Microsoft Entra Cloud Sync を使ったグループ書き戻し
プロビジョニング エージェント 1.1.1370.0 がリリースされ、クラウド同期でグループ書き戻しを実行できるようになりました。 この機能は、クラウド同期によってグループをオンプレミスの Active Directory 環境に直接プロビジョニングできることを意味します。 また、エンタイトルメント管理アクセス パッケージにグループを含めるなど、ID ガバナンス機能を使って AD ベースのアプリケーションへのアクセスを管理できるようになりました。
重要
Microsoft Entra Connect Sync のグループ ライトバック v2 のパブリック プレビューは、2024 年 6 月 30 日以降は利用できなくなります。 この機能はこの日に廃止され、クラウド セキュリティ グループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。 この機能は、提供終了日を過ぎても引き続き動作しますが、この日以降はサポートを受けなくなり、常に予告なしに機能しなくなる可能性があります。
Microsoft Entra Cloud Sync には、Active Directory へのグループ プロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウド セキュリティ グループを Active Directory にプロビジョニングするためにグループ書き戻し v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。
Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Syncに切り替える必要があります 。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。 また、クラウド同期をサイド バイ サイドで実行し、クラウド セキュリティ グループ のプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。
Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ書き戻し v1 を使用し続けることができます。
ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。
Microsoft Entra ID を Active Directory にプロビジョニングする - 前提条件
Active Directory へのグループのプロビジョニングを実装するには、次の前提条件が必要です。
ライセンスの要件
この機能を使用するには、Microsoft Entra ID P1 のライセンスが必要です。 要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
一般的な要件
- 少なくともハイブリッド ID 管理者ロールを持つ Microsoft Entra アカウント。
- Windows Server 2016 オペレーティング システム以降のオンプレミスの Active Directory Domain Services 環境。
- AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
- ビルド バージョンが 1.1.1370.0 以降のプロビジョニング エージェント。
注意
サービス アカウントへのアクセス許可は、クリーン インストール時にのみ割り当てられます。 以前のバージョンからアップグレードする場合は、PowerShell コマンドレットを使用して手動でアクセス許可を割り当てる必要があります。
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
アクセス許可が手動で設定されている場合、すべての子孫のグループおよびユーザー オブジェクトのプロパティをすべて確実に読み取り、書き込み、作成、および削除する必要があります。
既定では、これらのアクセス許可は AdminSDHolder オブジェクトには適用されません (「Microsoft Entra プロビジョニング エージェント gMSA PowerShell コマンドレット」を参照)
- プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上の 1 つ以上のドメイン コントローラーと通信できる必要があります。
- 無効なメンバーシップ参照をフィルターで除外するためのグローバル カタログ検索に必要です
- ビルド バージョンが 2.2.8.0 以降の Microsoft Entra Connect Sync
- Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザー メンバーシップをサポートするために必要です
- AD:user:objectGUID を AAD:user:onPremisesObjectIdentifier に同期するために必要です
サポートされているグループとスケールの制限
以下のことがサポートされています。
- クラウドで作成されたセキュリティ グループのみがサポートされます
- これらのグループは、割り当てられたメンバーシップ グループでも動的メンバーシップ グループでもかまいません。
- これらのグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
- 同期され、このクラウド作成セキュリティ グループのメンバーであるオンプレミスのユーザー アカウントは、同じドメインからのもの、またはクロスドメインでもかまいませんが、フォレストはすべて同じでなければなりません。
- これらのグループは、ユニバーサルの AD グループのスコープで書き戻されます。 オンプレミス環境で、ユニバーサル グループ スコープをサポートしている必要があります。
- メンバーが 50,000 を超えるグループはサポートされていません。
- 150,000 を超えるオブジェクトを持つテナントはサポートされていません。 つまり、テナントに 150K オブジェクトを超えるユーザーとグループの組み合わせがある場合、テナントはサポートされません。
- 直接の子の入れ子になった各グループは、参照グループで 1 つのメンバーとしてカウントされます
- グループが Active Directory で手動で更新される場合、Microsoft Entra ID と Active Directory の間のグループの調整はサポートされません。
追加情報
Active Directory へのグループのプロビジョニングに関する追加情報を以下に示します。
- クラウド同期を使用して AD にプロビジョニングされたグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
- これらのユーザーのアカウントに onPremisesObjectIdentifier 属性が設定されている必要があります。
- onPremisesObjectIdentifier は、ターゲット AD 環境の対応する objectGUID と一致する必要があります。
- オンプレミス ユーザーの objectGUID 属性からクラウド ユーザーの onPremisesObjectIdentifier 属性への同期は、Microsoft Entra Cloud Sync (1.1.1370.0) または Microsoft Entra Connect Sync (2.2.8.0) を使用して行うことができます
- Microsoft Entra Cloud Sync ではなく、Microsoft Entra Connect Sync (2.2.8.0) を使ってユーザーを同期し、AD へのプロビジョニングを使用する場合は、2.2.8.0 以降である必要があります。
- Microsoft Entra ID から Active Directory へのプロビジョニングでは、通常の Microsoft Entra ID テナントのみがサポートされています。 B2C などのテナントはサポートされていません。
- グループ プロビジョニング ジョブは、20 分ごとに実行するようにスケジュールされています。
Microsoft Entra Cloud Sync を使ったグループ書き戻しでサポートされるシナリオ
以下のセクションでは、Microsoft Entra Cloud Sync を使ったグループ書き戻しでサポートされるシナリオについて説明します。
- Microsoft Entra Connect Sync グループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する
- Microsoft Entra ID Governance を使用してオンプレミスの Active Directory ベースのアプリ (Kerberos) を管理する
Microsoft Entra Connect Sync グループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する
シナリオ: Microsoft Entra Connect Sync (旧称 Azure AD Connect) を使ったグループ書き戻しを Microsoft Entra クラウド同期に移行する。このシナリオは、現在 Microsoft Entra Connect グループ書き戻し V2 を使用しているお客様のみを対象としています。 このドキュメントで概説するプロセスは、ユニバーサル スコープで書き戻される、クラウドで作成されたセキュリティ グループにのみ関連するものです。 Microsoft Entra Connect グループ書き戻し V1 または V2 を使用して書き戻される、メールが有効なグループおよび DL は、サポートされていません。
詳細については、「Microsoft Entra Connect Sync グループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する」を参照してください。
Microsoft Entra ID Governance を使用してオンプレミスの Active Directory ベースのアプリ (Kerberos) を管理する
シナリオ: クラウドでプロビジョニングおよび管理される Active Directory グループを使用してオンプレミス アプリケーションを管理します。 Microsoft Entra Cloud Sync を使用すると、Microsoft Entra ID ガバナンスの機能を利用してアクセス関連の要求を制御および修復しながら、AD でのアプリケーションの割り当てを完全に管理できます。
詳細については、「Microsoft Entra ID ガバナンスを使用してオンプレミスの Active Directory ベースのアプリ (Kerberos) を管理する」を参照してください。