Microsoft Entra 管理センターを使って、Microsoft Entra ID から Microsoft Entra Domain Services への範囲指定された同期を構成する
Microsoft Entra Domain Services は、認証サービスを提供するため、Microsoft Entra ID からユーザーとグループを同期します。 ハイブリッド環境では、最初にオンプレミスの Active Directory Domain Services (AD DS) 環境のユーザーとグループが Microsoft Entra Connect を使用して Microsoft Entra ID に同期された後、Domain Services マネージド ドメインに同期されます。
既定では、Microsoft Entra ディレクトリのすべてのユーザーとグループがマネージド ドメインに同期されます。 一部のユーザーのみが Domain Services を使用する必要がある場合は、代わりにユーザーのグループのみを同期することを選択できます。 同期のフィルターは、オンプレミス、クラウドのみ、またはその両方のグループに対して実行できます。
この記事では、Microsoft Entra 管理センターを使って、範囲を指定した同期を構成した後、範囲を指定したユーザー セットを変更したり、無効にしたりする方法について説明します。 これらの手順は、PowerShell を使用して行うこともできます。
開始する前に
この記事を完了するには、以下のリソースと特権が必要です。
- 有効な Azure サブスクリプション
- Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
- ご利用のサブスクリプションに関連付けられた Microsoft Entra テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
- 必要に応じて、Microsoft Entra テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
- Microsoft Entra テナントで有効にされていて、構成されている Microsoft Entra Domain Services マネージド ドメイン。
- 必要に応じて、Microsoft Entra Domain Services マネージド ドメインを作成して構成するチュートリアルを完了します。
- Domain Services の同期スコープを変更するには、テナントでアプリケーション管理者とグループ管理者の Microsoft Entra ロールが必要です。
範囲指定された同期の概要
既定では、Microsoft Entra ディレクトリのすべてのユーザーとグループがマネージド ドメインに同期されます。 Microsoft Entra ID で作成されたユーザー アカウントのみに同期のスコープを設定することも、すべてのユーザーを同期することもできます。
マネージド ドメインにアクセスする必要があるユーザーのグループが少数の場合は、[Filter by group entitlement](グループ エンタイトルメントでフィルター) を選択して、それらのグループのみを同期できます。 この範囲指定された同期はグループベースのみです。 グループベースの範囲指定された同期を構成した場合、指定したグループに属するユーザー アカウントのみがマネージド ドメインに同期されます。 入れ子になったグループは同期されません。指定したグループのみが同期されます。
同期スコープは、マネージド ドメインを作成する前または後に変更できます。 同期のスコープは、アプリケーション識別子 2565bd9d-da50-47d4-8b85-4c97f669dc36
を持つサービス プリンシパルによって定義されます。 スコープが失われないようにするには、サービス プリンシパルを削除または変更しないでください。 誤って削除された場合、同期スコープを復旧できません。
同期スコープを変更する場合は、次の点にご注意ください。
- 完全同期が行われます。
- マネージド ドメインで不要になったオブジェクトは削除されます。 新しいオブジェクトは、マネージド ドメインに作成されます。
同期プロセスの詳細については、Microsoft Entra Domain Services での同期の理解に関する記事を参照してください。
範囲指定された同期を有効にする
Microsoft Entra 管理センターで範囲を指定した同期を有効にするには、次の手順を実行します。
Microsoft Entra 管理センターで、Microsoft Entra Domain Services を検索して選びます。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
左側のメニューで、 [同期] を選択します。
[同期スコープ] で、[すべて] または [クラウドのみ] を選択します。
選択したグループ用に同期をフィルター処理するには、[選択したグループの表示] をクリックし、クラウドのみのグループ、オンプレミスのグループ、またはその両方のいずれを同期するかを選択します。 たとえば、次のスクリーンショットは、Microsoft Entra ID で作成された 3 つのグループのみを同期する方法を示しています。 これらのグループに属するユーザーのアカウントのみが Domain Services に同期されます。
グループを追加するには、[グループの追加] をクリックし、追加するグループを検索して選択します。
すべての変更が行われたら、 [同期スコープを保存します] を選択します。
同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。
範囲指定された同期を変更する
マネージド ドメインにユーザーが同期されるグループの一覧を変更するには、次の手順を行います。
- Microsoft Entra 管理センターで、Microsoft Entra Domain Services を検索して選びます。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
- 左側のメニューで、 [同期] を選択します。
- グループを追加するには、上部にある [+ グループの追加] を選択し、追加するグループを選択します。
- 同期スコープからグループを削除するには、現在同期されているグループの一覧からそのグループを選択し、 [グループの削除] を選択します。
- すべての変更が行われたら、 [同期スコープを保存します] を選択します。
同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。
範囲指定された同期を無効にする
マネージド ドメインのグループベースの範囲指定された同期を無効にするには、次の手順を行います。
- Microsoft Entra 管理センターで、Microsoft Entra Domain Services を検索して選びます。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
- 左側のメニューで、 [同期] を選択します。
- [Show selected groups](選択したグループを表示する) のチェック ボックスをオフにし、[同期スコープを保存します] をクリックします。
同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。
次のステップ
同期プロセスの詳細については、Microsoft Entra Domain Services での同期の理解に関する記事を参照してください。