Microsoft Entra クラウド同期を使ったグループ書き戻し

[アーティクル]
04/30/2024

プロビジョニングエージェント 1.1.1370.0 がリリースされ、クラウド同期でグループ書き戻しを実行できるようになりました。この機能は、クラウド同期によってグループをオンプレミスの Active Directory 環境に直接プロビジョニングできることを意味します。また、エンタイトルメント管理アクセスパッケージにグループを含めるなど、ID ガバナンス機能を使って AD ベースのアプリケーションへのアクセスを管理できるようになりました。

重要

Microsoft Entra Connect Sync のグループライトバック v2 のパブリックプレビューは、2024 年 6 月 30 日以降は利用できなくなります。この機能はこの日に廃止され、クラウドセキュリティグループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。

Microsoft Entra Cloud Sync には、Active Directory へのグループプロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウドセキュリティグループを Active Directory にプロビジョニングするためにグループライトバック v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。

Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Sync に切り替える必要があります。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。また、クラウド同期をサイドバイサイドで実行し、クラウドセキュリティグループのプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。

Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループライトバック v1 を使用し続けることができます。

ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。

グループ書き戻し動画を見る

Active Directory へのクラウド同期グループプロビジョニングの概要とその利点については、下の動画を参照してください。

Microsoft Entra ID を Active Directory にプロビジョニングする - 前提条件

Active Directory へのグループのプロビジョニングを実装するには、次の前提条件が必要です。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

一般的な要件

少なくともハイブリッド管理者ロールを持つ Microsoft Entra アカウント。
Windows Server 2016 オペレーティングシステム以降のオンプレミスの Active Directory Domain Services 環境。
- AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
ビルドバージョンが 1.1.1370.0 以降のプロビジョニングエージェント。

Note

サービスアカウントへのアクセス許可は、クリーンインストール時にのみ割り当てられます。以前のバージョンからアップグレードする場合は、PowerShell コマンドレットを使用して手動でアクセス許可を割り当てる必要があります。

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

権限が手動で設定されている場合、すべての子孫のグループおよびユーザーオブジェクトのプロパティをすべて確実に読み取り、書き込み、作成、および削除する必要があります。

既定では、これらのアクセス許可は AdminSDHolder オブジェクトには適用されません (「Microsoft Entra プロビジョニングエージェント gMSA PowerShell コマンドレット」を参照)

プロビジョニングエージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバルカタログ) 上の 1 つ以上のドメインコントローラーと通信できる必要があります。
- 無効なメンバーシップ参照をフィルターで除外するためのグローバルカタログ検索に必要です
ビルドバージョンが 2.2.8.0 以降の Microsoft Entra Connect
- Microsoft Entra Connect を使用して同期されるオンプレミスのユーザーメンバーシップをサポートするために必要です
- AD:user:objectGUID を AAD:user:onPremisesObjectIdentifier に同期するために必要です

サポートされるグループ

サポートされているのは次の場合のみです。

クラウドで作成されたセキュリティグループのみがサポートされます
これらのグループは、割り当てられたメンバーシップでも動的メンバーシップでもかまいません。
これらのグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティグループのみを含めることができます。
同期され、このクラウド作成セキュリティグループのメンバーであるオンプレミスのユーザーアカウントは、同じドメインからのものまたはクロスドメインでもかまいませんが、フォレストはすべて同じでなければなりません。
これらのグループは、ユニバーサルの AD グループスコープで書き戻されます。オンプレミス環境で、ユニバーサルグループスコープをサポートしている必要があります。
メンバーが 50,000 を超えるグループはサポートされていません。
直接の子の入れ子になった各グループは、参照グループで 1 つのメンバーとしてカウントされます
グループが Active Directory で手動で更新される場合、Microsoft Entra ID と Active Directory の間のグループの調整はサポートされません。

追加情報

Active Directory へのグループのプロビジョニングに関する追加情報を以下に示します。

クラウド同期を使用して AD にプロビジョニングされたグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティグループのみを含めることができます。
これらすべてのユーザーのアカウントに onPremisesObjectIdentifier 属性が設定されている必要があります。
onPremisesObjectIdentifier は、ターゲット AD 環境の対応する objectGUID と一致する必要があります。
オンプレミスユーザーの objectGUID 属性からクラウドユーザーの onPremisesObjectIdentifier 属性への同期は、Microsoft Entra Cloud Sync (1.1.1370.0) または Microsoft Entra Connect Sync (2.2.8.0) を使用して行うことができます
Microsoft Entra Cloud Sync ではなく、Microsoft Entra Connect Sync (2.2.8.0) を使ってユーザーを同期し、AD へのプロビジョニングを使用する場合は、2.2.8.0 以降である必要があります。
Microsoft Entra ID から Active Directory へのプロビジョニングでは、通常の Microsoft Entra ID テナントのみがサポートされています。 B2C などのテナントはサポートされていません。
グループプロビジョニングジョブは、20 分ごとに実行するようにスケジュールされています。