シナリオ - Active Directory へのグループのプロビジョニングでディレクトリ拡張を使用する

  • [アーティクル]

シナリオ: Microsoft Entra ID には数百のグループがあります。 Active Directory にこれらのグループの一部をプロビジョニングしますが、すべて戻す必要はありません。 より複雑なスコープ フィルターを作成しなくてもグループに適用できるクイック フィルターが必要です。

クラウド同期を使用したグループ書き戻しを示す図。

このチュートリアルで作成する環境は、テストを行ったり、クラウド同期について理解を深めるために使用したりできます。

前提条件

  • このシナリオでは、ユーザーを Microsoft Entra ID に同期する作業環境が既にあることを前提としています。
  • 同期されるユーザーは 4 人います。 つまり、Britta Simon、Lola Jacobson、Anna Ringdahl、John Smith です。
  • Active Directory に、Sales、Marketing、Groups という 3 つの組織単位が作成されています
  • Britta Simon と Anna Ringdahl のユーザー アカウントは、Sales OU に存在します。
  • Lola Jacobson と John Smith のユーザー アカウントは、Marketing OU に存在します。
  • Groups OU は、Microsoft Entra ID のグループがプロビジョニングされる場所です。

Microsoft Entra ID で 2 つのグループを作成する

まず、Microsoft Entra ID で 2 つのグループを作成します。 1 つのグループは Sales で、もう 1 つは Marketing です。

2 つのグループを作成するには、次の手順に従います。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. ID>グループ>すべてのグループ を参照します。
  3. 上部の [新しいグループ] をクリックします。
  4. [グループの種類][セキュリティ] に設定されていることを確認します。
  5. [グループ名] に 「Sales」と入力します
  6. [メンバーシップの種類] は割り当て済みのままにします。
  7. Create をクリックしてください。
  8. [グループ名] として Marketing を使用して、このプロセスを繰り返します。

新しく作成したグループにユーザーを追加する

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. ID>グループ>すべてのグループ を参照します。
  3. 上部の検索ボックスに「Sales」と入力します。
  4. 新しい Sales グループをクリックします。
  5. 左側の [メンバー] をクリックします
  6. 上部の [メンバーの追加] をクリックします。
  7. 上部の検索ボックスに「Britta Simon」と入力します。
  8. Britta SimonAnna Ringdahl の横にあるチェック ボックスをオンにし、[選択] をクリックします
  9. これで、グループに彼女が正常に追加されるはずです。
  10. 左端にある [すべてのグループ] をクリックし、Marketing グループを使用してこのプロセスを繰り返し、Lola JacobsonJohn Smith をそのグループに追加します。

Note

Marketing グループにユーザーを追加するときは、概要ページでグループ ID をメモしておきます。 この ID は、後で新しく作成したプロパティをグループに追加するために使用されます。

テナント ID を取得する

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. ID>概要 を参照します。
  3. テナント ID をメモし、後で使用するためにコピーします。

CloudSyncCustomExtensionApp とサービス プリンシパルを作成する

重要

Microsoft Entra クラウド同期のディレクトリ拡張は、識別子 URI “api://<tenantId>/CloudSyncCustomExtensionsApp” および Microsoft Entra Connect によって作成された Tenant Schema Extension App を持つアプリケーションでのみサポートされます。

  1. オンプレミスのマシンで、管理者特権で PowerShell を開きます
  2. 実行ポリシーを設定するには、以下を実行します (プロンプトが表示されたら、[A] (はい) を押します)。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
  1. SDK の v1 モジュールを PowerShell Core または Windows PowerShell にインストールするには、次のコマンドを実行します。 メッセージが表示されたら、[Y] (はい) を押します。
Install-Module Microsoft.Graph -Scope CurrentUser
  1. テナントに接続します (サインイン時に必ず代理を受け入れてください)
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"
  1. CloudSyncCustomExtensionApp が存在するかどうかを確認します。
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
  1. 存在する場合は、appId をメモし、手順 8 に進みます。 それ以外の場合は、アプリを作成します。
  2. CloudSyncCustomExtensionApp を作成します。 <tenant ID> を自分のテナント ID に置き換えます。 作成後に表示される ID とアプリ ID をコピーします。
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"
  1. アプリが存在する場合は、セキュリティ プリンシパルがあるかどうかを確認します。 <application id> を自分の appId に置き換えます。
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

  1. アプリを作成したばかりの場合は、新しいセキュリティ プリンシパルを作成します。 <application id> を自分の appId に置き換えます。

    New-MgServicePrincipal -AppId '<appId>'

拡張機能とクラウド同期の構成を作成する

  1. 次に、カスタム属性を作成し、CloudSyncCustomExtensionApp に割り当てます。 <id> を自分の ID に置き換えます。 アプリケーションのオブジェクト ID を使用します。
New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

  1. ID の入力を再度求めるメッセージが表示される場合があります。 PowerShell New-MgApplicationExtensionProperty のスクリーンショット。

  2. このコマンドレットでは、extension_<guid>_SynchGroup のような属性が作成されます。 これはグループに関連付けるために必要ですが、グラフ PowerShell コマンドレットではこれは返されません。

  3. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。

  4. [ID]>[ハイブリッド管理]>[Microsoft Entra Connect]>[クラウド同期] に移動します。

  5. [新しい構成] を選択します。

  6. [Microsoft Entra ID から AD への同期] を選びます。構成の選択のスクリーンショット。

  7. 構成画面で、ドメインと、パスワード ハッシュ同期を有効にするかどうかを選択します。[作成] をクリックしてください。 新しい構成のスクリーンショット。

  8. [作業の開始] 画面が開きます。 ここから、クラウド同期の構成を続行できます

  9. 左側の [スコープのフィルター] をクリックし、[グループ スコープ] - [すべてのグループ] を選択します

  10. [属性マッピングの編集] をクリックし、[ターゲット コンテナー] を OU=Groups,DC=contoso,DC=com に変更します。 [保存] をクリックします。

  11. [属性スコープ フィルターの追加] をクリックします

  12. [ターゲット属性] で、extension_<guid>_SynchGroup のような新しく作成された属性を選択します。 また、この属性をグループのいずれかに追加するためにこれを使用する必要があるため、これを書き留めておきます使用可能な属性のスクリーンショット。

  13. [演算子] で、[PRESENT] を選択します

  14. [保存] をクリックします。 [保存] をクリックします。

  15. 構成は無効のままにして、後で戻ります。

グループのいずれかに新しい拡張プロパティを追加する

この部分では、新しく作成されたプロパティを既存のグループの 1 つである Marketing に追加します。 これを行うには、Microsoft Graph Explorer を使用します。 Group.ReadWrite.All に同意していることを確認する必要があります。 [アクセス許可の変更] を選択するこで、これを行うことができます。

  1. https://developer.microsoft.com/graph/graph-explorer に移動します

  2. テナント管理者アカウントを使用してサインインします。 これは、グローバル管理者アカウントである必要がある場合があります。 このシナリオの作成には、グローバル管理者アカウントが使用されました。 ハイブリッド管理者アカウントで十分な場合があります。

  3. 上部の [GET][PATCH] に変更します

  4. アドレス ボックスに、「https://graph.microsoft.com/v1.0/groups/<グループ ID>」と入力します

  5. 要求本文で、次のように入力します。

    {
 extension_<guid>_SynchGroup: true
}

  6. [クエリの実行] をクリックしますグラフ クエリの実行のスクリーンショット。

  7. 正常に完了すると、[] と表示されます。

  8. 次は、上部の [PATCH][GET] に変更し、マーケティング グループのプロパティを確認します。

  9. [クエリの実行] をクリックします。 新しく作成された属性が表示されるはずです。 グループ プロパティのスクリーンショット。

構成をテストする

Note

オンデマンド プロビジョニングを使用する場合、メンバーは自動的にプロビジョニングされません。 テストするメンバーを選ぶ必要があります。また、メンバー数の上限は 5 です。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. [ID][ハイブリッド管理][Microsoft Entra Connect][クラウド同期] の順に移動します。クラウド同期ホーム ページのスクリーンショット。

  1. [構成] の下で、自分の構成を選択します。

  2. 左側の、[オンデマンドでプロビジョニング] を選択します。

  3. [選択したグループ] ボックスに「Marketing」と入力します

  4. [選択したユーザー] セクションで、テストするユーザーを選びます。 Lola JacobsonJohn Smith を選択します。

  5. [プロビジョニング] をクリックします。 これで正常にプロビジョニングされるはずです。 正常なプロビジョニングのスクリーンショット。

  6. 次に、Sales グループを試し、Britta SimonAnna Ringdahl を追加します。 この場合、プロビジョニングされないはずです。 プロビジョニングがブロックされているスクリーンショット。

  7. Active Directory に、新しく作成された Marketing グループが表示されるはずです。 [Active Directory ユーザーとコンピューター] の新しいグループのスクリーンショット。

次のステップ