#MECMJP #ADIsNotDead MC906491 を見据えた Microsoft Entra Connect アップグレード対応 2025/02/07 Microsoft MVP (Security, Windows and Devices) Yutaro Tamai Active Directory 勉強会 第 5 回目

#MECMJP #ADIsNotDead 自己紹介 ◆名前 玉井 裕太郎 (Yutaro Tamai) ◆趣味 自宅サーバー (TDC: Tamai Data Center) にて、Hyper-V を用いて、 Configuration Manager や Microsoft Intune 等の検証をすること。 最近は、Azure Virtual Desktop (AVD) や Windows 365 も含めて。 また、エンタープライズ環境下での Surface の検証も含む。 ◆所属 SCUGJ (windows Server & Cloud User Group Japan) コアメンバー Japan EMS Users Group スタッフ Japan Microsoft Endpoint Configuration Manager UG 主催 ◆仕事 保険会社の IT 部門の社員 ◆Blog https://sccm.jp/ ◆Award Microsoft MVP (Security (Microsoft Intune), Windows and Devices (Surface) 5 回目の受賞 @tamai_pc

#MECMJP #ADIsNotDead TDC (Tamai Data Center) environment

#MECMJP #ADIsNotDead Disclaimer ◆2025/02/07 時点の情報であり、今後変更される可能性もあります。 ◆自社や自組織で対応を実施する際は、必ず検証を行った上で 実施ください。 ◆紹介する情報は個人の見解のため、マイクロソフトの 公式見解および所属する会社の公式見解ではありません。

#MECMJP #ADIsNotDead Microsoft Entra Connect • オンプレミスの Active Directory と Microsoft Entra ID を統合するためのツール https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/whatis-azure-ad-connect

#MECMJP #ADIsNotDead MC906491 • Microsoft 365 管理センターのメッセージ センターに表示されているメッセージ • 2025 年 4 月 7 日までに、 Microsoft Entra Connect Sync を version 2.4.18.0 以降にする必要がある https://admin.microsoft.com/?ref=MessageCenter/:/messages/MC906491

#MECMJP #ADIsNotDead 問題点 • Microsoft Entra Connect は、version 2.3.20.0 以降から TLS 1.2 通信が 必要に • TLS 1.2 通信を行うには、TLS 1.2 の有効化が別途手動で必要 • 環境によっては、自動アップグレード機能が “Suspended” または “Disabled” になっており、古いバージョンのまま運用している

#MECMJP #ADIsNotDead MC906491 対応方法 1. 組織の Microsoft Entra Connect 環境の確認 (構成、バージョン等) 2. TLS 1.2 の有効化 (.NET Framework を含む) 3. 最新バージョンもしくは version 2.4.18.0 へアップグレード

#MECMJP #ADIsNotDead Microsoft Entra Connect バージョン確認方法 • [Synchronization Service] を開く • [Help] > [About]

#MECMJP #ADIsNotDead TLS 1.2 の有効化 If (-Not (Test-Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319')) { New-Item 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319')) { New-Item 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server')) { New-Item 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out- Null If (-Not (Test-Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client')) { New-Item 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out- Null Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/reference-connect-tls-enforcement

#MECMJP #ADIsNotDead TLS 1.2 の有効化を行わずに、 version 2.3.20.0 以降に アップグレードすると • 同期ステータスが no-start-ma および stopped-server になり同期しなくなる

#MECMJP #ADIsNotDead 最新のインストーラーを使用すると • Version 2.4.129.0 のインストーラーを使用

#MECMJP #ADIsNotDead 計画的なバージョンアップを • まだ、MC906491 が完了していない場合は、早期に計画を立てて、 Microsoft Entra Connect をバージョンアップしましょう。 • 定期的に、Microsoft Entra Connect をバージョンアップすることをお勧めします。