Microsoft Entra 管理センターでのグループの書き戻し
Note
この記事では、グループの書き戻しに関して Microsoft Entra 管理センターで操作を実行する方法について説明します。 セットアップと構成の詳細については、「Microsoft Entra Cloud Sync を使用してグループを Active Directory にプロビジョニングする (プレビュー)」を参照してください
プロビジョニング エージェント 1.1.1370.0 のリリースにより、クラウド同期で、オンプレミスの Active Directory 環境にグループを直接プロビジョニングできるようになりました。 この機能を使用すると、ID ガバナンス機能を使用して、Active Directory ベースのアプリケーションへのアクセスを管理できます。 たとえば、エンタイトルメント管理アクセス パッケージにグループを含めることができます。 現在はパブリック プレビューの段階です。
詳細については、「Active Directory へのグループ プロビジョニング」および「Microsoft Entra ID ガバナンス (プレビュー) を使用したオンプレミスの Active Directory ベースのアプリ (Kerberos) の管理」を参照してください。
重要
Microsoft Entra Connect Sync のグループ ライトバック v2 のパブリック プレビューは、2024 年 6 月 30 日以降は利用できなくなります。 この機能はこの日に廃止され、クラウド セキュリティ グループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。
Microsoft Entra Cloud Sync には、Active Directory へのグループ プロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウド セキュリティ グループを Active Directory にプロビジョニングするためにグループ ライトバック v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。
Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Sync に切り替える必要があります。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。 また、クラウド同期をサイド バイ サイドで実行し、クラウド セキュリティ グループ のプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。
Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ ライトバック v1 を使用し続けることができます。
ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。
Microsoft Entra Connect Sync グループの書き戻し v2 を使用している場合は、クラウド同期グループのプロビジョニングを利用する前に、Active Directory へのクラウド同期プロビジョニングに移行する必要があります。 詳しくは、「Migrate Microsoft Entra Connect Sync グループの書き戻し V2 を Microsoft Entra クラウド同期に移行する」ご覧ください。
Note
以前に Microsoft 365 グループをユニバーサル配布グループとしてオンプレミス Active Directory に書き戻していた場合は、[グループ] ページとグループのプロパティ ページの両方で、書き戻しが有効になっていない Azure portal に表示されます。 これらのページには、writeback enabled
プレビュー用に導入された新しいプロパティが表示されます。 このプロパティは、グループの書き戻しのレガシ バージョンとの下位互換性を確保し、既存の顧客のセットアップの中断を回避するために、グループの書き戻しの現在のバージョンでは設定されていません。
ポータルでの No writeback
の動作を把握するために、Microsoft Graph を使用して書き戻し状態を表示できます。 詳細については、「グループの取得」を参照してください。
ポータル | Microsoft Graph | Behavior |
---|---|---|
ライトバック | isEnabled = null または true | グループは書き戻されます。 |
書き戻しなし | isEnabled = false | グループは書き戻されません。 |
書き戻しなし | IsEnabled = null & onPremisesGroupType = null | Microsoft 365 グループの場合は、配布グループとしてオンプレミスの Active Directory に書き戻されます。 Microsoft Entra セキュリティ グループの場合は、オンプレミスの Active Directory に書き戻されません。 |
既定では、グループの [グループの書き戻し状態] は [書き戻しなし] に設定されています。 これは、以下のようなことを意味します。
- Microsoft 365 グループ: グループが
IsEnabled = null
かつonPremisesGroupType = null
である場合、前のバージョンのグループの書き戻しとの下位互換性を確保するために、グループは配布グループとしてオンプレミスの Active Directory に書き戻されます。 - Microsoft Entra セキュリティ グループ: グループが
IsEnabled = null
かつonPremisesGroupType = null
である場合、グループはオンプレミスの Active Directory に書き戻されます。
書き戻し列を表示する
[すべてのグループの概要] ページで、グループの書き戻し列 [ターゲットの書き戻しの種類] と [書き戻し有効済み] をビューに追加できます。 Microsoft Entra Connect で書き戻しが有効になっているかどうかに関わらず、ターゲット書き戻しの種類と書き戻しが有効済みになっている列をビューで使用できます。
書き戻し列の設定
書き戻しが有効な列を使用すると、個々のグループの書き戻し機能をオフにすることができます。 [ターゲットの書き戻しの種類] 列では、このクラウド グループをオンプレミス Active Directory に書き戻すグループの種類を指定できます。 Microsoft Entra Microsoft 365 グループの場合は、セキュリティ グループ、配布グループ、またはメールが有効なセキュリティ グループとして書き戻すことができます。 Microsoft Entra セキュリティ グループの場合は、セキュリティ グループとしてのみ書き戻すことができます。
グループ プロパティの書き戻し設定
グループのプロパティ ページで、グループの書き戻し設定を構成することもできます。 [グループの書き戻し状態] 設定を使用すると、グループの書き戻しをオフにしたり、書き戻しグループの種類を指定したりできます。 [書き戻しなし] が選択されている場合、グループは書き戻されません。 他の書き戻しの種類のいずれかをオプションとして選択した場合 (セキュリティなど)、次のようになります。
- グループの書き戻しは有効済み。
- 書き戻しの種類をセキュリティ グループとして対象済み。
PowerShell を使用して書き戻しの構成を読み取る
PowerShell を使用すると、次の PowerShell Get-MgGroup
コマンドレットを使用して、書き戻しが有効なグループの一覧を取得できます。
Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}
DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1 True
CloudGroup2 True
Graph Explorer を使用して書き戻しの構成を読み取る
Microsoft Graph エクスプローラーを開き、次のエンドポイント https://graph.microsoft.com/beta/groups/{Group_ID}
を使用します。
Group ID をクラウド グループ ID に置き換え、[クエリの実行] を選択します。 [応答プレビュー] で、最後までスクロールして JSON ファイルの一部を表示します。
"writebackConfiguration": {
"isEnabled": true,
...
}
次のステップ
- 設定テンプレートのプレビューの書き戻しプロパティのグループ REST API ドキュメントを確認してください。
- グループの書き戻し操作の詳細については、Microsoft Entra Connect グループの書き戻しに関するページを参照してください。
writebackConfiguration
リソースの詳細については、「writebackConfiguration
リソース タイプ」を参照してください。