MC906491 を見据えた Microsoft Entra Connect アップグレード対応

#MECMJP #ADIsNotDead MC906491 を見据えた Microsoft Entra Connect アップグレード対応 2025/02/07 Microsoft
MVP (Security, Windows and Devices) Yutaro Tamai Active Directory 勉強会第 5 回目

#MECMJP #ADIsNotDead 自己紹介 ◆名前玉井裕太郎 (Yutaro Tamai) ◆趣味自宅サーバー
(TDC: Tamai Data Center) にて、Hyper-V を用いて、 Configuration Manager や Microsoft Intune 等の検証をすること。最近は、Azure Virtual Desktop (AVD) や Windows 365 も含めて。また、エンタープライズ環境下での Surface の検証も含む。 ◆所属 SCUGJ (windows Server & Cloud User Group Japan) コアメンバー Japan EMS Users Group スタッフ Japan Microsoft Endpoint Configuration Manager UG 主催 ◆仕事保険会社の IT 部門の社員 ◆Blog https://sccm.jp/ ◆Award Microsoft MVP (Security (Microsoft Intune), Windows and Devices (Surface) 5 回目の受賞 @tamai_pc

#MECMJP #ADIsNotDead TDC (Tamai Data Center) environment

#MECMJP #ADIsNotDead Disclaimer ◆2025/02/07 時点の情報であり、今後変更される可能性もあります。 ◆自社や自組織で対応を実施する際は、必ず検証を行った上で実施ください。 ◆紹介する情報は個人の見解のため、マイクロソフトの公式見解および所属する会社の公式見解ではありません。

#MECMJP #ADIsNotDead Microsoft Entra Connect • オンプレミスの Active Directory と
Microsoft Entra ID を統合するためのツール https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/whatis-azure-ad-connect

#MECMJP #ADIsNotDead MC906491 • Microsoft 365 管理センターのメッセージセンターに表示されているメッセージ • 2025
年 4 月 7 日までに、 Microsoft Entra Connect Sync を version 2.4.18.0 以降にする必要がある https://admin.microsoft.com/?ref=MessageCenter/:/messages/MC906491

#MECMJP #ADIsNotDead 問題点 • Microsoft Entra Connect は、version 2.3.20.0 以降から
TLS 1.2 通信が必要に • TLS 1.2 通信を行うには、TLS 1.2 の有効化が別途手動で必要 • 環境によっては、自動アップグレード機能が “Suspended” または “Disabled” になっており、古いバージョンのまま運用している

#MECMJP #ADIsNotDead MC906491 対応方法 1. 組織の Microsoft Entra Connect 環境の確認
(構成、バージョン等) 2. TLS 1.2 の有効化 (.NET Framework を含む) 3. 最新バージョンもしくは version 2.4.18.0 へアップグレード

#MECMJP #ADIsNotDead Microsoft Entra Connect バージョン確認方法 • [Synchronization Service] を開く
• [Help] > [About]

#MECMJP #ADIsNotDead TLS 1.2 の有効化 If (-Not (Test-Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319')) {
New-Item 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319')) { New-Item 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server')) { New-Item 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out- Null If (-Not (Test-Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client')) { New-Item 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out- Null Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/reference-connect-tls-enforcement

#MECMJP #ADIsNotDead TLS 1.2 の有効化を行わずに、 version 2.3.20.0 以降にアップグレードすると •
同期ステータスが no-start-ma および stopped-server になり同期しなくなる

#MECMJP #ADIsNotDead 最新のインストーラーを使用すると • Version 2.4.129.0 のインストーラーを使用

#MECMJP #ADIsNotDead 計画的なバージョンアップを • まだ、MC906491 が完了していない場合は、早期に計画を立てて、 Microsoft Entra Connect をバージョンアップしましょう。
• 定期的に、Microsoft Entra Connect をバージョンアップすることをお勧めします。

MC906491 を見据えた Microsoft Entra Connect アップグレード対応

MC906491 を見据えた Microsoft Entra Connect アップグレード対応

tamaiyutaro

More Decks by tamaiyutaro

Other Decks in Technology

Featured

Transcript

#MECMJP #ADIsNotDead MC906491 を見据えた Microsoft Entra Connect アップグレード対応 2025/02/07 Microsoft

#MECMJP #ADIsNotDead 自己紹介 ◆名前玉井裕太郎 (Yutaro Tamai) ◆趣味自宅サーバー

#MECMJP #ADIsNotDead TDC (Tamai Data Center) environment

#MECMJP #ADIsNotDead Microsoft Entra Connect • オンプレミスの Active Directory と

#MECMJP #ADIsNotDead MC906491 • Microsoft 365 管理センターのメッセージセンターに表示されているメッセージ • 2025

#MECMJP #ADIsNotDead 問題点 • Microsoft Entra Connect は、version 2.3.20.0 以降から

#MECMJP #ADIsNotDead MC906491 対応方法 1. 組織の Microsoft Entra Connect 環境の確認

#MECMJP #ADIsNotDead Microsoft Entra Connect バージョン確認方法 • [Synchronization Service] を開く

#MECMJP #ADIsNotDead TLS 1.2 の有効化 If (-Not (Test-Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319')) {

#MECMJP #ADIsNotDead TLS 1.2 の有効化を行わずに、 version 2.3.20.0 以降にアップグレードすると •

#MECMJP #ADIsNotDead 最新のインストーラーを使用すると • Version 2.4.129.0 のインストーラーを使用

#MECMJP #ADIsNotDead 計画的なバージョンアップを • まだ、MC906491 が完了していない場合は、早期に計画を立てて、 Microsoft Entra Connect をバージョンアップしましょう。