Microsoft Entra Connect グループの書き戻しを有効にする
重要
Microsoft Entra Connect Sync のグループ ライトバック v2 のパブリック プレビューは、2024 年 6 月 30 日以降は利用できなくなります。 この機能はこの日に廃止され、クラウド セキュリティ グループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。 この機能は、提供終了日を過ぎても引き続き動作しますが、この日以降はサポートを受けなくなり、常に予告なしに機能しなくなる可能性があります。
Microsoft Entra Cloud Sync には、Active Directory へのグループ プロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウド セキュリティ グループを Active Directory にプロビジョニングするためにグループ書き戻し v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。
Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Sync に切り替える必要があります。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。 また、クラウド同期をサイド バイ サイドで実行し、クラウド セキュリティ グループ のプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。
Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ書き戻し v1 を使用し続けることができます。
ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。
グループの書き戻しは、Microsoft Entra Connect 同期を使用してクラウド グループをオンプレミスの Active Directory インスタンスに書き戻せるようにする機能です。
この記事では、グループの書き戻しを有効にする方法について説明します。
デプロイメントの手順
グループの書き戻しでは、その機能の元のバージョンと新しいバージョンの両方を有効にする必要があります。 環境内で元のバージョンが事前に有効にされている場合は、次の手順のうち最初の手順のみを行う必要があります。これは、手順 2 の一連の作業は既に完了しているためです。
Note
環境内に新しいグループの書き戻し機能をロールアウトする方法として、スウィング移行という方法に従うことをお勧めします。 この方法では、大きなロールバックが必要な場合に対する明確なコンティンジェンシー計画が提供されます。
強化されたグループの書き戻し機能は、Microsoft Entra Connect クライアント インスタンスではなく、テナントで有効になります。 すべての Microsoft Entra Connect クライアント インスタンスが、1.6.4.0 以降の最小ビルド バージョンに更新されていることを確認してください。
Note
既存のすべての Microsoft 365 グループを Active Directory に書き戻したくない場合は、この記事の手順を実行して機能を有効にする前に、グループの書き戻しの既定の動作を変更する必要があります。 「Microsoft Entra Connect グループの書き戻しの既定の動作を変更する」を参照してください。 また、この機能の新しいバージョンと元のバージョンを、記載されている順序で有効にする必要があります。 元の機能を最初に有効にした場合、既存のすべての Microsoft 365 グループが Active Directory に書き戻されます。
PowerShell を使用してグループの書き戻しを有効にする
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
同期操作が実行されていないことを確認した後、同期スケジューラを無効にします。
Set-ADSyncScheduler -SyncCycleEnabled $false
ADSync モジュールをインポートします。
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'
テナントのグループの書き戻し機能を有効にします。
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true
同期スケジューラを再度有効にする:
Set-ADSyncScheduler -SyncCycleEnabled $true
グループ ライトバックが以前に構成されており、Microsoft Entra Connect ウィザードでは構成されない場合は、完全同期サイクルを実行します。
Start-ADSyncSyncCycle -PolicyType Initial
Microsoft Entra Connect ウィザードを使用してグループの書き戻しを有効にする
グループの書き戻しの元のバージョンが以前に有効になっていない場合は、次の手順に進みます。
- Microsoft Entra Connect サーバーで、Microsoft Entra Connect ウィザードを開きます。
- [構成]、[次へ] の順に選択します。
- [同期オプションのカスタマイズ] を選択し、 [次へ] を選択します。
- [Connect to Microsoft Entra ID] (Microsoft Entra ID への接続) ページで、資格情報を入力します。 [次へ] を選択します。
- [オプション機能] ページで、以前に構成したオプションが選択されたままであることを確認します。
- [グループの書き戻し] を選択したら、[次へ] を選択クします。
- [書き戻し] ページで、Microsoft 365 からオンプレミスの組織に同期されるオブジェクトを格納する Active Directory 組織単位 (OU) を選択します。 [次へ] を選択します。
- [構成の準備完了] ページで、 [構成] を選択します。
- [構成が完了しました] ページで、 [終了] を選択します。
この手順が完了すると、グループの書き戻しが自動的に構成されます。 オブジェクトを Active Directory にエクスポートするときにアクセス許可の問題が発生した場合は、Microsoft Entra Connect サーバーの管理者として Windows PowerShell を開きます。 次に、次のコマンドを実行します。 この手順は省略可能です。
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
オプションの構成
Microsoft Entra ID から Active Directory に書き戻されるグループを見つけやすくするために、グループの識別名をクラウド表示名を使用して書き戻すオプションがあります。
既定の形式:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com
新しい形式:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
グループの書き戻しを構成する場合、構成ウィンドウの下部にチェック ボックスが表示されます。 この機能を有効にするにはこれを選択します。
Note
Microsoft Entra ID から Active Directory に書き戻されるグループには、クラウドの権限ソースがあります。 Microsoft Entra ID から書き戻されたグループに対してオンプレミスで行われた変更はすべて、次の同期サイクルで上書きされます。