エンタイトルメント管理内でのグループ書き戻しの設定

この記事では、エンタイトルメント管理でのグループ書き戻しを設定する方法について説明します。 グループの書き戻しは、Microsoft Entra クラウド同期を使用してクラウド グループをオンプレミスの Active Directory インスタンスに書き戻せるようにする機能です。

エンタイトルメント管理でグループの書き戻しを設定する

アクセス パッケージで Microsoft 365 グループのグループの書き戻しを設定するには、次の前提条件を完了する必要があります。

• Microsoft Entra グループの書き戻しを設定します。
• Microsoft Entra クラウド同期 構成でグループ書き戻しの設定に使用される組織単位 (OU)。
• Microsoft Entra クラウド同期 でのグループの書き戻しの有効化手順を完了します。

グループの書き戻しの使用により、アクセス パッケージの一部であるセキュリティ グループをオンプレミスの Active Directory と同期できるようになりました。 グループを同期するには、次の手順に従います。

1. Microsoft Entra セキュリティ グループを作成します。

2. そのグループをオンプレミスの Active Directory に書き戻されるように設定します。 手順については、Microsoft Entra 管理センターのグループの書き戻しを参照してください。

3. そのグループをリソース ロールとしてアクセス パッケージに追加します。 ガイダンスについては、新しいアクセス パッケージの作成に関するページを参照してください。

4. Active Directory ユーザーとコンピューターを起動し、新しい ADグループが AD ドメインに作成されるのを待ちます。 作成されたら、新しい AD グループの識別名、ドメイン、アカウント名、SID を記録します。

5. 「Microsoft Entra ID ガバナンス を使用したオンプレミス Active Directory ベースのアプリ (Kerberos) の管理」の説明に従って、アプリケーションを更新するか、既存のグループのメンバーとしてグループを追加して、新しいグループを使用するようにアプリケーションを構成します。

6. アクセス パッケージにユーザーを割り当てます。 ユーザーを直接割り当てる手順については、アクセス パッケージの割り当ての表示、追加、削除に関するページを参照してください。

7. アクセス パッケージにユーザーを割り当てた後、Microsoft Entra クラウド同期サイクルが完了したら、そのユーザーがオンプレミス グループのメンバーになっていることを確認します:

   1. オンプレミス OU 内のグループのメンバー プロパティを表示するか、または
   2. ユーザー オブジェクトの [メンバーの所属先] を確認します。

   Note

   Microsoft Entra クラウド同期の既定の同期サイクル スケジュールは 30 分おきです。 次のサイクルが実行されるまで待って結果をオンプレミスで確認するか、または結果をより早く確認するために同期サイクルの手動での実行を選択することが必要になる場合があります。

8. AD ドメインの監視で、プロビジョニング エージェントを実行する gMSA アカウントのみに新しい AD グループのメンバーシップを変更する認可を与えます。

次のステップ

• エンタイトルメント管理でリソースのカタログを作成して管理する
• エンタイトルメント管理でアクセス パッケージ管理者にアクセス ガバナンスを委任する