Microsoft Entra Connect Sync グループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する
重要
Microsoft Entra Connect Sync のグループ ライトバック v2 のパブリック プレビューは、2024 年 6 月 30 日以降は利用できなくなります。 この機能はこの日に廃止され、クラウド セキュリティ グループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。 この機能は、提供終了日を過ぎても引き続き動作しますが、この日以降はサポートを受けなくなり、常に予告なしに機能しなくなる可能性があります。
Microsoft Entra Cloud Sync には、Active Directory へのグループ プロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウド セキュリティ グループを Active Directory にプロビジョニングするためにグループ書き戻し v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。
Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Sync に切り替える必要があります。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。 また、クラウド同期をサイド バイ サイドで実行し、クラウド セキュリティ グループ のプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。
Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ書き戻し v1 を使用し続けることができます。
ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。
次のドキュメントでは、Microsoft Entra Connect Sync (旧称 Azure AD Connect) を使用したグループ書き戻しを Microsoft Entra Cloud Sync に移行する方法について説明します。このシナリオは、現在 Microsoft Entra Connect グループ書き戻し v2 を使用しているお客様のみを対象としています。 このドキュメントで概説するプロセスは、ユニバーサル スコープで書き戻される、クラウドで作成されたセキュリティ グループにのみ関連するものです。
重要
このシナリオは、現在 Microsoft Entra Connect グループ書き戻し v2 を使用しているお客様のみを対象としています
また、このシナリオは次の場合にのみサポートされます。
- クラウドで作成されたセキュリティ グループ
- universal のスコープで AD に書き戻されたグループ。
AD に書き戻されたメールが有効なグループと DL は引き続き Microsoft Entra Connect グループ書き戻しで動作しますが、グループ書き戻し V1 の動作に戻ります。そのため、このシナリオでは、グループ書き戻し V2 を無効にした後、Entra 管理センターの [書き戻しが有効] 設定とは関係なく、すべての M365 グループが AD に書き戻されます。 詳細については、「Microsoft Entra Cloud Sync による Active Directory へのプロビジョニング FAQ」を参照してください。
前提条件
このシナリオを実装するには、次の前提条件を満たす必要があります。
- 少なくともハイブリッド ID 管理者ロールを持つ Microsoft Entra アカウント。
- 少なくともドメイン管理者のアクセス許可を持つオンプレミスの AD アカウント - adminDescription 属性にアクセスし、それを msDS-ExternalDirectoryObjectId 属性にコピーするために必要です。
- Windows Server 2016 オペレーティング システム以降のオンプレミスの Active Directory Domain Services 環境。
- AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
- ビルド バージョンが 1.1.1367.0 以降のプロビジョニング エージェント。
- プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上のドメイン コントローラーと通信できる必要があります。
- 無効なメンバーシップ参照をフィルターで除外するためのグローバル カタログ検索に必要です
書き戻されたグループの名前付け規則
既定の Microsoft Entra Connect 同期では、書き戻されるグループに名前を付けるときに、次の形式が使われます。
既定の形式: CN=Group_<guid>,OU=<コンテナー>,DC=<ドメイン コンポーネント>,DC=<ドメイン コンポーネント>
例: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Microsoft Entra ID から Active Directory に書き戻されるグループを見つけやすくするため、Microsoft Entra Connect 同期ではクラウド表示名を使ってグループの名前を書き戻すオプションが追加されました。 これを行うには、グループの書き戻し v2 の初期セットアップ中に、[クラウドの表示名を含むグループ識別名の書き戻し] を選択します。 この機能を有効にした場合、Microsoft Entra Connect は既定の形式ではなく次の新しい形式を使います。
新しい形式: CN=<表示名>_<オブジェクト ID の最後の 12 桁>,OU=<コンテナー>,DC=<ドメイン コンポーネント>,DC=<ドメイン コンポーネント>
例: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
重要
既定では、クラウドの表示名を含むグループ識別名の書き戻し機能が Microsoft Entra Connect 同期で有効になっていない場合でも、Microsoft Entra クラウド同期では新しい形式が使われます。Microsoft Entra Connect 同期の既定の名前付けを使っている場合、Microsoft Entra クラウド同期によって管理されるようにグループを移行すると、グループの名前は新しい形式に変更されます。 Microsoft Entra クラウド同期が Microsoft Entra Connect の既定の形式を使用できるようにするには、次のセクションのようにします。
既定の形式の使用
クラウド同期で Microsoft Entra Connect 同期と同じ既定の形式を使う場合は、CN 属性の属性フロー式を変更する必要があります。 2 つのマッピングを使用できます。
Expression | 構文 | 説明 |
---|---|---|
DisplayName を使うクラウド同期の既定の式 | Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) | Microsoft Entra クラウド同期で使われる既定の式 (つまり、新しい形式) |
DisplayName を使わないクラウド同期の新しい式 | Append("Group_", [objectId]) | Microsoft Entra Connect 同期の既定の形式を使う新しい式。 |
詳しくは、「属性マッピングを追加する - Microsoft Entra ID から Active Directory」をご覧ください。
手順 1 - adminDescription を msDS-ExternalDirectoryObjectID にコピーする
グループ メンバーシップの参照を検証するため、Microsoft Entra クラウド同期は Active Directory グローバル カタログで msDS-ExternalDirectoryObjectID 属性のクエリを実行する必要があります。 これは、Active Directory フォレスト内のすべてのグローバル カタログにレプリケートされるインデックス付き属性です。
ご利用のオンプレミスの環境で、ADSI エディターを開きます。
グループの adminDescription 属性内の値をコピーします
msDS-ExternalDirectoryObjectID 属性に貼り付けます
この手順を自動化するには、次の PowerShell スクリプトを使用できます。 このスクリプトは、OU=Groups,DC=Contoso,DC=com コンテナー内のすべてのグループを取得し、adminDescription 属性値を msDS-ExternalDirectoryObjectID 属性値にコピーします。 このスクリプトを使用する前に、グループ書き戻しのターゲット組織単位 (OU) の DistinguishedName で変数 $gwbOU
を更新します。
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
次の PowerShell スクリプトを使用して、上記のスクリプトの結果を確認したり、すべてのグループに msDS-ExternalDirectoryObjectID 値と等しい adminDescription 値があることを確認したりできます。
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
手順 2 - Microsoft Entra Connect Sync サーバーをステージング モードにし、同期スケジューラを無効にする
Microsoft Entra Connect Sync ウィザードを起動します。
[構成] をクリックします
[ステージング モードの構成] を選択し、[次へ]をクリックします。
Microsoft Entra 資格情報を入力します。
[ステージング モードを有効にする] ボックスをオンにし、[次へ] をクリックします。
[構成] をクリックします
[終了]をクリックします。
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
同期スケジューラを無効にします。
Set-ADSyncScheduler -SyncCycleEnabled $false
手順 3 - カスタムのグループ インバウンド規則を作成する
Microsoft Entra Connect 同期規則エディターでは、メール属性の値が NULL であるグループをフィルター除外するインバウンド同期規則を作成する必要があります。 受信同期規則は、cloudNoFlow のターゲット属性を持つ結合規則です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。 この同期規則を作成するには、ユーザー インターフェイスを使用するか、PowerShell を使用して指定のスクリプトで作成するかのどちらかを選択できます。
ユーザー インターフェイスでカスタム グループ受信規則を作成する
スタート メニューから Synchronization Rules Editor を起動します。
[方向] のドロップダウン リストから [受信] を選択し、[新しいルールの追加] を選択します。
[説明] ページで次のように入力し、[次へ] を選択します。
[スコープ フィルター] ページで、次の内容を追加して、[次へ] を選択します。
属性 オペレーター 値 cloudMastered EQUAL true mail ISNULL [結合] 規則ページで、[次へ] を選択します。
[変換] ページで、cloudNoFlow 属性に Constant transformation: flow True を追加します。
[追加] を選択します。
PowerShell でカスタム グループ受信規則を作成する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
モジュールをインポートします。
Import-Module ADSync
同期規則の優先順位を 0 から 99 までの一意の値で指定します。
[int] $inboundSyncRulePrecedence = 88
次のスクリプトを実行します。
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
手順 4 - カスタムのグループ アウトバウンド規則を作成する
また、リンクの種類が JoinNoFlow である送信同期規則と、cloudNoFlow 属性が True に設定されているスコープ フィルターも必要です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。 この同期規則を作成するには、ユーザー インターフェイスを使用するか、PowerShell を使用して指定のスクリプトで作成するかのどちらかを選択できます。
ユーザー インターフェイスでカスタム グループ送信規則を作成する
[方向] のドロップダウン リストから [送信] を選択し、[ルールの追加] を選択します。
[説明] ページで次のように入力し、[次へ] を選択します。
- [名前]: 規則にわかりやすい名前を付けます
- 説明: わかりやすい説明を追加します
- [接続先システム]: カスタム同期規則の作成対象となる AD コネクタを選択します
- [接続先システム オブジェクトの種類]: グループ
- [メタバース オブジェクトの種類]: グループ
- [リンクの種類]: JoinNoFlow
- 優先順位: システム内で一意になる値を指定します。 既定の規則よりも優先されるように、100 未満にすることをお勧めします。
- タグ: 空のままにします
[Scoping filter](スコープ フィルター) ページで、cloudNoFlow = True を選択します。 [次へ] を選択します。
[結合] 規則ページで、[次へ] を選択します。
[変換] ページで [追加] を選択します。
PowerShell でカスタム グループ受信規則を作成する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
モジュールをインポートします。
Import-Module ADSync
同期規則の優先順位を 0 から 99 までの一意の値で指定します。
[int] $outboundSyncRulePrecedence = 89
グループの書き戻し用の Active Directory コネクタを取得します。
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"
次のスクリプトを実行します。
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
手順 5 - PowerShell を使用して構成を完了する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
ADSync モジュールをインポートします。
Import-Module ADSync
完全同期サイクルを実行します。
Start-ADSyncSyncCycle -PolicyType Initial
テナントのグループの書き戻し機能を無効にします。
警告
この操作は元に戻すことができません。 グループ書き戻し V2 を無効にした後、Entra 管理センターの [書き戻しが有効] 設定とは関係なく、すべての Microsoft 365 グループが AD に書き戻されます。
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false
完全同期サイクルを実行します (もう一度です)。
Start-ADSyncSyncCycle -PolicyType Initial
同期スケジューラを再度有効にする:
Set-ADSyncScheduler -SyncCycleEnabled $true
手順 6 - Microsoft Entra Connect Sync サーバーをステージング モードから削除する
- Microsoft Entra Connect Sync ウィザードを起動します。
- [構成] をクリックします
- [ステージング モードの構成] を選択し、[次へ]をクリックします。
- Microsoft Entra 資格情報を入力します。
- [ステージング モードを有効にする] ボックスをオフにし、[次へ] クリッします。
- [構成] をクリックします
- [終了]をクリックします。
手順 7 - Microsoft Entra Cloud Sync を構成する
これで、グループは Microsoft Entra Connect 同期の同期スコープから削除されたので、セキュリティ グループの同期を引き継ぐように Microsoft Entra クラウド同期を設定して構成できます。 「Microsoft Entra Cloud Sync を使用してグループを Active Directory にプロビジョニングする」を参照してください。