コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=directory-service-AD-to-AzureAD

Microsoft Entra ID への移行

ユーザーとユーザーグループを Sophos Central と同期する方法を変更できます。ディレクトリソースを Active Directory (AD) から Microsoft Entra ID に変更できます。

ディレクトリソースを変更する前に、Microsoft Entra ID では、AD とは異なる情報が同期されることを理解する必要があります。詳細は、ディレクトリサービスを参照してください。

ドメイン内のユーザーおよびユーザーグループのディレクトリソースとして、AD または Microsoft Entra ID のいずれかを使用できます。

要件

ディレクトリソースを変更する前に、次の環境が必要です。

  • ドメインの AD ソース。このソースは、ソフォスが指定する要件に一致する必要があります。詳細は、Active Directory との同期の設定を参照してください。
  • 同じドメインの Microsoft Entra ID ソース。このソースは、ソフォスが指定する要件に一致する必要があります。詳細は、Microsoft Entra ID との同期を設定するを参照してください。

推奨事項

ディレクトリソースを変更する前に、次の手順を実行することを推奨します。

  • ディレクトリサービスの制限事項を確認します。詳細は、制限を参照してください。

  • ユーザーがディレクトリソース内で一致することを確認します。

    これは、AD と同期されたユーザーとメールボックスのうち、Microsoft Entra ID ソースにないものは削除されるためです。削除されるのは、AD から Microsoft Entra ID に移行するドメイン内の一致しないユーザーのみです。他のすべてのユーザーは維持されます。

  • 必要に応じて Azure アプリケーションを設定します。詳細は、Azure アプリケーションの設定を参照してください。

制限

同期を設定する前に、次の事柄を理解するようにしてください。

  • ディレクトリソースを使用してデバイスおよびデバイスグループを管理する場合は、AD のみを使用できます。Microsoft Entra ID は、デバイスおよびデバイスグループには対応していません。

    デバイスとデバイスグループには AD を使用し、同じドメインのユーザーとユーザーグループには Microsoft Entra ID を使用できます。

  • ディレクトリソースを使用してパブリックメールフォルダを管理する場合は、AD のみを使用できます。Microsoft Entra ID は、パブリックメールフォルダには対応していません。

    パブリックメールフォルダは、ユーザーとユーザーグループも同期する場合のみ、AD から同期できます。AD を使用して管理できるのは、パブリックメールフォルダと同じドメイン内のユーザーとユーザーグループだけです。

  • Microsoft Entra ID で共有メールボックスを管理する場合は、新しく作成する必要があります。Microsoft Entra ID で、既存の共有メールボックスを管理することはできません。

    Microsoft Entra ID で管理されている共有メールボックスの関連付けられたユーザーは表示されません。ソースを変更した後は、既存の共有メールボックスに関連付けられたユーザーは表示されなくなります。 詳細は、メールボックスを参照してください。

ディレクトリソースの変更

デバイスとデバイスグループがなく、Microsoft Entra ID を使用してユーザーとユーザーグループを管理する場合は、Microsoft Entra ID のみを使用する方法の手順に従います。

ユーザーとユーザーグループの管理に Microsoft Entra ID を使用し、デバイスとデバイスグループの管理に AD を使用する場合は、Microsoft Entra ID と AD を使用する方法の手順に従います。

Microsoft Entra ID のみを使用する方法

ドメインの唯一のディレクトリソースとして Microsoft Entra ID を使用するには、次の手順を実行します。

  1. Active Directory と同期します。詳細は、Active Directory との同期の設定を参照してください。
  2. データが正しく同期されたことを Sophos Central で確認します。
  3. マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
  4. AD ソースを選択します。
  5. AD ソースをオフにします。
  6. マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
  7. Microsoft Entra ID の追加 をクリックします。
  8. Microsoft Entra ID ソースとの同期を設定します。詳細は、Microsoft Entra ID との同期を設定するを参照してください。
  9. Microsoft Entra ID と同期した後、データが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。
  10. Active Directory Synchronization Setup をアンインストールします。

Microsoft Entra ID と AD を使用する方法

Microsoft Entra ID と AD の両方を使用するには、次の手順を実行します。

  1. Active Directory と同期します。詳細は、Active Directory との同期の設定を参照してください。
  2. データが正しく同期されたことを Sophos Central で確認します。
  3. マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
  4. AD ソースを選択します。

  5. デバイスとデバイスグループのみを同期するようにフィルタを変更します。詳細は、デバイスおよびデバイスグループを参照してください。

    デバイスとデバイスグループの同期のみを絞り込み表示するように設定された AD フィルタ。

  6. AD ソースをオフにします。

  7. マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
  8. Microsoft Entra ID の追加 をクリックします。
  9. Microsoft Entra ID ソースとの同期を設定します。詳細は、Microsoft Entra ID との同期を設定するを参照してください。
  10. Microsoft Entra ID と同期し、ユーザー、ユーザーグループ、共有メールボックスが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。
  11. マイプロダクト > 全般設定」を参照し、「ディレクトリサービス」をクリックします。
  12. AD ソースを選択します。
  13. AD ソースをオンにします。
  14. Active Directory と同期し、デバイスとデバイスグループが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。

ソースの変更後

ユーザーとユーザーグループのソースを AD から Microsoft Entra ID に変更すると、同期する情報が変更されます。これによって、Sophos Central に表示される情報が変更されることがあります。また、情報の更新方法も変更されます。

Microsoft Entra ID をドメインの唯一のソースとして使用する場合は、次の事柄が実行されます。

  • Microsoft Entra ID からユーザーが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーを参照してください。
  • Microsoft Entra ID からユーザーグループが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーグループを参照してください。
  • AD から同期された共有メールボックスの更新が停止されます。共有メールボックスは保持されます。Microsoft Entra ID にある共有メールボックスが作成および更新されます。詳細は、メールボックスを参照してください。
  • パブリックメールフォルダの更新が停止されます。フォルダは保持されます。
  • デバイスとデバイスグループの更新が停止されます。デバイスとデバイスグループは保持されます。

Microsoft Entra ID および AD をドメインのソースとして使用する場合は、次の事柄が実行されます。

  • Microsoft Entra ID からユーザーが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーを参照してください。
  • Microsoft Entra ID からユーザーグループが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーグループを参照してください。
  • AD から同期された共有メールボックスの更新が停止されます。共有メールボックスは保持されます。Microsoft Entra ID にある共有メールボックスが作成および更新されます。詳細は、メールボックスを参照してください。
  • パブリックメールフォルダの更新が停止されます。フォルダは保持されます。
  • AD からデバイスとデバイスグループが同期され更新されます。

ユーザー

この情報は、現在 Microsoft Entra ID で管理しているドメインのみに適用されます。

次のようにしてユーザーを同期します。

  • 既存のユーザーと一致する場合は、Microsoft Entra ID の情報でそのユーザーは更新されます。ユーザーに関連付けられたメールボックスは保持されます。
  • 既存のユーザーと一致しない場合、そのユーザーおよび関連付けられたメールボックスは削除されます。
  • 新しいユーザーとその関連付けられたメールボックスが作成されます。

ユーザーグループ

この情報は、現在 Microsoft Entra ID で管理しているドメインのみに適用されます。

次のようにしてユーザーグループを同期します。

  • 既存のグループと一致する場合は、Microsoft Entra ID のすべての情報でそのグループは更新されます。
  • 既存のグループと一致しない場合、そのグループは保持され、更新は停止されます。
  • 新しいユーザーグループが作成されます。

メールボックス

この情報は、現在 Microsoft Entra ID で管理しているドメインのみに適用されます。

Microsoft Entra ID を使用して共有メールボックスを同期する手順は、次のとおりです。

  • 既存の共有メールボックスはすべて保持されます。関連付けられたユーザーはありません。どのユーザーページにも表示されません。「メールボックス」に共有メールボックスが表示されます。AD との前回の同期からのデータが表示されます。
  • 新しい共有メールボックスは、ユーザーとして「ユーザー」に表示され、「メールボックス」に表示されます。関連付けられたユーザーはありません。

Microsoft Entra ID データの移行後にオンプレミス AD 同期を使用する場合、設定に応じて共有メールボックスを削除できます。