時のみ実行

Delta Sync の間隔は PowerShell コマンドで変更可能ですが、30 分未満には変更不可 (Microsoft の制約)。 即時同期が必要な場合は Start-ADSyncSyncCycle -PolicyType Delta コマンドを手動実行。

Cloud Sync は約 2 分間隔で自動同期、即時性が大幅に改善。大量変更時の同期完了時間も短縮されます。

同期フィルタリング

全 AD オブジェクトを同期する必要はなく、フィルタリングで対象を絞ります。

• Domain-based filtering: 特定ドメインのみ同期
• OU-based filtering: 特定 OU のみ同期 (例: Production OU のみ、Service Account OU 除外)
• Group-based filtering: 特定グループメンバーのみ同期
• Attribute-based filtering: カスタム属性 (例: extensionAttribute1 == "Sync") でフィルタ

トラブルシューティング

調査手順

1. Synchronization Service Manager (Entra Connect Sync の管理 GUI) で Connectors の Sync Operations 履歴を確認
2. PowerShell で Get-ADSyncToolsRunHistory・Get-ADSyncObjectsErrors を実行、詳細エラー取得
3. Entra Connect Health (Azure Portal) でレポート確認、Microsoft からの推奨アクション参照
4. Entra ID 管理センターの『Microsoft Entra Connect』→『接続状態』で同期エラー状況

代表的エラー

• 重複属性: proxyAddresses が他オブジェクトと衝突
• 無効文字: UPN に空白・特殊文字
• スキーマ拡張漏れ: Exchange / Lync スキーマ拡張未実施
• サービスアカウント権限不足: Replicate Directory Changes 権限など

Microsoft の IdFix ツールで AD オブジェクトの事前検証を実行することが、エラー予防のベストプラクティスです。

運用ベストプラクティス

1. 本番環境は Staging Mode (Active-Passive) で冗長化、Cloud Sync は複数エージェントで自動冗長化
2. 同期サーバーは Domain Member (但し DC 兼用不可、専用 Member Server 推奨)
3. 定期的に Entra Connect の最新版にアップグレード (古いバージョンは Microsoft サポート対象外に)
4. Entra Connect Health (無料) で監視ダッシュボードを構築
5. 変更前に必ず Backup (SQL Server DB バックアップ)
6. 同期エラーアラートを設定 (運用チームに即時通知)
7. Service Account のパスワード定期ローテーション (Microsoft 推奨は 1 年)

関連認定試験

• SC-300 (Identity and Access Administrator Associate): Entra Connect / Cloud Sync の構成・運用が深く問われる。
• MS-102 (Microsoft 365 Administrator Expert): ドメイン 2 (Identity and Access)。
• AZ-800 / AZ-801 (Windows Server Hybrid Administrator): ハイブリッド ID 全般。
• SC-100 (Cybersecurity Architect Expert): ゼロトラスト戦略の Identity 柱。

よくある質問

本記事の技術情報は Microsoft Entra Hybrid Identity Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Entra は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。