シナリオ - Active Directory へのグループのプロビジョニングでディレクトリ拡張を使用する
シナリオ: Microsoft Entra ID には数百のグループがあります。 Active Directory にこれらのグループの一部をプロビジョニングしますが、すべて戻す必要はありません。 より複雑なスコープ フィルターを作成しなくてもグループに適用できるクイック フィルターが必要です。
このチュートリアルで作成する環境は、テストを行ったり、クラウド同期について理解を深めるために使用したりできます。
前提条件
- このシナリオでは、ユーザーを Microsoft Entra ID に同期する作業環境が既にあることを前提としています。
- 同期されるユーザーは 4 人います。 つまり、Britta Simon、Lola Jacobson、Anna Ringdahl、John Smith です。
- Active Directory に、Sales、Marketing、Groups という 3 つの組織単位が作成されています
- Britta Simon と Anna Ringdahl のユーザー アカウントは、Sales OU に存在します。
- Lola Jacobson と John Smith のユーザー アカウントは、Marketing OU に存在します。
- Groups OU は、Microsoft Entra ID のグループがプロビジョニングされる場所です。
Microsoft Entra ID で 2 つのグループを作成する
まず、Microsoft Entra ID で 2 つのグループを作成します。 1 つのグループは Sales で、もう 1 つは Marketing です。
2 つのグループを作成するには、次の手順に従います。
- Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
- ID>グループ>すべてのグループ を参照します。
- 上部の [新しいグループ] をクリックします。
- [グループの種類] が [セキュリティ] に設定されていることを確認します。
- [グループ名] に 「Sales」と入力します
- [メンバーシップの種類] は割り当て済みのままにします。
- Create をクリックしてください。
- [グループ名] として Marketing を使用して、このプロセスを繰り返します。
新しく作成したグループにユーザーを追加する
- Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
- ID>グループ>すべてのグループ を参照します。
- 上部の検索ボックスに「Sales」と入力します。
- 新しい Sales グループをクリックします。
- 左側の [メンバー] をクリックします
- 上部の [メンバーの追加] をクリックします。
- 上部の検索ボックスに「Britta Simon」と入力します。
- Britta Simon と Anna Ringdahl の横にあるチェック ボックスをオンにし、[選択] をクリックします
- これで、グループに彼女が正常に追加されるはずです。
- 左端にある [すべてのグループ] をクリックし、Marketing グループを使用してこのプロセスを繰り返し、Lola Jacobson と John Smith をそのグループに追加します。
Note
Marketing グループにユーザーを追加するときは、概要ページでグループ ID をメモしておきます。 この ID は、後で新しく作成したプロパティをグループに追加するために使用されます。
テナント ID を取得する
- Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
- ID>概要 を参照します。
- テナント ID をメモし、後で使用するためにコピーします。
CloudSyncCustomExtensionApp とサービス プリンシパルを作成する
重要
Microsoft Entra クラウド同期のディレクトリ拡張は、識別子 URI “api://<tenantId>/CloudSyncCustomExtensionsApp” および Microsoft Entra Connect によって作成された Tenant Schema Extension App を持つアプリケーションでのみサポートされます。
- オンプレミスのマシンで、管理者特権で PowerShell を開きます
- 実行ポリシーを設定するには、以下を実行します (プロンプトが表示されたら、[A] (はい) を押します)。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
- SDK の v1 モジュールを PowerShell Core または Windows PowerShell にインストールするには、次のコマンドを実行します。 メッセージが表示されたら、[Y] (はい) を押します。
Install-Module Microsoft.Graph -Scope CurrentUser
- テナントに接続します (サインイン時に必ず代理を受け入れてください)
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"
- CloudSyncCustomExtensionApp が存在するかどうかを確認します。
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
- 存在する場合は、appId をメモし、手順 8 に進みます。 それ以外の場合は、アプリを作成します。
- CloudSyncCustomExtensionApp を作成します。 <tenant ID> を自分のテナント ID に置き換えます。 作成後に表示される ID とアプリ ID をコピーします。
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"
- アプリが存在する場合は、セキュリティ プリンシパルがあるかどうかを確認します。 <application id> を自分の appId に置き換えます。
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"
アプリを作成したばかりの場合は、新しいセキュリティ プリンシパルを作成します。 <application id> を自分の appId に置き換えます。
New-MgServicePrincipal -AppId '<appId>'
拡張機能とクラウド同期の構成を作成する
- 次に、カスタム属性を作成し、CloudSyncCustomExtensionApp に割り当てます。 <id> を自分の ID に置き換えます。 アプリケーションのオブジェクト ID を使用します。
New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”
このコマンドレットでは、extension_<guid>_SynchGroup のような属性が作成されます。 これはグループに関連付けるために必要ですが、グラフ PowerShell コマンドレットではこれは返されません。
Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
[ID]>[ハイブリッド管理]>[Microsoft Entra Connect]>[クラウド同期] に移動します。
[新しい構成] を選択します。
[作業の開始] 画面が開きます。 ここから、クラウド同期の構成を続行できます
左側の [スコープのフィルター] をクリックし、[グループ スコープ] - [すべてのグループ] を選択します
[属性マッピングの編集] をクリックし、[ターゲット コンテナー] を OU=Groups,DC=contoso,DC=com に変更します。 [保存] をクリックします。
[属性スコープ フィルターの追加] をクリックします
[ターゲット属性] で、extension_<guid>_SynchGroup のような新しく作成された属性を選択します。 また、この属性をグループのいずれかに追加するためにこれを使用する必要があるため、これを書き留めておきます。
[演算子] で、[PRESENT] を選択します
[保存] をクリックします。 [保存] をクリックします。
構成は無効のままにして、後で戻ります。
グループのいずれかに新しい拡張プロパティを追加する
この部分では、新しく作成されたプロパティを既存のグループの 1 つである Marketing に追加します。 これを行うには、Microsoft Graph Explorer を使用します。 Group.ReadWrite.All に同意していることを確認する必要があります。 [アクセス許可の変更] を選択するこで、これを行うことができます。
テナント管理者アカウントを使用してサインインします。 これは、グローバル管理者アカウントである必要がある場合があります。 このシナリオの作成には、グローバル管理者アカウントが使用されました。 ハイブリッド管理者アカウントで十分な場合があります。
上部の [GET] を [PATCH] に変更します
アドレス ボックスに、「https://graph.microsoft.com/v1.0/groups/<グループ ID>」と入力します
要求本文で、次のように入力します。
{ extension_<guid>_SynchGroup: true }
正常に完了すると、[] と表示されます。
次は、上部の [PATCH] を [GET] に変更し、マーケティング グループのプロパティを確認します。
構成をテストする
Note
オンデマンド プロビジョニングを使用する場合、メンバーは自動的にプロビジョニングされません。 テストするメンバーを選ぶ必要があります。また、メンバー数の上限は 5 です。
- Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
- [ID]、[ハイブリッド管理]、[Microsoft Entra Connect]、[クラウド同期] の順に移動します。
[構成] の下で、自分の構成を選択します。
左側の、[オンデマンドでプロビジョニング] を選択します。
[選択したグループ] ボックスに「Marketing」と入力します
[選択したユーザー] セクションで、テストするユーザーを選びます。 Lola Jacobson と John Smith を選択します。
次に、Sales グループを試し、Britta Simon と Anna Ringdahl を追加します。 この場合、プロビジョニングされないはずです。
次のステップ
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示