Azure AD Connect グループの書き戻しを計画する

グループ ライトバックを使用すると、Azure AD Connect Sync を使用して、クラウド グループをオンプレミスの Active Directory に書き戻すことができます。この機能を使用すると、クラウド内のグループを管理しながら、オンプレミスのアプリケーションとリソースへのアクセスを制御できます。

グループ ライトバックには 2 つのバージョンがあります。 元のバージョンは一般提供されており、Microsoft 365 グループを配布グループとしてオンプレミスの Active Directory に書き戻すことに限定されています。 グループ ライトバックの新しい拡張バージョンはパブリック プレビュー段階であり、次の機能が有効になります。

  • Microsoft 365 グループは、配布グループ、セキュリティ グループ、またはメールが有効なセキュリティ グループとして書き戻すことができます。
  • Azure AD セキュリティ グループをセキュリティ グループとして書き戻すことができます。
  • すべてのグループは、ユニバーサルのグループスコープで書き戻されます。
  • 割り当てられているグループと動的メンバーシップを持つグループを書き戻すことができます。
  • ディレクトリ設定を構成して、新しく作成された Microsoft 365 グループが既定で書き戻されるかどうかを制御できます。
  • Azure AD 内のグループの入れ子は、両方のグループが AD に存在する場合に書き戻されます。
  • オンプレミスの AD 同期グループのメンバーとして入れ子になった書き戻されたグループは、入れ子になったものとして Azure AD に同期されます。
  • Azure AD の書き戻しが有効なグループのメンバーであるデバイスは、メンバーとして AD に書き戻されます。 Azure AD 登録済みデバイスと Azure AD 参加済みデバイスでは、グループ メンバーシップを書き戻すためにデバイス ライトバックを有効にする必要があります。
  • Active Directory グループの識別名に共通名を構成して、書き戻すときにグループの表示名を含めることができます。
  • Azure AD 管理ポータル、Graph Explorer、PowerShell を使用して、書き戻す Azure AD グループを構成できます。

新しいバージョンは、Azure AD Connect クライアント インスタンスごとにではなく、テナントで有効になります。 グループ ライトバックがクライアント インスタンスで現在有効になっている場合は、すべての Azure AD Connect クライアント インスタンスが Azure AD Connect バージョン 2.0 以降 の最小ビルドに更新されていることを確認します。

この記事では、テナントのグループ ライトバックを有効にする前に完了する必要があるアクティビティについて説明します。 これらのアクティビティには、現在の構成の検出、前提条件の検証、デプロイ方法の選択が含まれます。

環境内でグループ ライトバックが有効になっているかどうかを検出する

ご使用の環境で Azure AD Connect グループの書き戻しが既に有効になっているかどうかを検出するには、PowerShell コマンドレット Get-ADSyncAADCompanyFeature 使用します。 コマンドレットは、Azure AD Connect と共にインストールされる ADSync PowerShell モジュールの一部です。

Get-ADSyncAADCompanyFeature コマンドレットのスクリーンショット。

UnifiedGroupWriteback は元のバージョンを参照し、 は新しいバージョンを参照します。 GroupWritebackV2 は元のバージョンを参照し、 は新しいバージョンを参照します。

False は、機能が有効になっていることを示します。

既存の Microsoft 365 グループの現在の書き戻し設定を検出する

ポータルで Microsoft 365 グループの既存のライトバック設定を表示するには、各グループに移動し、そのプロパティを選択します。

Microsoft 365 グループのプロパティのスクリーンショット。

MS Graph で Get group を使用して書き戻し状態を表示することもできます 詳細については、「グループの 取得」を参照してください。

例: GET https://graph.microsoft.com/beta/groups?$filter=groupTypes/any(c:c eq 'Unified')&$select=id,displayName,writebackConfiguration

ある場合 isEnablednull または trueグループが書き戻されます。

isEnabled が false の場合、グループは書き戻されません。

最後に、PowerShell 経由で Microsoft Identity Tools PowerShell Module を使用して、書き戻しの状態を表示することもできます

例: Get-mggroup -filter "groupTypes/any(c:c eq 'Unified')" | Get-MsIdGroupWritebackConfiguration

新しく作成された Microsoft 365 グループの既定の書き戻し設定を検出する

まだ作成されていないグループについては、自動的に書き戻されるかどうかを確認できます。

新しく作成されたグループの環境での既定の動作を確認するには、Microsoft Graph の directorySetting リソースの種類を使用します。

例: GET https://graph.microsoft.com/beta/Settings

directorySettingGroup.UnifiedGroup.Unifiedが存在しない場合は、既定のディレクトリ設定が適用され、新しく作成された Microsoft 365 グループ 自動的に が書き戻されます。

falseNewUnifiedGroupWritebackDefault 値を持つ Group.Unified という名前の directorySetting が存在する場合、Microsoft 365 グループは作成時に自動的に書き戻しが有効になりません。 値が指定されていない場合、または true に設定されている場合、新しく作成された Microsoft 365 グループは自動的にが書き戻されます

PowerShell コマンドレット AzureADDirectorySetting を使用することもできます

例: (Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"} | FL *).values

何も返されない場合は、既定のディレクトリ設定を使用します。 新しく作成された Microsoft 365 グループ は自動的に 書き戻されます。

directorySettingfalseNewUnifiedGroupWritebackDefault値で返された場合、Microsoft 365 グループは作成時に自動的に書き戻しが有効になりません。 値が指定されていない場合、または true に設定されている場合、新しく作成された Microsoft 365 グループは自動的にが書き戻されます

AD が Exchange 用に準備されているかどうかを検出する

Active Directory が Exchange 用に準備されているかどうかを確認するには、「Exchange Server、Active Directory Exchange Server、Exchange Server Active Directory、Exchange 2019 Active Directory の Active Directory とドメインを準備する」を参照してください

パブリック プレビューの前提条件を満たす

グループの書き戻しの前提条件を次に示します。

  • Azure AD Premium 1 ライセンス
  • Azure AD Connect バージョン 2.0.89.0 以降

オプションの前提条件は、2016 CU15 以降Exchange Serverです。 必要なのは、Exchange ハイブリッドを使用してクラウド グループを構成する場合のみです。 Microsoft 365 グループの構成の詳細については、「オンプレミスの Exchange ハイブリッドを使用して Microsoft 365 グループを構成する」を参照してください。 Exchange 用に AD を準備してない場合、グループのメール関連の属性は書き戻されません。

適切なアプローチの選択

組織に適したデプロイ方法を選択するかどうかは、環境内のグループ書き戻しの現状と、必要な書き戻し動作によって異なります。

グループ ライトバックを有効にすると、次の既定の動作が発生します。

  • 既存のすべての Microsoft 365 グループは、今後作成されるすべての Microsoft 365 グループを含め、自動的に Active Directory に書き戻されます。 Azure AD セキュリティ グループは自動的に書き戻されません。 それぞれライトバックが有効になっている必要があります。

  • 書き戻されたグループは、書き戻しまたは論理的削除が無効になっている場合、AD では削除されません。 Azure AD で物理的な削除がされるまで、AD に残ります。

    Azure AD でこれらのグループに加えられた変更は、グループが書き戻しに対して再度有効になるか、論理的な削除状態から復元されるまで、書き戻されません。 この要件は、AD グループが意図せずに書き戻しのために無効になったり、Azure AD で論理的に削除されたりした場合に、AD グループが誤って削除されないように保護します。

  • 50,000 を超えるメンバーを持つ Microsoft 365 グループと 250,000 を超える Azure AD セキュリティ グループをオンプレミスに書き戻すことはできません。

既定の動作を維持するには、「グループの書き戻しを有効にする」に関する記事へ進んでください。

既定の動作は次のように変更できます。

  • 書き戻し用に構成されたグループのみが、新しく作成された Microsoft 365 グループを含めて書き戻されます。
  • オンプレミスに書き込まれたグループは、Azure AD でグループの書き戻しを無効にされるか、論理的な削除や物理的な削除をされると、AD で削除されます。
  • メンバー数が 250,000 までの Microsoft 365 グループをオンプレミスに書き戻すことができます。

既定の動作を変更する場合は、グループの書き戻しを有効にする前に変更することをお勧めします。 ただし、グループの書き戻しが既に有効になっている場合は、既定の動作を変更できます。 詳細については、「 Azure AD Connect グループライトバックの既定の動作を変更する」を参照してください。

パブリック プレビューの制限事項を理解する

このリリースでは広範なテストが行われていますが、それでも問題が発生する可能性があります。 このパブリック プレビュー リリースの目的の 1 つは、一般提供に移行する前にそのような問題を見つけて修正することです。

Microsoft では、このパブリック プレビュー リリースのサポートを提供していますが、発生した問題を直ちに修正できない場合があります。 このため、このリリースを運用環境にデプロイする前に、慎重に検討することをお勧めします。 

これらの制限事項と既知の問題は、グループ ライトバックに固有のものです。

  • Exchange Onlineで作成されたクラウド配布リスト グループを AD に書き戻すことはできません。サポートされるのは Microsoft 365 および Azure AD セキュリティ グループだけです。

  • 現在のバージョンのグループの書き戻しとの下位互換性を保つために、グループの書き戻しを有効にすると、既定では、既存のすべての Microsoft 365 グループが書き戻され、配布グループとして作成されます。

  • グループの書き戻しを無効にしても、Azure AD で物理的に削除されるまで、そのグループはオンプレミスの Active Directory から自動的に削除されません。 この動作は、「グループの書き戻しの変更」で説明されている手順に従って変更できます

  • Azure AD セキュリティ グループはスコープ 'ユニバーサル' で書き戻されるため、グループの書き戻しでは、スコープ 'ドメイン ローカル' を持つ入れ子になったグループ メンバーの書き戻しはサポートされていません。 このような入れ子になったグループがある場合は、Azure AD Connect にエクスポート エラーが表示され、"ユニバーサル グループはローカル グループをメンバーとして持つことができません" というメッセージが表示されます。 解決策は、スコープが 'ドメイン ローカル' のメンバーを Azure AD グループから削除するか、AD の入れ子になったグループ メンバー スコープを "グローバル" または "ユニバーサル" グループに更新することです。

  • グループの書き戻しでは、1 つの組織単位 (OU) へのグループの書き戻しのみがサポートされます。 この機能を有効にすると、選択した OU を変更することはできません。 回避策は、Azure AD Connect 全体でグループの書き戻しを無効にしてから、機能を再度有効にするときに別の OU を選択するというものになります。 

  • 書き戻しが有効なグループのメンバーである入れ子になったクラウド グループは、書き戻しを AD で入れ子に維持するためにも有効にする必要があります。

  • 新しいセキュリティグループの書き戻しを大規模に管理するためのグループの書き戻し設定は、まだ使用できません。 グループごとに書き戻しを構成する必要があります。 

    このような入れ子になったグループがある場合は、Azure AD Connect にエクスポート エラーが表示され、"ユニバーサル グループはローカル グループをメンバーとして持つことができません" というメッセージが表示されます。解決策は、 ドメイン ローカル スコープを持つメンバーを Azure AD グループから削除するか、Active Directory の入れ子になったグループ メンバー スコープを グローバル またはユニバーサルに更新 することです

  • グループ の書き戻しでは、1 つの組織単位 (OU) のみにグループを書き戻す機能がサポートされています。 機能を有効にした後では、選択した OU を変更することはできません。 回避策は、Azure AD Connect 全体でグループの書き戻しを無効にしてから、機能を再度有効にするときに別の OU を選択するというものになります。 

  • 書き戻しが有効なグループのメンバーである入れ子になったクラウド グループは、書き戻しを AD で入れ子に維持するためにも有効にする必要があります。

  • 新しいセキュリティグループの書き戻しを大規模に管理するためのグループの書き戻し設定は、まだ使用できません。 グループごとに書き戻しを構成する必要があります。 

次のステップ