Microsoft Entra Connect グループの書き戻しの使用計画を立てる

  • [アーティクル]

グループの書き戻しでは、Microsoft Entra Connect 同期によって、クラウド グループをオンプレミスの Active Directory インスタンスに書き戻すことができます。この機能を利用すると、グループをクラウド上で管理し、オンプレミスのアプリケーションやリソースに対するアクセスを制御できます。

重要

セキュリティ グループの書き戻し機能は、Microsoft Entra クラウド同期に置き換えられました。今後、この機能には Microsoft Entra クラウド同期を使う必要があります。 Microsoft Entra クラウド同期を使ってグループの書き戻しを構成する方法については、「Microsoft Entra Cloud Sync を使用してグループを Active Directory にプロビジョニングする」をご覧ください。クラウドでプロビジョニングおよび管理される Active Directory グループを使用してオンプレミスのアプリケーションを管理する方法については、「Microsoft Entra ID ガバナンスを使用してオンプレミスの Active Directory ベースのアプリ (Kerberos) を管理する」をご覧ください。

現在、Microsoft Entra Connect のグループ書き戻し V2 を使っている場合は、Microsoft Entra クラウド同期のこの機能に移行することを検討する必要があります。 詳しくは、「Microsoft Entra Connect Sync グループの書き戻し V2 を Microsoft Entra クラウド同期に移行する」ご覧ください。

これによる M365 グループの書き戻し機能への影響はなく、変更はありません。

グループ ライトバックには 2 つのバージョンがあります。 元のバージョンは一般提供済みで、オンプレミスの Active Directory インスタンスに配布グループとして Microsoft 365 グループを書き戻すことに機能が限定されています。 グループ ライトバックの新しい拡張バージョンはパブリック プレビュー段階であり、次の機能が有効になります。

  • Microsoft 365 グループは、配布グループ、セキュリティ グループ、またはメールが有効なセキュリティ グループとして書き戻すことができます。
  • Microsoft Entra のセキュリティ グループをセキュリティ グループとして書き戻すことができます。
  • すべてのグループの書き戻しは、ユニバーサルのグループ スコープで実施されます。
  • 割り当てられたメンバーシップと動的メンバーシップを持つグループを書き戻すことができます。
  • ディレクトリ設定を構成すると、既定で新しく作成された Microsoft 365 グループの書き戻しが実施されるかどうかを制御できます。
  • Microsoft Entra ID 内で入れ子になっているグループは、それらのグループが両方とも Active Directory 内に存在する場合は書き戻されます。
  • オンプレミスの Active Directory 同期グループのメンバーとして書き戻された入れ子のグループは、Microsoft Entra ID への同期時には入れ子のグループとして同期されます。
  • Microsoft Entra ID 内で書き戻し可能なグループのメンバーになっているデバイスは、Active Directory のメンバーとして書き戻されます。 Microsoft Entra 登録済みデバイスや Microsoft Entra 参加済みデバイスを書き戻すためには、デバイスの書き戻しがグループ メンバーシップ用に有効になっている必要があります。
  • Active Directory グループの識別名の共通名を構成すると、書き戻しを実施したときにグループの表示名を含めることができます。
  • どの Microsoft Entra グループを書き戻すかについての構成作業には、Microsoft Entra 管理センター、Graph Explorer、PowerShell を使用できます。

この新しいバージョンは、Microsoft Entra Connect クライアント インスタンスごとではなく、テナントに対して有効になります。 クライアント インスタンス上でグループの書き戻しが現在有効になっている場合は、すべての Microsoft Entra Connect クライアント インスタンスが Microsoft Entra Connect バージョン 2.0 以降の最小ビルドに更新されていることを確認してください。

この記事では、テナントでグループの書き戻しを有効にする前に完了する必要があるアクティビティについて説明します。 これらのアクティビティには、現在の構成の検出、前提条件の検証、デプロイ方法の選択が含まれます。

環境内でグループ ライトバックが有効になっているかどうかを検出する

お使いの環境で Microsoft Entra Connect グループの書き戻しが既に有効になっているかどうかを検出するには、PowerShell コマンドレット Get-ADSyncAADCompanyFeature を使用します。 このコマンドレットは、Microsoft Entra Connect と共にインストールされる ADSync PowerShell モジュールの一部です。

Screenshot of Get-ADSyncAADCompanyFeature cmdlet.

UnifiedGroupWriteback は元のバージョンを指します。 GroupWritebackV2 は最新のバージョンを指します。

False は、この機能が有効になっていることを示します。

既存の Microsoft 365 グループの現在の書き戻し設定を検出する

ポータルで Microsoft 365 グループの既存の書き戻し設定を表示するには、各グループに移動し、そのプロパティを選択します。

Screenshot of Microsoft 365 group properties.

Microsoft Graph で書き戻しの状態を表示することもできます。 詳細については、「グループの取得」を参照してください。

例: GET https://graph.microsoft.com/beta/groups?$filter=groupTypes/any(c:c eq 'Unified')&$select=id,displayName,writebackConfiguration

isEnablednull または true の場合、グループの書き戻しが実施されます。

isEnabledfalse の場合、グループの書き戻しは実施されません。

最後に、Microsoft Identity Tools PowerShell モジュールを使用することで、PowerShell 経由で書き戻しの状態を表示することもできます。

例: Get-mggroup -filter "groupTypes/any(c:c eq 'Unified')" | Get-MsIdGroupWritebackConfiguration

新しく作成された Microsoft 365 グループの既定の書き戻し設定を検出する

まだ作成されていないグループについて、自動的に書き戻しが実施されるかどうかを確認できます。

新しく作成されたグループの環境内で既定の動作を確認するには、Microsoft Graph で [directorySetting] リソースの種類を使用します。

例: GET https://graph.microsoft.com/beta/Settings

Group.Unified の値 directorySetting が存在しない場合、既定のディレクトリ設定が適用され、新しく作成された Microsoft 365 グループの書き戻しが "自動的に" 実施されます。

Group.Unified の 値 directorySettingfalse の値 NewUnifiedGroupWritebackDefault とともに存在する場合、Microsoft 365 グループの作成時に書き戻しは "自動的には有効になりません"。 値が指定されていない場合や true に設定されている場合、新しく作成された Microsoft 365 グループの書き戻しは "自動的に" 実施されます。

PowerShell コマンドレット AzureADDirectorySetting を使用することもできます。

例: Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"} | Select-Object -ExpandProperty Values

何も返されない場合は、既定のディレクトリ設定を使用しています。 新しく作成された Microsoft 365 グループの書き戻しが "自動的に" 実施されます。

directorySettingfalse の値 NewUnifiedGroupWritebackDefault とともに返された場合、Microsoft 365 グループの作成時に書き戻しは "自動的には有効になりません"。 値が指定されていない場合や true に設定されている場合、新しく作成された Microsoft 365 グループの書き戻しは "自動的に" 実施されます。

Active Directory が Exchange 用に準備されているかどうかを検出する

Exchange 用に Active Directory が準備されたかどうかを確認するには、「Exchange Server の Active Directory とドメインを準備する」を参照してください。

パブリック プレビューの前提条件を満たす

グループの書き戻しの前提条件を次に示します。

  • Microsoft Entra ID P1 または P2 ライセンス
  • Microsoft Entra Connect バージョン 2.0.89.0 以降

省略可能な前提条件は、Exchange Server 2016 CU15 以降です。 これは、Exchange ハイブリッドを使用してクラウド グループを構成する場合にのみ必要です。 詳細については、「オンプレミスの Exchange ハイブリッドを使用して Microsoft 365 グループを構成する」を参照してください。 Exchange 用に Active Directory を準備していない場合、グループのメール関連の属性の書き戻しは実施されません。

適切なアプローチの選択

環境内のグループの書き戻しの現状と必要な書き戻し動作に基づき、組織に適したデプロイ方法が決まります。

グループの書き戻しを有効にすると、次の既定の動作が発生します。

  • 今後作成されるすべての Microsoft 365 グループを含め、既存のすべての Microsoft 365 グループの Active Directory への書き戻しが自動的に実施されます。 Microsoft Entra セキュリティ グループの書き戻しは自動的には行われません。 それぞれについて書き戻しを有効にする必要があります。

  • 書き戻しが無効になっている場合や論理的削除が実施されている場合、書き戻しが実施されたグループは Active Directory で削除されません。 Microsoft Entra ID 内で物理的に削除されるまでは、Active Directory 内に残ります。

    Microsoft Entra ID 内でそれらのグループに変更が加えられても、変更内容の書き戻しは、グループの書き戻しが再度有効になるか、グループが論理的な削除状態から復元されるまでは実施されません。 この要件は、Microsoft Entra ID 内でグループの書き戻し無効化や論理的な削除が意図せず行われた場合に、Active Directory グループが誤って削除されるのを防ぐために役立ちます。

  • メンバー数が 50,000 を超える Microsoft 365 グループと、メンバー数が 250,000 を超える Microsoft Entra セキュリティ グループは、オンプレミスには書き戻せません。

既定の動作を維持するには、「Microsoft Entra Connect のグループの書き戻しを有効にする」を参照してください。

既定の動作は次のように変更できます。

  • 新しく作成された Microsoft 365 グループを含め、書き戻しを構成したグループのみに書き戻しを実施できます。
  • オンプレミスに書き込まれたグループは、Microsoft Entra ID でグループの書き戻し無効化、論理的な削除、物理的な削除のいずれかが行われると、Active Directory から削除されます。
  • メンバー数が 250,000 までの Microsoft 365 グループをオンプレミスに書き戻すことができます。

既定の動作を変更する場合は、グループの書き戻しを有効にする前に変更することをお勧めします。 ただし、グループの書き戻しが既に有効になっている場合でも、既定の動作を変更できます。 詳細については、「Microsoft Entra Connect グループの書き戻しの既定の動作を変更する」を参照してください。

Note

グループの書き戻しを有効にする前に、これらの変更を行う必要があります。そうしないと、既存のすべての Microsoft 365 グループが、Active Directory に自動的に書き戻されます。 また、この機能の新しいバージョンと元のバージョンを、記載されている順序で有効にする必要があります。 元の機能を最初に有効にした場合、既存のすべての Microsoft 365 グループが Active Directory に書き戻されます。

パブリック プレビューの制限事項について

このリリースでは広範なテストが行われていますが、それでも問題が発生する可能性があります。 このパブリック プレビューを提供する目的の 1 つは、この機能を一般提供する前に問題を見つけて修正することです。 また、パブリック プレビュー機能でも重大な変更が発生する可能性があるため、この機能を引き続き使用するには、構成に変更を加える必要があります。 また、予告なしに特定の機能を変更または削除する場合があります。 Microsoft ではこのパブリック プレビュー リリースのサポートを提供していますが、発生した問題を直ちに修正できない場合があります。 これらの理由から、運用環境ではこのリリースをデプロイしないことをお勧めします。 

これらの制限事項と既知の問題はグループの書き戻しに関するものです。

  • Exchange Online で作成した、クラウドの配布リスト グループは AD に書き戻せません。Microsoft 365 と Microsoft Entra のセキュリティ グループのみサポートされています。
  • 現在のバージョンのグループの書き戻しとの下位互換性を保つために、グループの書き戻しを有効にすると、既定では、既存のすべての Microsoft 365 グループが書き戻され、配布グループとして作成されます。
  • グループの書き戻しを無効にしても、そのグループはオンプレミスの Active Directory から自動的に削除されず、Microsoft Entra ID 内で物理的に削除されるまで Active Directory に残ります。 この動作は、「グループの書き戻しの変更」で説明されている手順に従って変更できます
  • グループの書き戻しでは、AD 内のスコープが "ドメイン ローカル" になっている入れ子のグループ メンバーを書き戻すことはできません。これは、Microsoft Entra のセキュリティ グループはスコープ "ユニバーサル" で書き戻されるためです。 このような入れ子のグループがあると、Microsoft Entra Connect のエクスポート エラーが発生し、"ユニバーサル グループはローカル グループをメンバーとして持つことができません" というメッセージが表示されます。 解決するには、スコープが "ドメイン ローカル" になっているメンバーを Microsoft Entra グループから削除するか、入れ子になったグループ メンバーの AD 内のスコープを "グローバル" または "ユニバーサル" グループに変更してください。
  • 書き戻しが有効なグループのメンバーである入れ子になったクラウド グループは、書き戻しを AD で入れ子に維持するためにも有効にする必要があります。
  • 新しいセキュリティグループの書き戻しを大規模に管理するためのグループの書き戻し設定は、まだ使用できません。 グループごとに書き戻しを構成する必要があります。 
  • グループの書き戻しでは、1 つの組織単位 (OU) へのグループの書き戻しのみがサポートされます。

次のステップ