Azure portal を使用して、Azure AD から Azure Active Directory Domain Services への範囲指定された同期を構成する

Azure Active Directory Domain Services (Azure AD DS) は、認証サービスを提供するため、Azure AD からユーザーとグループを同期します。 ハイブリッド環境では、最初にオンプレミスの Active Directory Domain Services (AD DS) 環境のユーザーとグループが Azure AD Connect を使用して Azure AD に同期された後、Azure AD DS マネージド ドメインに同期されます。

既定では、Azure AD ディレクトリのすべてのユーザーとグループがマネージド ドメインに同期されます。 特定のニーズがある場合は、代わりに、定義したユーザー セットのみを同期することを選択できます。

この記事では、Azure portal 使用して、範囲指定された同期を構成した後、範囲指定されたユーザー セットを変更したり、無効にしたりする方法について説明します。 これらの手順は、PowerShell を使用して行うこともできます。

開始する前に

この記事を完了するには、以下のリソースと特権が必要です。

範囲指定された同期の概要

既定では、Azure AD ディレクトリのすべてのユーザーとグループがマネージド ドメインに同期されます。 マネージド ドメインにアクセスする必要のあるユーザーが少数しかいない場合は、それらのユーザー アカウントのみを同期することができます。 この範囲指定された同期はグループベースです。 グループベースの範囲指定された同期を構成した場合、指定したグループに属するユーザー アカウントのみがマネージド ドメインに同期されます。 入れ子になったグループは同期されません。選択した特定のグループのみが同期されます。

同期スコープは、マネージド ドメインを作成する前または後に変更できます。 同期のスコープは、アプリケーション識別子 2565bd9d-da50-47d4-8b85-4c97f669dc36 を使用してサービス プリンシパルによって定義されます。 スコープが失われないようにするには、サービス プリンシパルを削除または変更しないでください。 誤って削除された場合、同期スコープを復旧できません。

同期スコープを変更する場合は、次の点にご注意ください。

  • 完全同期が行われます。
  • マネージド ドメインで不要になったオブジェクトは削除されます。 新しいオブジェクトは、マネージド ドメインに作成されます。

同期プロセスの詳細については、Azure AD Domain Services での同期の理解に関する記事を参照してください。

範囲指定された同期を有効にする

Azure portal で範囲指定された同期を有効にするには、次の手順を行います。

  1. Azure portal で、Azure AD Domain Services を検索して選択します。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
  2. 左側のメニューで、 [同期] を選択します。
  3. [同期の種類] で、 [範囲指定] を選択します。
  4. [グループの選択] を選択し、追加するグループを検索して選択します。
  5. すべての変更が行われたら、 [同期スコープを保存します] を選択します。

同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。

範囲指定された同期を変更する

マネージド ドメインにユーザーが同期されるグループの一覧を変更するには、次の手順を行います。

  1. Azure portal で、Azure AD Domain Services を検索して選択します。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
  2. 左側のメニューで、 [同期] を選択します。
  3. グループを追加するには、上部にある [+ グループの選択] を選択し、追加するグループを選択します。
  4. 同期スコープからグループを削除するには、現在同期されているグループの一覧からそのグループを選択し、 [グループの削除] を選択します。
  5. すべての変更が行われたら、 [同期スコープを保存します] を選択します。

同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。

範囲指定された同期を無効にする

マネージド ドメインのグループベースの範囲指定された同期を無効にするには、次の手順を行います。

  1. Azure portal で、Azure AD Domain Services を検索して選択します。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
  2. 左側のメニューで、 [同期] を選択します。
  3. [同期の種類][範囲指定] から [すべて] に変更し、 [同期スコープを保存します] を選択します。

同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。

次のステップ

同期プロセスの詳細については、Azure AD Domain Services での同期の理解に関する記事を参照してください。