コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=directory-service-AD-to-AzureAD

Microsoft Entra ID への移行

ユーザーとユーザーグループを Sophos Central と同期する方法を変更できます。ディレクトリソースを Active Directory (AD) から Microsoft Entra ID に変更できます。

ディレクトリソースを変更する前に、Microsoft Entra ID では、AD とは異なる情報が同期されることを理解する必要があります。詳細は、ディレクトリサービスを参照してください。

ドメイン内のユーザーおよびユーザーグループのディレクトリソースとして、AD または Microsoft Entra ID のいずれかを使用できます。

要件

ディレクトリソースを変更する前に、次の環境が必要です。

  • ドメインの AD ソース。このソースは、ソフォスが指定する要件に一致する必要があります。詳細は、Active Directory との同期の設定を参照してください。
  • 同じドメインの Microsoft Entra ID ソース。このソースは、ソフォスが指定する要件に一致する必要があります。詳細は、Microsoft Entra ID との同期を設定するを参照してください。

推奨事項

ディレクトリソースを変更する前に、次の手順を実行することを推奨します。

  • ディレクトリサービスの制限事項を確認します。詳細は、制限を参照してください。

  • ユーザーがディレクトリソース内で一致することを確認します。

    これは、AD と同期されたユーザーとメールボックスのうち、Microsoft Entra ID ソースにないものは削除されるためです。削除されるのは、AD から Microsoft Entra ID に移行するドメイン内の一致しないユーザーのみです。他のすべてのユーザーは維持されます。

  • 必要に応じて Azure アプリケーションを設定します。詳細は、Azure アプリケーションの設定を参照してください。

制限

同期を設定する前に、次の事柄を理解するようにしてください。

  • ディレクトリソースを使用してデバイスおよびデバイスグループを管理する場合は、AD のみを使用できます。Microsoft Entra ID は、デバイスおよびデバイスグループには対応していません。

    デバイスとデバイスグループには AD を使用し、同じドメインのユーザーとユーザーグループには Microsoft Entra ID を使用できます。

  • ディレクトリソースを使用してパブリックメールフォルダを管理する場合は、AD のみを使用できます。Microsoft Entra ID は、パブリックメールフォルダには対応していません。

    パブリックメールフォルダは、ユーザーとユーザーグループも同期する場合のみ、AD から同期できます。AD を使用して管理できるのは、パブリックメールフォルダと同じドメイン内のユーザーとユーザーグループだけです。

  • Microsoft Entra ID で共有メールボックスを管理する場合は、新しく作成する必要があります。Microsoft Entra ID で、既存の共有メールボックスを管理することはできません。

    Microsoft Entra ID で管理されている共有メールボックスの関連付けられたユーザーは表示されません。ソースを変更した後は、既存の共有メールボックスに関連付けられたユーザーは表示されなくなります。 詳細は、メールボックスを参照してください。

ディレクトリソースの変更

デバイスとデバイスグループがなく、Microsoft Entra ID を使用してユーザーとユーザーグループを管理する場合は、Microsoft Entra ID のみを使用する方法の手順に従います。

ユーザーとユーザーグループの管理に Microsoft Entra ID を使用し、デバイスとデバイスグループの管理に AD を使用する場合は、Microsoft Entra ID と AD を使用する方法の手順に従います。

Microsoft Entra ID のみを使用する方法

ドメインの唯一のディレクトリソースとして Microsoft Entra ID を使用するには、次の手順を実行します。

  1. Active Directory と同期します。詳細は、Active Directory との同期の設定を参照してください。
  2. データが正しく同期されたことを Sophos Central で確認します。
  3. 全般設定アイコン 全般設定アイコン。 をクリックします。
  4. 管理」で、「ディレクトリサービス」をクリックします。
  5. AD ソースを選択します。
  6. AD ソースをオフにします。
  7. 全般設定アイコン 全般設定アイコン。 をクリックします。
  8. 管理」で、「ディレクトリサービス」をクリックします。
  9. Microsoft Entra ID の追加 をクリックします。
  10. Microsoft Entra ID ソースとの同期を設定します。詳細は、Microsoft Entra ID との同期を設定するを参照してください。
  11. Microsoft Entra ID と同期した後、データが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。
  12. Active Directory Synchronization Setup をアンインストールします。

Microsoft Entra ID と AD を使用する方法

Microsoft Entra ID と AD の両方を使用するには、次の手順を実行します。

  1. Active Directory と同期します。詳細は、Active Directory との同期の設定を参照してください。
  2. データが正しく同期されたことを Sophos Central で確認します。
  3. 全般設定アイコン 全般設定アイコン。 をクリックします。
  4. 管理」で、「ディレクトリサービス」をクリックします。
  5. AD ソースを選択します。

  6. デバイスとデバイスグループのみを同期するようにフィルタを変更します。詳細は、デバイスおよびデバイスグループを参照してください。

    デバイスとデバイスグループの同期のみを絞り込み表示するように設定された AD フィルタ。

  7. AD ソースをオフにします。

  8. 全般設定アイコン 全般設定アイコン。 をクリックします。
  9. 管理」で、「ディレクトリサービス」をクリックします。
  10. Microsoft Entra ID の追加 をクリックします。
  11. Microsoft Entra ID ソースとの同期を設定します。詳細は、Microsoft Entra ID との同期を設定するを参照してください。
  12. Microsoft Entra ID と同期し、ユーザー、ユーザーグループ、共有メールボックスが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。
  13. 全般設定アイコン 全般設定アイコン。 をクリックします。
  14. 管理」で、「ディレクトリサービス」をクリックします。
  15. AD ソースを選択します。
  16. AD ソースをオンにします。
  17. Active Directory と同期し、デバイスとデバイスグループが正しく同期されたことを確認します。詳細は、ソースの変更後を参照してください。

ソースの変更後

ユーザーとユーザーグループのソースを AD から Microsoft Entra ID に変更すると、同期する情報が変更されます。これによって、Sophos Central に表示される情報が変更されることがあります。また、情報の更新方法も変更されます。

Microsoft Entra ID をドメインの唯一のソースとして使用する場合は、次の事柄が実行されます。

  • Microsoft Entra ID からユーザーが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーを参照してください。
  • Microsoft Entra ID からユーザーグループが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーグループを参照してください。
  • AD から同期された共有メールボックスの更新が停止されます。共有メールボックスは保持されます。Microsoft Entra ID にある共有メールボックスが作成および更新されます。詳細は、メールボックスを参照してください。
  • パブリックメールフォルダの更新が停止されます。フォルダは保持されます。
  • デバイスとデバイスグループの更新が停止されます。デバイスとデバイスグループは保持されます。

Microsoft Entra ID および AD をドメインのソースとして使用する場合は、次の事柄が実行されます。

  • Microsoft Entra ID からユーザーが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーを参照してください。
  • Microsoft Entra ID からユーザーグループが同期されます。表示される情報は、Microsoft Entra ID のデータが AD のデータとどの程度一致するかによって異なります。詳細は、ユーザーグループを参照してください。
  • AD から同期された共有メールボックスの更新が停止されます。共有メールボックスは保持されます。Microsoft Entra ID にある共有メールボックスが作成および更新されます。詳細は、メールボックスを参照してください。
  • パブリックメールフォルダの更新が停止されます。フォルダは保持されます。
  • AD からデバイスとデバイスグループが同期され更新されます。

ユーザー

この情報は、現在 Microsoft Entra ID で管理しているドメインのみに適用されます。

次のようにしてユーザーを同期します。

  • 既存のユーザーと一致する場合は、Microsoft Entra ID の情報でそのユーザーは更新されます。ユーザーに関連付けられたメールボックスは保持されます。
  • 既存のユーザーと一致しない場合、そのユーザーおよび関連付けられたメールボックスは削除されます。
  • 新しいユーザーとその関連付けられたメールボックスが作成されます。

ユーザーグループ

この情報は、現在 Microsoft Entra ID で管理しているドメインのみに適用されます。

次のようにしてユーザーグループを同期します。

  • 既存のグループと一致する場合は、Microsoft Entra ID のすべての情報でそのグループは更新されます。
  • 既存のグループと一致しない場合、そのグループは保持され、更新は停止されます。
  • 新しいユーザーグループが作成されます。

メールボックス

この情報は、現在 Microsoft Entra ID で管理しているドメインのみに適用されます。

Microsoft Entra ID を使用して共有メールボックスを同期する手順は、次のとおりです。

  • 既存の共有メールボックスはすべて保持されます。関連付けられたユーザーはありません。どのユーザーページにも表示されません。「メールボックス」に共有メールボックスが表示されます。AD との前回の同期からのデータが表示されます。
  • 新しい共有メールボックスは、ユーザーとして「ユーザー」に表示され、「メールボックス」に表示されます。関連付けられたユーザーはありません。

Microsoft Entra ID データの移行後にオンプレミス AD 同期を使用する場合、設定に応じて共有メールボックスを削除できます。