記事公開日
【Microsoft Entra】オンプレミスLDAPディレクトリへの自動プロビジョニング入門 ― AD LDS連携を例に
この記事のポイント
Microsoft Entra IDから、オンプレミスにあるLDAPディレクトリ(AD LDSなど)へユーザーを自動で作成・更新・削除する仕組みを解説します。クラウド側のIDを“正”として、社内に残るLDAP依存のアプリへユーザー情報を流し込むための構成です。全体像・前提条件・構成の流れ・つまずきやすいポイントを、公式情報をもとに整理します。
✓ クラウドのIDをオンプレLDAPへ:Entra ID上のユーザーを情報源に、AD LDSなどのLDAPディレクトリへアカウントを自動でプロビジョニングできます。✓ 鍵になるのは「ECMA Connector Host」:オンプレミスに置いたプロビジョニングエージェントと汎用LDAPコネクタが、Entraとディレクトリの橋渡しをします。
✓ “できないこと”を先に押さえる:Active Directory ドメインサービス(AD DS)はターゲットにできず、LDAP→Entraの逆方向やグループのプロビジョニングも対象外です。
✓ AD LDSはパスワードを入れられない:現状AD LDSへはパスワード付きでプロビジョニングできないため、パスワードポリシーを緩めるか、無効状態で作成する必要があります。
「Microsoft Entra ID(旧Azure AD)でユーザーを一元管理したい。でも社内には、今もLDAPでユーザー情報を引きにいく“昔ながらのアプリ”が残っている」——そんな環境は少なくありません。Active Directory ドメインサービス(AD DS)とEntra IDの同期はよく知られていますが、AD DS以外のLDAPディレクトリ(AD LDSやOpenLDAPなど)へEntra側からユーザーを流し込む方法は、意外と情報がまとまっていません。
本記事では、Microsoftが提供するオンプレミスアプリケーション プロビジョニングの仕組みを使い、Entra IDからLDAPディレクトリ(例としてAD LDS)へユーザーを自動プロビジョニングする構成を、公式ドキュメントをもとに整理します。実際に手を動かす前の“全体像の地図”としてお読みください。
01この構成で実現できること
このソリューションの目的は、Entra IDに割り当てたユーザーを、オンプレミスのLDAPディレクトリへ自動で反映し続けることです。Entra側でアプリにユーザーを割り当てる・割り当てを外すといった変化が起きるたびに、ディレクトリ側のオブジェクトが追加・更新・削除されます。
たとえば次のような場面で役立ちます。
LDAP認証/属性参照に依存する社内アプリ:ユーザーの属性をLDAPから引くアプリに対し、Entra側のユーザーをディレクトリへ供給します。POSIXワークロード:各ユーザーに一意のUID番号などが必要なLDAPスキーマへ、属性を整えて投入します。
退職・異動時の自動クリーンアップ:Entraでアプリのスコープから外れたユーザーを、ディレクトリ側でも削除/無効化します。
02全体アーキテクチャ ― 4つの登場人物
仕組みを理解するうえで、登場人物を整理しておくと迷いません。クラウドからオンプレミスへ、次の順でユーザー情報が流れていきます。
Microsoft Entra プロビジョニング サービス(クラウド)
どのユーザーを・どの属性で送り出すかを管理する“司令塔”。アプリへのユーザー割り当てや属性マッピングはここで構成します。
プロビジョニング エージェント(オンプレミス)
社内に置くWindows Server上のエージェント。クラウドのプロビジョニングサービスと安全に通信し、オンプレ側の処理を仲介します。
ECMA Connector Host(ECMA2Host)
エージェントと同じサーバーで動くホスト。SCIMで受け取った指示を、コネクタが理解できる形に橋渡しします。https://localhost:8585/ecma2host_<コネクタ名>/scim という形のURLで接続テストを行います。
汎用LDAPコネクタ + ターゲットLDAPディレクトリ
Microsoft.IAM.Connector.GenericLdap.dll を使う汎用LDAPコネクタが、実際にLDAP要求を発行してAD LDSなどのディレクトリへ書き込みます。
つまり、「Entra(司令塔)→ エージェント → ECMA2Host → 汎用LDAPコネクタ → LDAPディレクトリ」という一本の経路でユーザー情報が運ばれる、と捉えると全体像がすっきりします。
03前提条件 ― オンプレミスとクラウド
オンプレミス側
ユーザーを照会する対象となる、LDAPディレクトリ依存のアプリケーション。AD DS以外のターゲットディレクトリ(例:AD LDS)。ユーザーの作成・更新・削除ができること。なお、このディレクトリは「Entraへ同期する側」のディレクトリと兼用しないでください(ループの原因になります)。
エージェントをホストするRAM 3GB以上のマシン。Windows Server 2016以降で、ターゲットディレクトリと
login.microsoftonline.com などへの送信接続が必要です。.NET Framework 4.7.2 以上。
クラウド側
Microsoft Entra ID P1 以上を含むテナント(EMS E3/E5でも可)。エージェント構成用のハイブリッドID管理者ロールと、プロビジョニング構成用のアプリケーション管理者(またはクラウドアプリケーション管理者)ロール。
プロビジョニング対象のEntraユーザーが、ターゲットディレクトリのスキーマで必須となる属性(例:一意のUID番号)をあらかじめ保持していること。
04対応するLDAPサーバーと重要な制限事項
汎用LDAPコネクタは、ルートDSEやベンダー名・バージョン、スキーマを調べてLDAPサーバーを識別します。代表的な対応サーバーは次のとおりです(一部抜粋)。
Microsoft AD LDS(Active Directory ライトウェイト ディレクトリ サービス)OpenLDAP / 389 Directory Server / Apache Directory Server
IBM Tivoli DS / NetIQ・Novell eDirectory / Oracle Directory Server
OpenDJ・OpenDS / RadiantOne VDS など
導入前に必ず押さえておきたいのが、「この仕組みでは“できない”こと」です。ここを理解しておくと、設計段階での手戻りを防げます。
| 項目 | 内容 |
|---|---|
| AD DSはターゲット不可 | Entra IDからActive Directory ドメインサービス(AD DS)へのプロビジョニングはサポートされません。 |
| 逆方向は不可 | LDAPからEntra IDへユーザーをプロビジョニングすることはできません(あくまでEntra→LDAPの一方向)。 |
| グループは不可 | ディレクトリへのグループおよびグループメンバーシップのプロビジョニングはサポートされません。 |
| パスワード同期は不可 | Entraユーザーのパスワードをディレクトリへプロビジョニングすることはできません。他ディレクトリでは初期ランダムパスワードの設定は可能です。 |
| AD LDSのパスワード | 現状、AD LDSへはパスワード付きでユーザーをプロビジョニングできません。後述の対処が必要です。 |
053つの実行プロファイル
コネクタがディレクトリとどうやり取りするかは、実行プロファイルで決まります。3種類あり、それぞれ役割が異なります。
| プロファイル | 役割 | 必須? |
|---|---|---|
| フル インポート | ディレクトリ内の全ユーザーを読み込み、既存オブジェクトを把握する。Entraが既存ユーザーを“新規作成”ではなく“更新”できるようにするために必要。 | 必須 |
| エクスポート | Entra側の変更(追加・変更・削除・名前変更)をディレクトリへ書き込む。プロビジョニングの本体。 | 必須 |
| 差分インポート | 前回以降にディレクトリ側で起きた変更だけを読み込む。ディレクトリが変更ログ機能に対応している場合のみ。 | 任意 |
構成ウィザードでは、最低限「エクスポート」と「フル インポート」の両方を有効にします。差分インポートは、ディレクトリ側が要件(例:OpenLDAPならアクセスログオーバーレイの有効化)を満たす場合にのみ使います。
06構成の流れ ― 5つのステップ
実際の構成は、大きく次の5ステップで進みます。各ステップの“勘どころ”をまとめました。
プロビジョニング エージェントの導入
Azureポータルでエンタープライズアプリケーションに「オンプレミスのECMAアプリ」を追加し、プロビジョニングを自動に設定。エージェントをダウンロード・インストールし、ハイブリッドID管理者で認証します。
ECMA2Hostの証明書を構成
ECMA2Host構成ウィザードを管理者として実行し、既定ポート8585のまま証明書を生成。自己署名証明書はSANがホスト名と一致します。有効期限を控えておきましょう。
汎用LDAPコネクタを構成
シークレットトークン(12文字以上)を発行し、拡張DLLにMicrosoft.IAM.Connector.GenericLdap.dllを指定。接続ページでホスト・ポート(LDAPSは636)・バインド方式・サービスアカウントを設定します。
オブジェクトの種類・属性・プロビジョニング解除
ターゲットオブジェクトはAD LDSならUser、アンカーはobjectGUID。Entraへ公開する属性を選び、スコープ外になったユーザーの扱い(削除など)を決めます。
接続テストと属性マッピング
ポータルのテナントURLにhttps://localhost:8585/ecma2host_<コネクタ名>/scimとシークレットトークンを入力し、接続テスト。成功後に属性マッピングを構成します。
ecma2host_というプレフィックスを忘れる、Microsoft ECMA2Host サービスが起動していない、エージェント登録完了前(割り当て直後の約10分間)に接続テストして失敗する——このあたりが定番のハマりポイントです。登録を急ぎたい場合は、サーバー上の「Microsoft Entra Connect プロビジョニング エージェント」サービスを再起動すると登録を早められます。07属性マッピングのポイント
接続テストが通ったら、Entraユーザーの属性とディレクトリの属性を対応づけます。LDAP特有の“押さえどころ”がいくつかあります。
① 識別名(DN)の組み立て
ディレクトリ内の各ユーザーには一意の識別名(DN)が必要です。式マッピングでDNを組み立てます。AD LDSへプロビジョニングする例では、次のような式を-dn-ターゲット属性に割り当てます(コンテナーのDNは自組織に合わせて変更します)。
Join("", "CN=", Word([userPrincipalName], 1, "@"), ",CN=CloudUsers,DC=*****,DC=local")
② objectClass / userPrincipalName / 無効フラグ
objectClass:AD LDSのこの例では不要ですが、他スキーマではSplit(...)でクラスを指定するマッピングが必要な場合があります。userPrincipalName:直接マッピングで
userPrincipalNameへ。照合の優先順位を設定し、作成時のみ適用とします。無効状態の連携:AD LDSでは
isSoftDeletedをmsDS-UserAccountDisabledへマッピングし、アカウントの有効/無効を連動させます。③ パスワードの扱い
AD LDS以外のディレクトリではuserPasswordへ初期ランダムパスワードを設定するマッピングを追加できますが、AD LDSにはuserPasswordのマッピングはありません。この点が次章の制限につながります。
mailなど)のマッピングで「この属性を使ってオブジェクトを照合する」を有効にします。これにより、既存ユーザーを重複作成せず正しく紐づけられます。08つまずきやすいポイント
実際に構成すると、いくつか“仕様を知らないと悩む”ポイントに行き当たります。代表的なものを挙げます。
AD LDSのパスワード問題
最大の注意点がこれです。現状、AD LDSへはパスワード付きでユーザーをプロビジョニングできません。一方で、AD LDSの既定のパスワードポリシーは「パスワードのないアカウントを有効化できない」ため、そのままだとアカウント有効化の操作が拒否されてしまいます。対処は次の2択になります。
| 対処 | 内容 | 向いている環境 |
|---|---|---|
| パスワードポリシーを緩和 | AD LDS側のパスワードポリシーを無効化/緩和し、パスワードなしでも有効なアカウントを作れるようにする。 | 検証・テスト環境 |
| 無効状態でプロビジョニング | ユーザーを常に無効状態で作成し、別の手段で有効化する運用にする。 | 本番環境 |
LDAPS(ポート636)でのつまずき
SSL/TLSで接続する場合、証明書の格納先ストアの誤りやCNGキーの非互換により、有効化に失敗するケースがあります。サーバー証明書の発行者・サブジェクト・拇印が、接続先ディレクトリのものと一致しているかを構成ウィザードの「グローバル」ページで確認しましょう。
サービスとログの確認
services.mscでMicrosoft ECMA2Hostサービスが起動しているか確認します。ECMA2Hostのイベントログは、構成ウィザードを管理者として実行した後に作成されます。
インストールフォルダーの
TroubleshootingにあるTestECMA2HostConnection.ps1で、コネクタがディレクトリを読めているか確認できます(新規ディレクトリならFalseは想定どおり)。09まとめ
Microsoft Entra IDからオンプレミスのLDAPディレクトリへのプロビジョニングは、「Entra → エージェント → ECMA2Host → 汎用LDAPコネクタ → LDAPディレクトリ」という一本の経路でユーザー情報を運ぶ仕組みです。要点を整理すると次のとおりです。
クラウドのIDを“正”として、AD DS以外のLDAPディレクトリへ一方向でユーザーを供給する必須プロファイルはフル インポートとエクスポート。差分インポートはディレクトリが対応する場合のみ
DNの組み立て・照合属性・無効フラグの連携が属性マッピングの肝
AD LDSはパスワードを入れられないため、ポリシー緩和(検証)か無効状態での作成(本番)で対処する
「クラウドでIDを一元管理しつつ、社内のLDAP依存アプリも活かしたい」という現実的な要件に応えられるのが、この構成の価値です。まずは検証用のAD LDS環境で一通りの流れを試し、制限事項を体感してから本番設計に進むのがおすすめです。
QUICK E-Solutionsでは、AIを活用した業務効率化・システム導入のお手伝いをしております。
それ以外でも QESでは様々なアプリケーションの開発・導入を行っております。提供するサービス・ソリューションにつきましては こちら に掲載しております。
システム開発・構築でお困りの問題や弊社が提供するサービス・ソリューションにご興味を抱かれましたら、ぜひ一度 お問い合わせ ください。
本記事は Microsoft Learn「ユーザーを LDAP ディレクトリにプロビジョニングするための Microsoft Entra ID の構成」(2026年6月時点)の内容を基に、独自に整理・再構成したものです。最新かつ正確な情報は公式ドキュメントをご確認ください。
※Microsoft、Microsoft Entra、Active Directory、Azure は、米国およびその他の国における Microsoft Corporation の商標または登録商標です。その他の商標および登録商標は、それぞれの所有者に帰属します。
