次の方法で共有

Active Directory を Microsoft Entra ID にプロビジョニングする - 構成

  • [アーティクル]

次のドキュメントでは、Active Directory から Microsoft Entra ID へのプロビジョニング用に Microsoft Entra Cloud Sync を構成する方法について説明します。 Microsoft Entra ID から AD へのプロビジョニングの詳細については、構成 - Microsoft Entra Cloud Sync を使用した Microsoft Entra ID への Active Directory のプロビジョニングに関するページを参照してください

次のドキュメントでは、Microsoft Entra クラウド同期の新しいガイド付きユーザー エクスペリエンスを示します。

クラウド同期に関するその他の情報と例については、以下の動画をご覧ください。

プロビジョニングの構成

プロビジョニングを構成するのには、次の手順に従います。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. [ID][ハイブリッド管理][Microsoft Entra Connect][クラウド同期] の順に移動します。クラウド同期ホーム ページのスクリーンショット。
  1. [新しい構成] を選択します。
  2. [AD から Microsoft Entra ID への同期] を選択します。構成の追加を示すスクリーンショット。
  3. 構成画面で、ドメインと、パスワード ハッシュ同期を有効にするかどうかを選択します。[作成] をクリックしてください。

新しい構成のスクリーンショット。

  1. [作業の開始] 画面が開きます。 ここから、クラウド同期の構成を続行できます。

[作業の開始] 画面のスクリーンショット。

  1. 構成は、次の 5 つのセクションに分かれています。
セクション 説明
1. スコープ フィルターの追加 このセクションでは、Microsoft Entra ID に表示するオブジェクトを定義します
2. 属性のマッピング このセクションでは、オンプレミスのユーザーやグループと Microsoft Entra オブジェクトの間で属性をマップします
3. テスト 構成をデプロイする前にテストします
4. 既定のプロパティの表示 既定の設定を有効にする前に表示し、必要に応じて変更します
5. 構成の有効化 準備ができて構成を有効にすると、ユーザーやグループの同期が開始されます

Note

構成プロセス中に、同期サービス アカウントは ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com という形式で作成され、同期サービス アカウントに対して多要素認証が有効になっているか、同期アカウントに対して他の対話型認証ポリシーが誤って有効になっている場合にエラーが発生する可能性があります。 同期サービス アカウントの多要素認証または対話型認証ポリシーを削除すると、エラーが解決され、構成をスムーズに完了できます。

特定のユーザーとグループに対するプロビジョニングのスコープ設定

既定では、プロビジョニング エージェントによって Active Directory からユーザーとグループのサブセットが同期されます。 オンプレミスの Active Directory グループまたは組織単位を使用して、特定のユーザーとグループを同期するようにエージェントをさらにスコープ設定できます。

スコープ フィルター アイコンのスクリーンショット。

1 つの構成内でグループと組織単位を構成することはできません。

Note

グループ スコープで入れ子になったグループを使用することはできません。 第 1 レベルを超えて入れ子になっているオブジェクトは、セキュリティ グループを使用してスコープを設定するときには含まれません。 大規模なグループの同期には制限があるため、パイロット シナリオ用のグループ スコープ フィルターのみをお使いください。

  1. [作業の開始] 構成画面で、 [スコープ フィルターの追加] アイコンの横の [スコープ フィルターの追加] をクリックするか、左側で [管理] の下の [スコープ フィルター] をクリックします。

スコープ フィルターのスクリーンショット。

  1. スコープ フィルターを選択します。 フィルターには、次のいずれかを指定できます。
    • すべてのユーザー: 同期されているすべてのユーザーに適用するように構成のスコープを設定します。
    • 選択したセキュリティ グループ: 特定のセキュリティ グループに適用するように構成のスコープを設定します。
    • 選択した組織単位: 特定の組織単位に適用するように構成のスコープを設定します。
  2. セキュリティ グループと組織単位の場合は、適切な識別名を指定し、[追加] をクリックします。
  3. スコープ フィルターを構成したら、[保存] をクリックします。
  4. 保存すると、クラウド同期を構成するために必要な残りの作業を示すメッセージが表示されます。リンクをクリックして続行できます。 スコープ フィルターの微調整を示すスクリーンショット。
  5. スコープを変更したら、プロビジョニングを再起動して、変更の即時同期を開始する必要があります。

属性マッピング

Microsoft Entra クラウド同期を使うと、オンプレミスのユーザーまたはグループ オブジェクトと、Microsoft Entra ID のオブジェクトの間で、属性を簡単にマップできます。

属性のマッピング アイコンのスクリーンショット。

既定の属性マッピングをビジネスのニーズに合わせてカスタマイズできます。 そのため、既存の属性マッピングを変更、削除したり、新規の属性マッピングを作成したりすることができます。

既定の属性マッピングのスクリーンショット。

保存すると、クラウド同期を構成するために必要な残りの作業を示すメッセージが表示されます。リンクをクリックして続行できます。 属性フィルターの微調整を示すスクリーンショット。

詳細については、属性マッピングに関する記事を参照してください。

ディレクトリ拡張機能とカスタム属性マッピング

Microsoft Entra クラウド同期では、拡張機能を使ってディレクトリを拡張でき、カスタム属性マッピングが提供されます。 詳細については、ディレクトリ拡張機能とカスタム属性マッピングに関する記事を参照してください。

オンデマンド プロビジョニング

Microsoft Entra クラウド同期では、構成の変更を 1 人のユーザーまたは 1 つのグループに適用することで、変更をテストできます。

テスト アイコンのスクリーンショット。

これを使って、構成に対して行われた変更が正しく適用されたことと、Microsoft Entra ID に正しく同期されていることを、検証および確認できます。

オンデマンド プロビジョニングのスクリーンショット。

テストの後、クラウド同期を構成するために必要な残りの作業を示すメッセージが表示されます。リンクをクリックして続行できます。 テストの微調整を示すスクリーンショット。

詳細については、オンデマンド プロビジョニングに関する記事を参照してください。

誤削除とメール通知

既定のプロパティ セクションには、誤削除とメール通知に関する情報が提供されます。

既定のプロパティ アイコンを示すスクリーンショット。

誤削除機能は、構成の変更とオンプレミス ディレクトリの変更を誤って行うことで多くのユーザーやグループに影響を与えることがないように保護するために設計されています。

この機能では次のことができます。

  • 誤って削除しないように自動的に保護する機能を構成します。
  • 構成が有効になるオブジェクト数 (しきい値) を設定します
  • 問題の同期ジョブが隔離されたら電子メールで通知を受け取ることができるように、このシナリオのために通知の電子メールアドレスを設定します

詳細については、誤削除に関するページを参照してください

[基本] の横にある鉛筆をクリックして、構成の既定値を変更します。

[基本] のスクリーンショット。

構成の有効化

構成を完了してテストしたら、有効にできます。

確認して有効にするアイコンのスクリーンショット。

[Enable configuration](構成を有効にする) をクリックして有効にします。

構成の有効化を示すスクリーンショット。

検疫

クラウド同期では、構成の正常性が監視され、正常でないオブジェクトは検疫状態に置かれます。 ターゲット システムに対する呼び出しのほとんどまたはすべてが、管理者の資格情報が無効であるなどの理由で常にエラーで失敗する場合、同期ジョブは検疫状態になります。 詳細については、検疫に関するトラブルシューティングのセクションを参照してください。

プロビジョニングを再開する

次回スケジュールされている実行を待ちたくない場合は、[Restart sync](同期の再起動) ボタンを使用してプロビジョニングの実行をトリガーします。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. [ID][ハイブリッド管理][Microsoft Entra Connect][クラウド同期] の順に移動します。クラウド同期ホーム ページのスクリーンショット。
  1. [構成] の下で、自分の構成を選択します。

同期の再起動のスクリーンショット。

  1. 上部にある [Restart sync](同期の再起動) を選択します。

構成の削除

構成を削除するには、次の手順に従います。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. [ID][ハイブリッド管理][Microsoft Entra Connect][クラウド同期] の順に移動します。クラウド同期ホーム ページのスクリーンショット。
  1. [構成] の下で、自分の構成を選択します。

削除のスクリーンショット。

  1. 構成画面の上部にある [構成を削除する] を選択します。

重要

構成を削除する前に確認は行われません。 [削除] を選択する前に、これが実行するアクションであることを確認してください。

次のステップ