次の方法で共有


Microsoft Entra クラウド同期でサポートされているトポロジとシナリオ

この記事では、Microsoft Entra クラウド同期を使用するさまざまなオンプレミスと Microsoft Entra トポロジについて説明します。この記事には、サポートされている構成とシナリオのみが含まれています。

重要

公式に文書化されている構成やアクションを除き、Microsoft では Microsoft Entra クラウド同期の変更や操作はサポートされていません。 このような構成やアクションを行うと、Microsoft Entra クラウド同期が整合性のない、またはサポートされていない状態になる可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。

詳細については、次のビデオをご覧ください。

すべてのシナリオとトポロジに関する注意事項

ソリューションを選択する場合は、以下の情報に留意する必要があります。

  • ユーザーとグループは、すべてのフォレストで一意に識別される必要があります。
  • クラウドの同期では、フォレスト間の照合が行われません。
  • オブジェクトのソース アンカーは自動的に選択されます。 ms-DS-ConsistencyGuid を使用します (存在する場合)。それ以外の場合は、ObjectGUID が使用されます。
  • ソース アンカーに使用される属性を変更することはできません。

Active Directory から Microsoft Entra ID でサポートされるトポロジ

Active Directory から Microsoft Entra ID へのプロビジョニングでは、次のトポロジがサポートされています。

シングル フォレスト、シングル Microsoft Entra テナント

単一のフォレストと単一のテナントのトポロジを示す図。

最も単純なトポロジは、1 つのオンプレミス フォレスト (1 つまたは複数のドメイン) と、1 つの Microsoft Entra テナントです。 このシナリオの例については、「チュートリアル: 単一のフォレストと単一の Microsoft Entra テナント」を参照してください

マルチフォレスト、シングル Microsoft Entra テナント

複数のフォレストと単一のテナントのトポロジ

複数の AD フォレストは、1 つ以上のドメイン と、1 つの Microsoft Entra テナントを持つ一般的なトポロジです。

既存のフォレストを使用した Microsoft Entra Connect、クラウド プロビジョニングを使用した新しいフォレスト

既存のフォレストと新しいフォレストのトポロジを示す図。

このシナリオのトポロジーは複数フォレストのシナリオに似ていますが、これには既存の Microsoft Entra Connect 環境が含まれ、Microsoft Entra クラウド同期を使用して新しいフォレストに導入されます。このシナリオの例については、チュートリアル: 既存のフォレストと単一の Microsoft Entra テナントに関するページを参照してください

既存のハイブリッド AD フォレストで Microsoft Entra クラウド同期をパイロットする

単一のフォレストと単一のテナントのトポロジ

パイロット シナリオでは、同じフォレストに Microsoft Entra Connect と Microsoft Entra Cloud Sync の両方が存在し、それに応じてユーザーとグループのスコープを設定します。 注:オブジェクトは、いずれかのツールでのみスコープ内にある必要があります。

このシナリオの例については、「チュートリアル:既存の同期済み AD フォレストでの Microsoft Entra クラウド同期のパイロット」を参照してください

切断されたソースからのオブジェクトのマージ

(パブリック プレビュー)

切断されたソースからのオブジェクトのマージの図

このシナリオでは、ユーザーの属性は、2 つの切断された Active Directory フォレストによって提供されます。

例を次に示します:

  • 最初のフォレスト (1) にほとんどの属性が含まれています。
  • 2 番目のフォレスト (2) にはいくつかの属性が含まれています。

2 番目のフォレストには Microsoft Entra Connect サーバーへのネットワーク接続がないため、Microsoft Entra Connect を介してオブジェクトをマージすることはできません。 2 番目のフォレストのクラウド同期では、2 番目のフォレストから属性値を取得できます。 その後、値は、Microsoft Entra Connect によって同期される Microsoft Entra ID の オブジェクトとマージできます。

この構成は高度であり、このトポロジにはいくつかの注意事項があります。

  1. クラウド同期構成のソース アンカーとして、ms-DS-ConsistencyGuid を使用する必要があります。
  2. 2 番目のフォレスト内のユーザー オブジェクトの ms-DS-ConsistencyGuid は、Microsoft Entra の対応するオブジェクトとのものと一致する必要があります。
  3. 2 番目のフォレスト内の UserPrincipalName 属性と Alias 属性を設定する必要があり、1 番目のフォレストから同期された属性と一致する必要があります。
  4. クラウド同期構成の属性マッピングから、値がない、または 2 番目のフォレストで異なる値を持つ可能性があるすべての属性を削除する必要があります。1 番目のフォレストと 2 番目のフォレストの間で属性マッピングは重複することはできません。
  5. 1 番目のフォレストに一致するオブジェクトがない場合、2 番目のフォレストから同期されたオブジェクトに対して、クラウド同期では引き続き Microsoft Entra ID でオブジェクトが作成されます。 オブジェクトには、2 番目のフォレストのクラウド同期のマッピング構成で定義されている属性のみが含まれます。
  6. 2 番目のフォレストからオブジェクトを削除すると、Microsoft Entra ID で一時的に論理的に削除されます。 このオブジェクトは、次の Microsoft Entra Connect 同期サイクルの後に自動的に復元されます。
  7. 1 番目のフォレストからオブジェクトを削除すると、Microsoft Entra ID から論理的に削除されます。 そのオブジェクトは、2 番目のフォレスト内のオブジェクトに変更が加えられる場合を除き、復元されません。 30 日後、そのオブジェクトは Microsoft Entra ID から物理的に削除され、2 番目のフォレスト内のオブジェクトに変更が加えられた場合、そのオブジェクトは Microsoft Entra ID の新しいオブジェクトとして作成されます。

Microsoft Entra ID から Active Directory でサポートされるトポロジ

Microsoft Entra ID から Active Directory へのプロビジョニングでは、次のトポロジがサポートされています。

Active Directory への単一フォレスト グループ のプロビジョニング

単一フォレストの書き戻しの概念図。

最も単純なグループ プロビジョニング トポロジは、1 つのオンプレミス フォレスト (1 つまたは複数のドメイン) と、1 つの Microsoft Entra テナントです。 このシナリオの例については、「Active Directory へのグループのプロビジョニング」を参照してください

Active Directory へのマルチフォレスト グループ のプロビジョニング

マルチフォレストの書き戻しの概念図。

より高度なグループ プロビジョニング トポロジは、1 つの Microsoft Entra ID テナントを共有する複数のオンプレミス AD フォレストで構成されます。

この構成は高度であり、このトポロジには覚えておく必要がある点がいくつかあります。

  • クラウド同期を使用して AD にプロビジョニングされたグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
  • これらすべてのユーザーのアカウントに onPremisesObjectIdentifier 属性が設定されている必要があります。
  • onPremisesObjectIdentifier は、ターゲット AD 環境の対応する objectGUID と一致する必要があります。
  • オンプレミス ユーザーの objectGUID 属性からクラウド ユーザーの onPremisesObjectIdentifier 属性への同期は、Microsoft Entra Cloud Sync (1.1.1370.0) または Microsoft Entra Connect Sync (2.2.8.0) を使用して行うことができます
  • テナント内で、両方のフォレストのユーザーを含む共通グループを共有できます。
  • ただし、他のフォレストに存在しないユーザーは、オンプレミスでプロビジョニングされるときにグループのメンバーとしてプロビジョニングされません。 そのため、contoso.com と fabrikam.com のユーザーを含むグループが Microsoft Entra ID にある場合、contoso.com にプロビジョニングされると、contoso.com フォレストに存在するユーザーのみがそのグループのメンバーになります。 fabrikam も同様です。

次のステップ