Microsoft Entra Connect のグループの書き戻しの既定の動作を変更する

グループの書き戻しは、Microsoft Entra Connect 同期を使用してクラウド グループをオンプレミスの Active Directory インスタンスに書き戻せるようにする機能です。この既定の動作は、次の方法で変更できます。

• 新しく作成された Microsoft 365 グループを含め、書き戻しを構成したグループのみに書き戻しを実施できます。
• 書き戻されたグループは、Microsoft Entra ID でグループの書き戻しを無効にされるか、論理的または物理的に削除されると、Active Directory で削除されます。
• メンバー数が 250,000 までの Microsoft 365 グループをオンプレミスに書き戻すことができます。

この記事では、Microsoft Entra Connect のグループの書き戻しの既定の動作を変更するためのオプションについて説明します。

既存のデプロイに関する考慮事項

グループの書き戻しの元のバージョンが既に有効になっていて、環境内で使用されている場合、すべての Microsoft 365 グループが既に Active Directory に書き戻されています。 すべての Microsoft 365 グループを無効にする代わりに、以前に書き戻されたグループの使用状況を確認します。 オンプレミスの Active Directory で不要になったものだけを無効にします。

新しい Microsoft 365 グループの自動書き戻しを無効にする

新しく作成された Microsoft 365 グループの自動書き戻しを無効にするようにディレクトリ設定を構成するには、次のいずれかの方法を使います。

• PowerShell: Microsoft Graph PowerShell SDK を使います。 次に例を示します。

    # Import Module
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Directory.ReadWrite.All
  
  
    # Verify if "Group.Unified" directory settings exist
    $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}
  
    # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
    if ($DirectorySetting) 
    {
      $params = @{
        Values = @(
          @{
            Name = "NewUnifiedGroupWritebackDefault"
            Value = $false
          }
        )
      }
      Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
    }
    else
    {
      # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
      # Import "Group.Unified" template values to a hashtable
      $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
      $TemplateValues = @{}
      $Template.Values | ForEach-Object {
          $TemplateValues.Add($_.Name, $_.DefaultValue)
      }
  
      # Update the value for new unified group writeback default
      $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false
  
      # Create a directory setting using the Template values hashtable including the updated value
      $params = @{}
      $params.Add("TemplateId", $Template.Id)
      $params.Add("Values", @())
      $TemplateValues.Keys | ForEach-Object {
          $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
      }
      New-MgBetaDirectorySetting -BodyParameter $params
    }
  

Note

Microsoft Graph PowerShell SDK と PowerShell 7 を使うことをお勧めします。

• Microsoft Graph: directorySetting リソースの種類を使います。

既存の Microsoft 365 グループすべての書き戻しを無効にする

これら変更前に作成されたすべての Microsoft 365 グループの書き戻しを無効にするには、次のいずれかの方法を使います。

• ポータル: Microsoft Entra 管理センターを使います。

• PowerShell: Microsoft Graph PowerShell SDK を使います。 次に例を示します。

    #Import-module
    Import-Module Microsoft.Graph.Beta
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Group.ReadWrite.All
  
    #List all Microsoft 365 Groups
    $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}
  
    #Disable Microsoft 365 Groups
    Foreach ($group in $Groups) 
    {
      Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
    }
  

• Microsoft Graph Explorer: グループ オブジェクトを使う。

書き戻しが無効にされたとき、または論理的に削除されたときにグループを削除する

Note

Active Directory で書き戻されたグループを削除した後、書き戻しを再び有効にしたり、論理的な削除の状態から復元したりしても、グループは Active Directory のごみ箱機能から自動的に復元されません。 新しいグループが作成されます。 削除されたグループが、書き戻しを再び有効にする前に Active Directory のごみ箱から復元された場合、または Microsoft Entra ID で論理的な削除の状態から復元された場合は、それぞれの Microsoft Entra グループに参加させられます。

1. Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。

2. Microsoft Entra Connect 同期スケジューラを無効にする:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. 書き戻しが無効にされるか論理的に削除された場合に、書き戻されたグループを削除するカスタム同期規則を、Microsoft Entra Connect で作成します。

   import-module ADSync 
   $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 
   
   New-ADSyncRule  `
   -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
   -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
   -Direction 'Inbound' `
   -Precedence $precedenceValue `
   -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
   -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
   -SourceObjectType 'group' `
   -TargetObjectType 'group' `
   -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
   -LinkType 'Join' `
   -SoftDeleteExpiryInterval 0 `
   -ImmutableTag '' `
   -OutVariable syncRule
   
   Add-ADSyncAttributeFlowMapping  `
   -SynchronizationRule $syncRule[0] `
   -Destination 'reasonFiltered' `
   -FlowType 'Expression' `
   -ValueMergeType 'Update' `
   -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
    -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
   -ArgumentList 'cloudMastered','true','EQUAL' `
   -OutVariable condition0
   
   Add-ADSyncScopeConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -ScopeConditions @($condition0[0]) `
   -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
   -ArgumentList 'cloudAnchor','cloudAnchor',$false `
   -OutVariable condition0
   
   Add-ADSyncJoinConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -JoinConditions @($condition0[0]) `
   -OutVariable syncRule
   
   Add-ADSyncRule  `
   -SynchronizationRule $syncRule[0]
   
   Get-ADSyncRule  `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
   

4. グループの書き戻しを有効にします。

5. Microsoft Entra Connect 同期スケジューラを有効にする:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Note

同期規則を作成すると、Microsoft Entra コネクタで完全同期のフラグが true に設定されます。 この変更により、次の同期サイクルで規則の変更が全体に反映されます。

メンバー数が 250,000 までの Microsoft 365 グループを書き戻す

グループの書き戻しが有効になるとグループ サイズを制限する既定の同期規則が作成されるため、グループの書き戻しを有効にした後で次の手順を完了する必要があります。

1. Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。

2. Microsoft Entra Connect 同期スケジューラを無効にする:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. 同期規則エディターを開きます。

4. 方向を [送信] に設定します。

5. Out to AD – Group Writeback Member Limit 同期規則を見つけて無効にします

6. Microsoft Entra Connect 同期スケジューラを有効にする:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Note

同期規則を無効にすると、Microsoft Entra コネクタで完全同期のフラグが true に設定されます。 この変更により、次の同期サイクルで規則の変更が全体に反映されます。

Active Directory のごみ箱から復元する

書き戻しが無効にされるか論理的に削除されたときにグループを削除するように既定の動作を更新する場合、Active Directory のオンプレミス インスタンスに対して Active Directory のごみ箱機能を有効にすることをお勧めします。 この機能を使うと、以前に削除された Active Directory グループを手動で復元できるため、書き戻しの無効化や論理的な削除を誤って行ってしまった場合でも、それらのグループをそれぞれの Microsoft Entra グループに再び参加させられるようになります。

Microsoft Entra ID で書き戻しを再び有効にするか、論理的な削除から復元する前に、まず Active Directory でグループを復元する必要があります。

次のステップ

• Microsoft Entra Connect グループの書き戻し
• Microsoft Entra Connect グループの書き戻しを有効にする
• Microsoft Entra Connect グループの書き戻しを無効にする