Microsoft Entra Connect Sync グループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する

次のドキュメントでは、Microsoft Entra Connect Sync (旧称 Azure AD Connect) を使用したグループ書き戻しを Microsoft Entra Cloud Sync に移行する方法について説明します。このシナリオは、現在 Microsoft Entra Connect グループ書き戻し v2 を使用しているお客様のみを対象としています。 このドキュメントで概説するプロセスは、ユニバーサル スコープで書き戻される、クラウドで作成されたセキュリティ グループにのみ関連するものです。 Microsoft Entra Connect グループ書き戻し V1 または V2 を使用して書き戻される、メールが有効なグループおよび DL は、サポートされていません。

詳細については、「Microsoft Entra Cloud Sync による Active Directory へのプロビジョニング FAQ」を参照してください。

前提条件

このシナリオを実装するには、次の前提条件を満たす必要があります。

• 少なくともハイブリッド ID 管理者ロールを持つ Microsoft Entra アカウント。
• 少なくともドメイン管理者のアクセス許可を持つオンプレミスの AD アカウント - adminDescription 属性にアクセスし、それを msDS-ExternalDirectoryObjectId 属性にコピーするために必要です。
• Windows Server 2016 オペレーティング システム以降のオンプレミスの Active Directory Domain Services 環境。
  • AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
• ビルド バージョンが 1.1.1367.0 以降のプロビジョニング エージェント。
• プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上のドメイン コントローラーと通信できる必要があります。
  • 無効なメンバーシップ参照をフィルターで除外するためのグローバル カタログ検索に必要です

書き戻されたグループの名前付け規則

Microsoft Entra Connect 同期では、書き戻されるグループに名前を付けるときに、次の形式が使用されます。

• 既定の形式: CN=Group_<guid>,OU=<コンテナー>,DC=<ドメイン コンポーネント>,DC=<ドメイン コンポーネント>
• 例: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Microsoft Entra ID から Active Directory に書き戻されるグループを見つけやすくするために、Microsoft Entra Connect 同期にグループの識別名をクラウド表示名を使用して書き戻すオプションが追加されています。 これを行うには、グループの書き戻し v2 の初期セットアップ中に、[クラウドの表示名を含むグループ識別名の書き戻し] を選択します。 この機能が有効になっていない場合は、既定の形式が使用されます。

クラウドの表示名を含むグループ識別名の書き戻し機能が有効になっている場合、Microsoft Entra Connect は次の形式を使用します。

• 新しい形式: CN=<表示名>_<オブジェクト ID の最後の 12 桁>,OU=<コンテナー>,DC=<ドメイン コンポーネント>,DC=<ドメイン コンポーネント>
• 例: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

クラウド同期では、移行時に新しい形式が使用されます。 クラウドの表示名を含むグループ識別名の書き戻し機能が有効かどうかは関係ありません。

既定の形式の使用

クラウド同期で既定の形式を使用する場合は、CN 属性の属性フロー式を変更する必要があります。 既定では、マッピングは次のようになります。

詳細については、「属性マッピングを追加する - Microsoft Entra ID から Active Directory」を参照してください

手順 1 - adminDescription を msDS-ExternalDirectoryObjectID にコピーする

1. ご利用のオンプレミスの環境で、ADSI エディターを開きます。

2. グループの adminDescription 属性内の値をコピーします

   

3. msDS-ExternalDirectoryObjectID 属性に貼り付けます

   

この手順を自動化するには、次の PowerShell スクリプトを使用できます。 このスクリプトは、OU=Groups,DC=Contoso,DC=com コンテナー内のすべてのグループを取得し、adminDescription 属性値を msDS-ExternalDirectoryObjectID 属性値にコピーします。

    Import-module ActiveDirectory

   $groups = Get-ADGroup -Filter * -SearchBase "OU=Groups,DC=Contoso,DC=com" -Properties * | Where-Object {$_.adminDescription -ne $null} |
      Select-Object Samaccountname, adminDescription, msDS-ExternalDirectoryObjectID

   foreach ($group in $groups) 
    {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
    } 

手順 2 - Microsoft Entra Connect Sync サーバーをステージング モードにし、同期スケジューラを無効にする

1. Microsoft Entra Connect Sync ウィザードを起動します。

2. [構成] をクリックします

3. [ステージング モードの構成] を選択し、[次へ]をクリックします。

4. Microsoft Entra 資格情報を入力します。

5. [ステージング モードを有効にする] ボックスをオンにし、[次へ] をクリックします。

   

6. [構成] をクリックします

7. [終了]をクリックします。

   

8. Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。

9. 同期スケジューラを無効にします。

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

手順 3 - カスタムのグループ　インバウンド規則を作成する

Microsoft Entra Connect 同期規則エディターでは、メール属性の値が NULL であるグループをフィルター除外するインバウンド同期規則を作成する必要があります。 受信同期規則は、cloudNoFlow のターゲット属性を持つ結合規則です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。

1. 以下に示すように、デスクトップのアプリケーション メニューから同期エディターを起動します。

2. [方向] のドロップダウン リストから [受信] を選択し、[新しいルールの追加] を選択します。

3. [説明] ページで次のように入力し、[次へ] を選択します。

   • [名前]: 規則にわかりやすい名前を付けます

   • 説明: わかりやすい説明を追加します

   • 接続システム: カスタム同期ルールの作成対象となる Microsoft Entra コネクタを選択します

   • [接続先システム オブジェクトの種類]: グループ

   • [メタバース オブジェクトの種類]: グループ

   • [リンクの種類]: Join

   • 優先順位: システム内で一意になる値を指定します。 既定の規則よりも優先されるように、100 未満にすることをお勧めします。

   • タグ: 空のままにします

     

4. [スコープ フィルター] ページで、次の内容を追加して、[次へ] を選択します。

   属性	オペレーター	値
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. [結合] 規則ページで、[次へ] を選択します。

6. [変換] ページで、cloudNoFlow 属性に Constant transformation: flow True を追加します。 [追加] を選択します。

   

手順 4 - カスタムのグループ アウトバウンド規則を作成する

また、リンクの種類が JoinNoFlow である送信同期規則と、cloudNoFlow 属性が True に設定されているスコープ フィルターも必要です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。

1. [方向] のドロップダウン リストから [送信] を選択し、[ルールの追加] を選択します。

2. [説明] ページで次のように入力し、[次へ] を選択します。

   • [名前]: 規則にわかりやすい名前を付けます
   • 説明: わかりやすい説明を追加します
   • [接続先システム]: カスタム同期規則の作成対象となる AD コネクタを選択します
   • [接続先システム オブジェクトの種類]: グループ
   • [メタバース オブジェクトの種類]: グループ
   • [リンクの種類]: JoinNoFlow
   • 優先順位: システム内で一意になる値を指定します。 既定の規則よりも優先されるように、100 未満にすることをお勧めします。
   • タグ: 空のままにします

   

3. [Scoping filter](スコープ フィルター) ページで、cloudNoFlow = True を選択します。 [次へ] を選択します。

   

4. [結合] 規則ページで、[次へ] を選択します。

5. [変換] ページで [追加] を選択します。

手順 5 - PowerShell を使用して構成を完了する

1. Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。

2. ADSync モジュールをインポートします。

   Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
   

3. 完全同期サイクルを実行します。

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. テナントのグループの書き戻し機能を無効にします。

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. 完全同期サイクルを実行します (もう一度です)。

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. 同期スケジューラを再度有効にする:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

手順 6 - Microsoft Entra Connect Sync サーバーをステージング モードから削除する

1. Microsoft Entra Connect Sync ウィザードを起動します。
2. [構成] をクリックします
3. [ステージング モードの構成] を選択し、[次へ]をクリックします。
4. Microsoft Entra 資格情報を入力します。
5. [ステージング モードを有効にする] ボックスをオフにし、[次へ] クリッします。
6. [構成] をクリックします
7. [終了]をクリックします。

手順 7 - Microsoft Entra Cloud Sync を構成する

これで、Microsoft Entra Connect Sync のスコープから該当するグループが正常に削除されたので、Microsoft Entra Cloud Sync のセットアップおよび構成を行うことができます。 「Microsoft Entra Cloud Sync を使用してグループを Active Directory にプロビジョニングする」を参照してください。

次のステップ

• Microsoft Entra Cloud Sync を使用してグループを Active Directory にプロビジョニングする
• Microsoft Entra ID Governance を使用してオンプレミスの Active Directory ベースのアプリ (Kerberos) を管理する
• Microsoft Entra Cloud Sync による Active Directory へのプロビジョニング FAQ