Entra Connectで同期対象OUをフィルタリングしている際のハイブリッド参加の展開動作についての質問です。

Question

一部のデバイスについてのみEntraハイブリッド参加として検証したいと考えています。

https://learn.microsoft.com/ja-jp/entra/identity/devices/hybrid-join-plan#review-targeted-microsoft-entra-hybrid-join（対象を絞った Microsoft Entra ハイブリッド参加を確認する）で紹介されている記事 https://learn.microsoft.com/ja-jp/entra/identity/devices/hybrid-join-control に記載の内容では、

1. サービス接続ポイント (SCP) エントリを Active Directory (AD) からクリアする。
2. SCP のクライアント側レジストリ設定を構成するGPOを作成する。
3. "2."で作成したGPOを特定のOUにリンクする

という手順となっており、この手順で意図したとおり一部OUに属するデバイスのみEntraハイブリッド参加とすることはできました。

が、そもそもEntra Connectの同期オプションにおいて同期するOUを指定している場合、「SCPクリア & GPO作成」によらなくても、SCP構成を行えばEntra Connectで同期対象として指定されているOUに属するデバイスのみがEntraハイブリッド参加の対象になる、と予想しているのですが、この理解で合ってますでしょうか？

理解が間違っていて「大量のデバイス分の新規同期が発生し、Entraその他の動き・レスポンス等に悪影響が発生する」ことを心配しており、アドバイスいただけますと心強いです。

よろしくお願いいたします。

Answer 1

Entra ID Connect の同期の対象はユーザーとグループで、デバイス オブジェクトは既定では同期の対象ではありません。Entra ID Connect の「デバイス オプション」で「ハイブリッド Azure AD 参加の構成」を有効にして SCP を構成すると、オンプレミス AD に参加しているデバイスがドメインの SCP を読み取って、デバイスの Azure AD（Entra ID）への登録が行われます。

このため参加対象を制限するには、ドメイン（AD DS に格納されている属性情報として）の SCP（があれば）を削除し、代わりに参加させるデバイスに対してのみ SCP 情報のレジストリを直接（グループポリシーなどで）構成する必要があると理解しています。

参考

• https://jpazureid.github.io/blog/azure-active-directory/how-to-create-hybridazureadjoin-managed/