次の方法で共有

Microsoft Entra Connect Sync グループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する

  • [アーティクル]

重要

Microsoft Entra Connect Sync のグループ ライトバック v2 のパブリック プレビューは、2024 年 6 月 30 日以降は利用できなくなります。 この機能はこの日に廃止され、クラウド セキュリティ グループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。

Microsoft Entra Cloud Sync には、Active Directory へのグループ プロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウド セキュリティ グループを Active Directory にプロビジョニングするためにグループ ライトバック v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。

Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Sync に切り替える必要があります。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。 また、クラウド同期をサイド バイ サイドで実行し、クラウド セキュリティ グループ のプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。

Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ ライトバック v1 を使用し続けることができます。

ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。

次のドキュメントでは、Microsoft Entra Connect Sync (旧称 Azure AD Connect) を使用したグループ書き戻しを Microsoft Entra Cloud Sync に移行する方法について説明します。このシナリオは、現在 Microsoft Entra Connect グループ書き戻し v2 を使用しているお客様のみを対象としています。 このドキュメントで概説するプロセスは、ユニバーサル スコープで書き戻される、クラウドで作成されたセキュリティ グループにのみ関連するものです。 Microsoft Entra Connect グループ書き戻し V1 または V2 を使用して書き戻される、メールが有効なグループおよび DL は、サポートされていません。

重要

このシナリオは、現在 Microsoft Entra Connect グループ書き戻し v2 を使用しているお客様のみを対象としています

また、このシナリオは次の場合にのみサポートされます。

Microsoft Entra Connect グループ書き戻し V1 または V2 を使用して書き戻される、メールが有効なグループおよび DL は、サポートされていません。

詳細については、「Microsoft Entra Cloud Sync による Active Directory へのプロビジョニング FAQ」を参照してください。

前提条件

このシナリオを実装するには、次の前提条件を満たす必要があります。

  • 少なくともハイブリッド管理者ロールを持つ Microsoft Entra アカウント。
  • 少なくともドメイン管理者のアクセス許可を持つオンプレミスの AD アカウント - adminDescription 属性にアクセスし、それを msDS-ExternalDirectoryObjectId 属性にコピーするために必要です。
  • Windows Server 2016 オペレーティング システム以降のオンプレミスの Active Directory Domain Services 環境。
    • AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
  • ビルド バージョンが 1.1.1367.0 以降のプロビジョニング エージェント。
  • プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上のドメイン コントローラーと通信できる必要があります。
    • 無効なメンバーシップ参照をフィルターで除外するためのグローバル カタログ検索に必要です

手順 1 - adminDescription を msDS-ExternalDirectoryObjectID にコピーする

  1. ご利用のオンプレミスの環境で、ADSI エディターを開きます。

  2. グループの adminDescription 属性内の値をコピーします

    adminDescription 属性のスクリーンショット。

  3. msDS-ExternalDirectoryObjectID 属性に貼り付けます

    msDS-ExternalDirectoryObjectID 属性のスクリーンショット。

手順 2 - Microsoft Entra Connect Sync サーバーをステージング モードにし、同期スケジューラを無効にする

  1. Microsoft Entra Connect Sync ウィザードを起動します。

  2. [構成] をクリックします

  3. [ステージング モードの構成] を選択し、[次へ]をクリックします。

  4. Microsoft Entra 資格情報を入力します。

  5. [ステージング モードを有効にする] ボックスをオンにし、[次へ] をクリックします。

    ステージング モードを有効にする場合のスクリーンショット。

  6. [構成] をクリックします

  7. [終了]をクリックします。

    ステージング モードの成功のスクリーンショット。

  8. Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。

  9. 同期スケジューラを無効にします。

    Set-ADSyncScheduler -SyncCycleEnabled $false

手順 3 - カスタムのグループ インバウンド規則を作成する

Microsoft Entra Connect 同期規則エディターでは、メール属性の値が NULL であるグループをフィルター除外するインバウンド同期規則を作成する必要があります。 受信同期規則は、cloudNoFlow のターゲット属性を持つ結合規則です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。

  1. 以下に示すように、デスクトップのアプリケーション メニューから同期エディターを起動します。

  2. [方向] のドロップダウン リストから [受信] を選択し、[新しいルールの追加] を選択します。

  3. [説明] ページで次のように入力し、[次へ] を選択します。

    • [名前]: 規則にわかりやすい名前を付けます

    • 説明: わかりやすい説明を追加します

    • 接続システム: カスタム同期ルールの作成対象となる Microsoft Entra コネクタを選択します

    • [接続先システム オブジェクトの種類]: グループ

    • [メタバース オブジェクトの種類]: グループ

    • [リンクの種類]: Join

    • [優先順位]: システム内で一意になる値を指定します

    • タグ: 空のままにします

      受信同期規則のスクリーンショット。

  4. [スコープ フィルター] ページで、次の内容を追加して、[次へ] を選択します。

    属性 オペレーター
    cloudMastered EQUAL true
    mail ISNULL

    スコープ フィルターのスクリーンショット。

  5. [結合] 規則ページで、[次へ] を選択します。

  6. [変換] ページで、cloudNoFlow 属性に Constant transformation: flow True を追加します。 [追加] を選択します。

    変換のスクリーンショット。

手順 4 - カスタムのグループ アウトバウンド規則を作成する

また、リンクの種類が JoinNoFlow である送信同期規則と、cloudNoFlow 属性が True に設定されているスコープ フィルターも必要です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。

  1. [方向] のドロップダウン リストから [送信] を選択し、[ルールの追加] を選択します。

  2. [説明] ページで次のように入力し、[次へ] を選択します。

    • [名前]: 規則にわかりやすい名前を付けます
    • 説明: わかりやすい説明を追加します
    • [接続先システム]: カスタム同期規則の作成対象となる AD コネクタを選択します
    • [接続先システム オブジェクトの種類]: グループ
    • [メタバース オブジェクトの種類]: グループ
    • [リンクの種類]: JoinNoFlow
    • [優先順位]: システム内で一意になる値を指定します
    • タグ: 空のままにします

    送信同期規則のスクリーンショット。

  3. [Scoping filter](スコープ フィルター) ページで、cloudNoFlow = True を選択します。 [次へ] を選択します。

    送信スコープ フィルターのスクリーンショット。

  4. [結合] 規則ページで、[次へ] を選択します。

  5. [変換] ページで [追加] を選択します。

手順 5 - PowerShell を使用して構成を完了する

  1. Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。

  2. ADSync モジュールをインポートします。

    Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'

  3. 完全同期サイクルを実行します。

    Start-ADSyncSyncCycle -PolicyType Initial

  4. テナントのグループの書き戻し機能を無効にします。

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false

  5. 完全同期サイクルを実行します (もう一度です)。

    Start-ADSyncSyncCycle -PolicyType Initial

  6. 同期スケジューラを再度有効にする:

    Set-ADSyncScheduler -SyncCycleEnabled $true

    PowerShell 実行のスクリーンショット。

手順 6 - Microsoft Entra Connect Sync サーバーをステージング モードから削除する

  1. Microsoft Entra Connect Sync ウィザードを起動します。
  2. [構成] をクリックします
  3. [ステージング モードの構成] を選択し、[次へ]をクリックします。
  4. Microsoft Entra 資格情報を入力します。
  5. [ステージング モードを有効にする] ボックスをオフにし、[次へ] クリッします。
  6. [構成] をクリックします
  7. [終了]をクリックします。

手順 7 - Microsoft Entra Cloud Sync を構成する

これで、Microsoft Entra Connect Sync のスコープから該当するグループが正常に削除されたので、Microsoft Entra Cloud Sync のセットアップおよび構成を行うことができます。 「Microsoft Entra Cloud Sync を使用してグループを Active Directory にプロビジョニングする」を参照してください。

次のステップ