Microsoft Entra 管理センターを使って、Azure AD から Azure Active Directory Domain Services への範囲指定された同期を構成する

Azure Active Directory Domain Services (Azure AD DS) は、認証サービスを提供するため、Azure AD からユーザーとグループを同期します。 ハイブリッド環境では、最初にオンプレミスの Active Directory Domain Services (AD DS) 環境のユーザーとグループが Azure AD Connect を使用して Azure AD に同期された後、Azure AD DS マネージド ドメインに同期されます。

既定では、Azure AD ディレクトリのすべてのユーザーとグループがマネージド ドメインに同期されます。 一部のユーザーのみが Azure AD DS を使用する必要がある場合は、代わりにユーザーのグループのみを同期することを選択できます。 同期のフィルターは、オンプレミス、クラウドのみ、またはその両方のグループに対して実行できます。

この記事では、Microsoft Entra 管理センターを使って、範囲を指定した同期を構成した後、範囲を指定したユーザー セットを変更したり、無効にしたりする方法について説明します。 これらの手順は、PowerShell を使用して行うこともできます。

開始する前に

この記事を完了するには、以下のリソースと特権が必要です。

• 有効な Azure サブスクリプション
  • Azure サブスクリプションをお持ちでない場合は、アカウントを作成してください。
• ご利用のサブスクリプションに関連付けられた Azure Active Directory テナント (オンプレミス ディレクトリまたはクラウド専用ディレクトリと同期されていること)。
  • 必要に応じて、Azure Active Directory テナントを作成するか、ご利用のアカウントに Azure サブスクリプションを関連付けます。
• Azure AD テナントで有効化され、構成された Azure Active Directory Domain Services のマネージド ドメイン。
  • 必要に応じて、Azure Active Directory Domain Services マネージド ドメインを作成して構成するチュートリアルを完了します。
• Azure AD DS の同期スコープを変更するには、アプリケーション管理者およびグループ管理者のAzure AD のロール がテナント内に必要となります。

範囲指定された同期の概要

既定では、Azure AD ディレクトリのすべてのユーザーとグループがマネージド ドメインに同期されます。 Azure AD で作成されたユーザー アカウントのみに同期のスコープを設定することも、すべてのユーザーを同期することもできます。

マネージド ドメインにアクセスする必要があるユーザーのグループが少数の場合は、[Filter by group entitlement](グループ エンタイトルメントでフィルター) を選択して、それらのグループのみを同期できます。 この範囲指定された同期はグループベースのみです。 グループベースの範囲指定された同期を構成した場合、指定したグループに属するユーザー アカウントのみがマネージド ドメインに同期されます。 入れ子になったグループは同期されません。指定したグループのみが同期されます。

同期スコープは、マネージド ドメインを作成する前または後に変更できます。 同期のスコープは、アプリケーション識別子 2565bd9d-da50-47d4-8b85-4c97f669dc36 を使用してサービス プリンシパルによって定義されます。 スコープが失われないようにするには、サービス プリンシパルを削除または変更しないでください。 誤って削除された場合、同期スコープを復旧できません。

同期スコープを変更する場合は、次の点にご注意ください。

• 完全同期が行われます。
• マネージド ドメインで不要になったオブジェクトは削除されます。 新しいオブジェクトは、マネージド ドメインに作成されます。

同期プロセスの詳細については、Azure AD Domain Services での同期の理解に関する記事を参照してください。

範囲指定された同期を有効にする

Microsoft Entra 管理センターで範囲を指定した同期を有効にするには、次の手順を実行します。

1. Microsoft Entra 管理センターで、Azure AD Domain Services を検索して選びます。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。

2. 左側のメニューで、 [同期] を選択します。

3. [同期スコープ] で、[すべて] または [クラウドのみ] を選択します。

4. 選択したグループ用に同期をフィルター処理するには、[選択したグループの表示] をクリックし、クラウドのみのグループ、オンプレミスのグループ、またはその両方のいずれを同期するかを選択します。 たとえば、次のスクリーンショットは、Azure AD で作成された 3 つのグループのみを同期する方法を示しています。 これらのグループに属するユーザーのアカウントのみが Azure AD DS に同期されます。

   

5. グループを追加するには、[グループの追加] をクリックし、追加するグループを検索して選択します。

6. すべての変更が行われたら、 [同期スコープを保存します] を選択します。

同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。

範囲指定された同期を変更する

マネージド ドメインにユーザーが同期されるグループの一覧を変更するには、次の手順を行います。

1. Microsoft Entra 管理センターで、Azure AD Domain Services を検索して選びます。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
2. 左側のメニューで、 [同期] を選択します。
3. グループを追加するには、上部にある [+ グループの追加] を選択し、追加するグループを選択します。
4. 同期スコープからグループを削除するには、現在同期されているグループの一覧からそのグループを選択し、 [グループの削除] を選択します。
5. すべての変更が行われたら、 [同期スコープを保存します] を選択します。

同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。

範囲指定された同期を無効にする

マネージド ドメインのグループベースの範囲指定された同期を無効にするには、次の手順を行います。

1. Microsoft Entra 管理センターで、Azure AD Domain Services を検索して選びます。 目的のマネージド ドメインを選択します (例: aaddscontoso.com )。
2. 左側のメニューで、 [同期] を選択します。
3. [Show selected groups](選択したグループを表示する) のチェック ボックスをオフにし、[同期スコープを保存します] をクリックします。

同期のスコープを変更すると、マネージド ドメインですべてのデータが再同期されます。 マネージド ドメインで不要になったオブジェクトは削除されます。また、再同期が完了するまでにはしばらく時間がかかる場合があります。

次のステップ

同期プロセスの詳細については、Azure AD Domain Services での同期の理解に関する記事を参照してください。