Microsoft Entra Cloud Sync を使ったグループ書き戻し

[アーティクル]
04/30/2024

プロビジョニングエージェント 1.1.1370.0 がリリースされ、クラウド同期でグループ書き戻しを実行できるようになりました。この機能は、クラウド同期によってグループをオンプレミスの Active Directory 環境に直接プロビジョニングできることを意味します。また、エンタイトルメント管理アクセスパッケージにグループを含めるなど、ID ガバナンス機能を使って AD ベースのアプリケーションへのアクセスを管理できるようになりました。

重要

Microsoft Entra Connect Sync のグループライトバック v2 のパブリックプレビューは、2024 年 6 月 30 日以降は利用できなくなります。この機能はこの日に廃止され、クラウドセキュリティグループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。この機能は、提供終了日を過ぎても引き続き動作しますが、この日以降はサポートを受けなくなり、常に予告なしに機能しなくなる可能性があります。

Microsoft Entra Cloud Sync には、Active Directory へのグループプロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウドセキュリティグループを Active Directory にプロビジョニングするためにグループ書き戻し v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。

Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Syncに切り替える必要があります。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。また、クラウド同期をサイドバイサイドで実行し、クラウドセキュリティグループのプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。

Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ書き戻し v1 を使用し続けることができます。

ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。

Microsoft Entra ID を Active Directory にプロビジョニングする - 前提条件

Active Directory へのグループのプロビジョニングを実装するには、次の前提条件が必要です。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 のライセンスが必要です。要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

一般的な要件

少なくともハイブリッド ID 管理者ロールを持つ Microsoft Entra アカウント。
Windows Server 2016 オペレーティングシステム以降のオンプレミスの Active Directory Domain Services 環境。
- AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
ビルドバージョンが 1.1.1370.0 以降のプロビジョニングエージェント。

注意

サービスアカウントへのアクセス許可は、クリーンインストール時にのみ割り当てられます。以前のバージョンからアップグレードする場合は、PowerShell コマンドレットを使用して手動でアクセス許可を割り当てる必要があります。

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

アクセス許可が手動で設定されている場合、すべての子孫のグループおよびユーザーオブジェクトのプロパティをすべて確実に読み取り、書き込み、作成、および削除する必要があります。

既定では、これらのアクセス許可は AdminSDHolder オブジェクトには適用されません (「Microsoft Entra プロビジョニングエージェント gMSA PowerShell コマンドレット」を参照)

プロビジョニングエージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバルカタログ) 上の 1 つ以上のドメインコントローラーと通信できる必要があります。
- 無効なメンバーシップ参照をフィルターで除外するためのグローバルカタログ検索に必要です
ビルドバージョンが 2.2.8.0 以降の Microsoft Entra Connect Sync
- Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザーメンバーシップをサポートするために必要です
- AD:user:objectGUID を AAD:user:onPremisesObjectIdentifier に同期するために必要です

サポートされているグループとスケールの制限

以下のことがサポートされています。

クラウドで作成されたセキュリティグループのみがサポートされます
これらのグループは、割り当てられたメンバーシップグループでも動的メンバーシップグループでもかまいません。
これらのグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティグループのみを含めることができます。
同期され、このクラウド作成セキュリティグループのメンバーであるオンプレミスのユーザーアカウントは、同じドメインからのもの、またはクロスドメインでもかまいませんが、フォレストはすべて同じでなければなりません。
これらのグループは、ユニバーサルの AD グループのスコープで書き戻されます。オンプレミス環境で、ユニバーサルグループスコープをサポートしている必要があります。
メンバーが 50,000 を超えるグループはサポートされていません。
150,000 を超えるオブジェクトを持つテナントはサポートされていません。つまり、テナントに 150K オブジェクトを超えるユーザーとグループの組み合わせがある場合、テナントはサポートされません。
直接の子の入れ子になった各グループは、参照グループで 1 つのメンバーとしてカウントされます
グループが Active Directory で手動で更新される場合、Microsoft Entra ID と Active Directory の間のグループの調整はサポートされません。

追加情報

Active Directory へのグループのプロビジョニングに関する追加情報を以下に示します。

クラウド同期を使用して AD にプロビジョニングされたグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティグループのみを含めることができます。
これらのユーザーのアカウントに onPremisesObjectIdentifier 属性が設定されている必要があります。
onPremisesObjectIdentifier は、ターゲット AD 環境の対応する objectGUID と一致する必要があります。
オンプレミスユーザーの objectGUID 属性からクラウドユーザーの onPremisesObjectIdentifier 属性への同期は、Microsoft Entra Cloud Sync (1.1.1370.0) または Microsoft Entra Connect Sync (2.2.8.0) を使用して行うことができます
Microsoft Entra Cloud Sync ではなく、Microsoft Entra Connect Sync (2.2.8.0) を使ってユーザーを同期し、AD へのプロビジョニングを使用する場合は、2.2.8.0 以降である必要があります。
Microsoft Entra ID から Active Directory へのプロビジョニングでは、通常の Microsoft Entra ID テナントのみがサポートされています。 B2C などのテナントはサポートされていません。
グループプロビジョニングジョブは、20 分ごとに実行するようにスケジュールされています。