Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MC906491 を見据えた Microsoft Entra Connect アップグレード対応

tamaiyutaro
February 11, 2025

MC906491 を見据えた Microsoft Entra Connect アップグレード対応

Active Directory 勉強会 第 5 回目 発表資料
https://configmgr.connpass.com/event/344236/

tamaiyutaro

February 11, 2025
Tweet

More Decks by tamaiyutaro

Other Decks in Technology

Transcript

  1. #MECMJP #ADIsNotDead MC906491 を見据えた Microsoft Entra Connect アップグレード対応 2025/02/07 Microsoft

    MVP (Security, Windows and Devices) Yutaro Tamai Active Directory 勉強会 第 5 回目
  2. #MECMJP #ADIsNotDead 自己紹介 ◆名前 玉井 裕太郎 (Yutaro Tamai) ◆趣味 自宅サーバー

    (TDC: Tamai Data Center) にて、Hyper-V を用いて、 Configuration Manager や Microsoft Intune 等の検証をすること。 最近は、Azure Virtual Desktop (AVD) や Windows 365 も含めて。 また、エンタープライズ環境下での Surface の検証も含む。 ◆所属 SCUGJ (windows Server & Cloud User Group Japan) コアメンバー Japan EMS Users Group スタッフ Japan Microsoft Endpoint Configuration Manager UG 主催 ◆仕事 保険会社の IT 部門の社員 ◆Blog https://sccm.jp/ ◆Award Microsoft MVP (Security (Microsoft Intune), Windows and Devices (Surface) 5 回目の受賞 @tamai_pc
  3. #MECMJP #ADIsNotDead Microsoft Entra Connect • オンプレミスの Active Directory と

    Microsoft Entra ID を統合するためのツール https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/whatis-azure-ad-connect
  4. #MECMJP #ADIsNotDead MC906491 • Microsoft 365 管理センターのメッセージ センターに表示されているメッセージ • 2025

    年 4 月 7 日までに、 Microsoft Entra Connect Sync を version 2.4.18.0 以降にする必要がある https://admin.microsoft.com/?ref=MessageCenter/:/messages/MC906491
  5. #MECMJP #ADIsNotDead 問題点 • Microsoft Entra Connect は、version 2.3.20.0 以降から

    TLS 1.2 通信が 必要に • TLS 1.2 通信を行うには、TLS 1.2 の有効化が別途手動で必要 • 環境によっては、自動アップグレード機能が “Suspended” または “Disabled” になっており、古いバージョンのまま運用している
  6. #MECMJP #ADIsNotDead MC906491 対応方法 1. 組織の Microsoft Entra Connect 環境の確認

    (構成、バージョン等) 2. TLS 1.2 の有効化 (.NET Framework を含む) 3. 最新バージョンもしくは version 2.4.18.0 へアップグレード
  7. #MECMJP #ADIsNotDead TLS 1.2 の有効化 If (-Not (Test-Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319')) {

    New-Item 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SOFTWARE¥WOW6432Node¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319')) { New-Item 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SOFTWARE¥Microsoft¥.NETFramework¥v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server')) { New-Item 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out- Null If (-Not (Test-Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client')) { New-Item 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:¥SYSTEM¥CurrentControlSet¥Control¥SecurityProviders¥SCHANNEL¥Protocols¥TLS 1.2¥Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out- Null Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/reference-connect-tls-enforcement
  8. #MECMJP #ADIsNotDead TLS 1.2 の有効化を行わずに、 version 2.3.20.0 以降に アップグレードすると •

    同期ステータスが no-start-ma および stopped-server になり同期しなくなる