Azure AD Connect Health によるハイブリッド ID の保護

Azure AD Connect Health によるハイブリッド ID の保護

2024 年 6 月 1 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Entra Connect Health (旧称 Azure AD Connect Health) を使用してハイブリッド ID を監視および保護する方法をガイドすることを目的としています。 Azure AD Connect Health は、Azure AD Connect、Active Directory Federation Services (AD FS)、Active Directory ドメイン コントローラーなどのオンプレミス ID インフラストラクチャの統合ビューを提供する監視サービスで、ID の同期と認証が確実かつ安全に機能することを保証します [1]。

はじめに

多くの組織にとって、ID 管理は複雑な課題であり、特にオンプレミスの Active Directory とクラウドの Microsoft Entra ID の両方に ID が存在するハイブリッド環境では顕著です。これらの ID の同期と認証は、リソースやサービスにアクセスするために重要です。同期の失敗やパフォーマンスの問題は、サービスの中断、セキュリティの問題、ユーザーの不満につながる可能性があります。 Azure AD Connect Health は、ハイブリッド ID の問題をプロアクティブに特定して解決し、環境の健全性とセキュリティを確保できる監視およびレポート ツールを提供します [2]。

この実践的なガイドでは、Azure AD Connect Health エージェントのインストール、監視の構成、同期レポートの分析、一般的なエラーの特定とトラブルシューティング、健全で安全なハイブリッド ID 環境を維持するためのベスト プラクティスについて説明します。読者が Azure AD Connect Health を効果的に実装して管理し、ハイブリッド ID を保護し、ビジネスの継続性を確保できるように、段階的な手順、インターフェイスの使用例、検証方法が提供されます。

Azure AD Connect Health が重要なのはなぜですか?

  • プロアクティブな監視: 同期、パフォーマンス、可用性の問題がユーザーに影響を与える前に、アラートと通知を提供します。
  • 一元的な可視性: ハイブリッド ID インフラストラクチャのすべてのコンポーネントの健全性を監視するための単一画面を提供します。
  • 詳細なレポート: 同期エラー、認証アクティビティ、AD FS の使用状況に関するレポートを生成し、監査とコンプライアンスを容易にします。
  • 簡素化されたトラブルシューティング: 同期と認証の問題を迅速に診断して解決し、ダウンタイムを削減します。
  • セキュリティの強化: セキュリティ リスクを示す可能性のある構成ミスや疑わしい使用パターンを特定します。

前提条件

Azure AD Connect Health を使用するには、次のものが必要です。

  1. ライセンス: Microsoft Entra ID Free、Premium P1 または Premium P2 ライセンス。 Azure AD Connect Health は、こ​​れらすべてのライセンスに含まれています [3]。
  2. 管理アクセス: Microsoft の「グローバル管理者」の役割を持つアカウント ID を入力してサービスを設定します。
  3. Azure AD Connect: オンプレミスの Active Directory と Microsoft Entra ID の間で ID を同期するには、Azure AD Connect のインスタンスをインストールして構成する必要があります。
  4. ネットワーク接続: Azure AD Connect サーバーおよび/または AD FS サーバーには、Azure AD Connect Health エンドポイント (TCP ポート 443) への送信接続が必要です。

ステップバイステップ: Azure AD Connect Health の構成と使用

エージェントのインストールと ID 同期の監視について説明します。

1. Microsoft Portal へのアクセス 管理センターに入ります

  1. ブラウザを開いて「https://entra.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 左側のナビゲーション ペインで、保護 > Azure AD Connect を選択します。

2. Azure AD Connect Health エージェントのインストール

エージェントは、Azure AD Connect のインストール中に自動的にインストールされます。ただし、再インストールする必要がある場合、または AD FS サーバーまたはドメイン コントローラーにインストールする必要がある場合は、次の手順に従います。

  1. Azure AD Connect ページで、Azure AD Connect Health をクリックします。
  2. Azure AD Connect Health の左側のナビゲーション ウィンドウで、接続同期 を選択します。

  3. エージェントがインストールされていないか、古い場合は、警告が表示されます。 「インストール」をクリックしますr エージェント または エージェントをダウンロード

  4. Azure AD Connect がインストールされているサーバー (または AD FS/ドメイン コントローラー サーバー) でエージェント インストーラー (「AdHealthAgentSetup.exe」) を実行します。

  5. ウィザードの指示に従います。インストール中に、エージェントを登録するために Microsoft Entra ID の「グローバル管理者」アカウントを使用してログインするように求められます。

  6. インストールが正常に完了すると、エージェントはデータの収集と Azure AD Connect Health サービスへの送信を開始します。

3. ID 同期のモニタリング

Azure AD Connect Health ダッシュボードには、同期ステータスの詳細なビューが表示されます。

  1. Azure AD Connect Health ダッシュボードで、接続同期 を選択します。
  2. 同期サービスのリストが表示されます。同期サービス (通常は Azure AD Connect サーバーの名前) をクリックします。
  3. 概要パネルに以下が表示されます。
    • 同期ステータス: 同期が正しく機能しているかどうかを示します。
    • 同期エラー: 解決する必要がある同期エラーのグラフとリスト。
    • 同期遅延: 変更が同期されるまでにかかる時間。
    • エクスポートされた変更: Microsoft Entra ID にエクスポートされたオブジェクトの数。

4. 同期エラーの分析

Azure AD Connect Health は、同期エラーの特定と診断に役立ちます。

  1. 同期サービスの概要で、[同期エラー] セクションをクリックします。
  2. タイプ別に分類されたエラーのリストが表示されます (例: 「AttributeConflict」、「DuplicateValue」)。
  3. 特定のエラーをクリックすると、次のような詳細が表示されます。
    • 影響を受けるオブジェクト: エラーの原因となっているオブジェクトのリスト。
    • エラーの詳細: エラーの説明と推奨される解決策。
    • 競合する属性: 属性の競合の場合、どの属性が問題の原因となっているか。

5. AD FS の監視 (該当する場合)

フェデレーションに AD FS を使用する場合、Azure AD Connect Health は AD FS サーバーの正常性とパフォーマンスを監視できます。

  1. Azure AD Connect Health ダッシュボードで、フェデレーション サービス を選択します。
  2. 以下を含む AD FS 環境の概要が表示されます。
    • サーバーのステータス: AD FS サーバーと Web アプリケーション プロキシ サーバーの正常性。
    • 認証エラー: 失敗した認証試行についてレポートします。
    • パフォーマンス: 認証リクエストのパフォーマンス メトリック。

6. ドメイン コントローラーの監視 (該当する場合)

Azure AD Connect Health は、オンプレミスのドメイン コントローラーの正常性を監視することもできます。

  1. Azure AD Connect Health ダッシュボードで、Active Directory ドメイン サービス を選択します。
  2. 以下を含むドメイン コントローラーの概要が表示されます。
    • サーバー ステータス: ドメイン コントローラーの正常性。
    • アラート: レプリケーション、パフォーマンス、またはその他の問題に関する警告。

検証とテスト

Azure AD Connect Health の実装を検証することは、正しく監視し、正確な情報を提供していることを確認するために重要です。

1. エージェントのステータスの確認

  1. Azure AD Connect Health ポータルで、関連するすべてのサーバー (Azure AD Connect、AD FS、ドメイン コントローラー) のエージェントの状態が「アクティブ」であることを確認します。

2. 同期エラーのシミュレーション

  1. テスト環境で、同期競合を引き起こす可能性のある属性を持つユーザーをローカル Active Directory に作成します (例: Microsoft Entra ID の既存ユーザーと重複する「proxyAddresses」)。
  2. Azure AD Connect 同期サイクルを強制します。 ```パワーシェル インポートモジュール ADSync Start-ADSyncSyncCycle -PolicyType Delta 「」
  3. 数分待って、Azure AD Connect Health ダッシュボードをチェックして、同期エラーが検出および報告されたかどうかを確認します。

3. アラートと通知の確認

  1. Azure AD Connect Health で重要なアラートに対して電子メール通知が構成されていることを確認します。
  2. 受信箱をチェックして、シミュレートされた同期エラーに関するアラートを受信したかどうかを確認します。

セキュリティのヒントとベスト プラクティス

  • 包括的なインストール: 関連するすべてのサーバー (Azure AD Connect、AD FS、ドメイン コントローラー) に Azure AD Connect Health エージェントをインストールして、インフラストラクチャの全体像を取得します。アイデンティティ構造。
  • アラート構成: 重要な同期、パフォーマンス、および可用性イベントのアラートを構成して、問題について事前に通知されるようにします。
  • 定期的なエラーレビュー: 同期エラーを定期的に監視して解決し、ID データの整合性を維持し、アクセスの問題を防ぎます。
  • Azure AD Connect メンテナンス: 最新の機能とセキュリティ修正を確実に適用できるように、Azure AD Connect ソフトウェアを最新の状態に保ちます。
  • バックアップと回復: Azure AD Connect サーバーとオンプレミスの Active Directory データベースのバックアップと回復の計画を立てます。
  • 最小特権の原則: Azure AD Connect サービス アカウントと Connect Health エージェントによって使用されるアカウントに、必要なアクセス許可のみが付与されていることを確認します。
  • サーバー セキュリティ: Azure AD Connect サーバーと AD FS サーバーは ID インフラストラクチャの重要なコンポーネントであるため、ベスト セキュリティ プラクティス (パッチ適用、ウイルス対策、ファイアウォールなど) を使用して保護します。

一般的なトラブルシューティング

  • エージェントが接続しません: サーバーから Azure AD Connect Health エンドポイントへのネットワーク接続を確認してください。ファイアウォールがポート 443 での送信トラフィックを許可していることを確認します。サーバー上のイベント ログでエージェント関連のエラーがないか確認してください。
  • ダッシュボード上の古いデータ: エージェント データをサービスに同期する際に遅延が発生する可能性があります。エージェントがサーバー上で実行されていることを確認します。必要に応じてエージェント サービスを再起動します。
  • 永続的な同期エラー: Azure AD Connect Health ダッシュボードでエラーの詳細を確認します。 Azure AD Connect トラブルシューティング ツール (例: 「Synchronization Service Manager」) を使用して、根本原因を調査します。属性の競合は一般的であり、多くの場合、オンプレミスの Active Directory でのデータ修正が必要になります。
  • 誤ったアラート: アラートの設定としきい値を確認します。無関係なアラートが多すぎる場合は、調整してください。
  • AD FS のパフォーマンスの問題: Azure AD Connect Health を使用して、AD FS のパフォーマンス メトリックを監視し、ボトルネックを特定します。 AD FS サーバーのイベント ログを確認します。

結論

Azure AD Connect Health は、ハイブリッド ID 環境を運用している組織にとって不可欠なツールです。プロアクティブな監視、一元的な可視性、トラブルシューティング機能を提供することで、IT チームとセキュリティ チームが ID インフラストラクチャの健全性、パフォーマンス、セキュリティを維持できるようになります。 Azure AD Connect Health の効果的な実装と管理により、ID の同期と認証が確実に機能し、中断が最小限に抑えられ、セキュリティの脅威から保護されます。この実践的なガイドにより、セキュリティ専門家はハイブリッド ID の保護を強化し、組織のリソースへの継続的かつ安全なアクセスを確保できます。

参考文献:

[1] Microsoft Learn。 Microsoft Entra Connect Health とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] Microsoft Learn。 Microsoft Entra Connect Health と同期を使用。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] Microsoft Learn。 Microsoft Entra Connect Health のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements