チュートリアル - Microsoft Entra Cloud Sync を使用してグループを Active Directory にプロビジョニングする

  • [アーティクル]

このチュートリアルでは、グループをオンプレミスの Active Directory に同期するようにクラウド同期を作成および構成する手順について説明します。

Microsoft Entra ID を Active Directory にプロビジョニングする - 前提条件

Active Directory へのグループのプロビジョニングを実装するには、次の前提条件が必要です。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

一般的な要件

  • 少なくともハイブリッド管理者ロールを持つ Microsoft Entra アカウント。
  • Windows Server 2016 オペレーティング システム以降のオンプレミスの Active Directory Domain Services 環境。
    • AD スキーマ属性 - msDS-ExternalDirectoryObjectId に必要
  • ビルド バージョンが 1.1.1370.0 以降のプロビジョニング エージェント。

Note

サービス アカウントへのアクセス許可は、クリーン インストール時にのみ割り当てられます。 以前のバージョンからアップグレードする場合は、PowerShell コマンドレットを使用して手動でアクセス許可を割り当てる必要があります。

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

権限が手動で設定されている場合、すべての子孫のグループおよびユーザー オブジェクトのプロパティをすべて確実に読み取り、書き込み、作成、および削除する必要があります。

既定では、これらのアクセス許可は AdminSDHolder オブジェクトには適用されません (「Microsoft Entra プロビジョニング エージェント gMSA PowerShell コマンドレット」を参照)

  • プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上の 1 つ以上のドメイン コントローラーと通信できる必要があります。
    • 無効なメンバーシップ参照をフィルターで除外するためのグローバル カタログ検索に必要です
  • ビルド バージョンが 2.2.8.0 以降の Microsoft Entra Connect
    • Microsoft Entra Connect を使用して同期されるオンプレミスのユーザー メンバーシップをサポートするために必要です
    • AD:user:objectGUID を AAD:user:onPremisesObjectIdentifier に同期するために必要です

サポートされるグループ

サポートされているのは次の場合のみです。

  • クラウドで作成されたセキュリティ グループのみがサポートされます
  • これらのグループは、割り当てられたメンバーシップでも動的メンバーシップでもかまいません。
  • これらのグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
  • 同期され、このクラウド作成セキュリティ グループのメンバーであるオンプレミスのユーザー アカウントは、同じドメインからのものまたはクロスドメインでもかまいませんが、フォレストはすべて同じでなければなりません。
  • これらのグループは、ユニバーサルの AD グループ スコープで書き戻されます。 オンプレミス環境で、ユニバーサル グループ スコープをサポートしている必要があります。
  • メンバーが 50,000 を超えるグループはサポートされていません。
  • 直接の子の入れ子になった各グループは、参照グループで 1 つのメンバーとしてカウントされます
  • グループが Active Directory で手動で更新される場合、Microsoft Entra ID と Active Directory の間のグループの調整はサポートされません。

追加情報

Active Directory へのグループのプロビジョニングに関する追加情報を以下に示します。

  • クラウド同期を使用して AD にプロビジョニングされたグループには、オンプレミスの同期されたユーザーや、クラウドで作成された追加のセキュリティ グループのみを含めることができます。
  • これらすべてのユーザーのアカウントに onPremisesObjectIdentifier 属性が設定されている必要があります。
  • onPremisesObjectIdentifier は、ターゲット AD 環境の対応する objectGUID と一致する必要があります。
  • オンプレミス ユーザーの objectGUID 属性からクラウド ユーザーの onPremisesObjectIdentifier 属性への同期は、Microsoft Entra Cloud Sync (1.1.1370.0) または Microsoft Entra Connect Sync (2.2.8.0) を使用して行うことができます
  • Microsoft Entra Cloud Sync ではなく、Microsoft Entra Connect Sync (2.2.8.0) を使ってユーザーを同期し、AD へのプロビジョニングを使用する場合は、2.2.8.0 以降である必要があります。
  • Microsoft Entra ID から Active Directory へのプロビジョニングでは、通常の Microsoft Entra ID テナントのみがサポートされています。 B2C などのテナントはサポートされていません。
  • グループ プロビジョニング ジョブは、20 分ごとに実行するようにスケジュールされています。

前提条件

このチュートリアルでは、次のことを前提としています。

  • Active Directory オンプレミス環境がある
  • ユーザーを Microsoft Entra ID に同期するようにクラウド同期が設定されている。
  • 同期されるユーザーが 2 人いる。 つまり、Britta Simon と Lola Jacobson です。 これらのユーザーは、オンプレミスと Microsoft Entra ID に存在します。
  • Active Directory に、Groups、Sales、Marketing という 3 つの組織単位が作成されている。 次の distinguishedNames があります。
  • OU=Marketing,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Groups,DC=contoso,DC=com

Microsoft Entra ID で 2 つのグループを作成する。

まず、Microsoft Entra ID で 2 つのグループを作成します。 1 つのグループは Sales で、もう 1 つは Marketing です。

2 つのグループを作成するには、次の手順に従います。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. ID>グループ>すべてのグループ を参照します。
  3. 上部の [新しいグループ] をクリックします。
  4. [グループの種類][セキュリティ] に設定されていることを確認します。
  5. [グループ名] に 「Sales」と入力します
  6. [メンバーシップの種類] は割り当て済みのままにします。
  7. Create をクリックしてください。
  8. [グループ名] として Marketing を使用して、このプロセスを繰り返します。

新しく作成したグループにユーザーを追加する

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. ID>グループ>すべてのグループ を参照します。
  3. 上部の検索ボックスに「Sales」と入力します。
  4. 新しい Sales グループをクリックします。
  5. 左側の [メンバー] をクリックします
  6. 上部の [メンバーの追加] をクリックします。
  7. 上部の検索ボックスに「Britta Simon」と入力します。
  8. Britta Simon の横にあるチェック ボックスをオンにし、[選択] をクリックします
  9. これで、グループに彼女が正常に追加されるはずです。
  10. 左端にある [すべてのグループ] をクリックし、Sales グループを使用してこのプロセスを繰り返し、Lola Jacobson をそのグループに追加します。

プロビジョニングの構成

プロビジョニングを構成するのには、次の手順に従います。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. [ID][ハイブリッド管理][Microsoft Entra Connect][クラウド同期] の順に移動します。クラウド同期ホーム ページのスクリーンショット。

  1. [新しい構成] を選択します。

  2. [Microsoft Entra ID から AD への同期] を選びます。構成の選択のスクリーンショット。

  3. 構成画面で、ドメインと、パスワード ハッシュ同期を有効にするかどうかを選択します。[作成] をクリックしてください。 新しい構成のスクリーンショット。

  4. [作業の開始] 画面が開きます。 ここから、クラウド同期の構成を続行できます

  5. 左側の [スコープ フィルター] をクリックします。

  6. [グループのスコープ] で、[すべてのセキュリティ グループ] に設定します

  7. [ターゲット コンテナー] で、[属性マッピングの編集] をクリックします。 [スコープ フィルター] セクションのスクリーンショット。

  8. [マッピングの種類][式] に変更します

  9. 式ボックスに、次のように入力します。Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. [既定値] を OU=Groups,DC=contoso,DC=com に変更します。 スコープ フィルターの式のスクリーンショット。

  11. [適用] をクリックします。これにより、グループ displayName 属性に応じてターゲット コンテナーが変更されます。

  12. [保存]

  13. 左側の [概要] をクリックします

  14. 上部の [確認と有効化] をクリックします

  15. 右側の [構成を有効にする] をクリックします

テスト構成

Note

オンデマンド プロビジョニングを使うと、メンバーは自動的にプロビジョニングされません。 テストするメンバーを選ぶ必要があります。また、メンバー数の上限は 5 です。

  1. Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
  2. [ID][ハイブリッド管理][Microsoft Entra Connect][クラウド同期] の順に移動します。クラウド同期ホーム ページのスクリーンショット。

  1. [構成] の下で、自分の構成を選択します。

  2. 左側の、[オンデマンドでプロビジョニング] を選択します。

  3. [選択したグループ] ボックスに「Sales」と入力します

  4. [選択したユーザー] セクションで、テストするユーザーを選びます。 メンバーの追加のスクリーンショット。

  5. [プロビジョニング] をクリックします。

  6. プロビジョニングされたグループが表示されます。

オンデマンドでのプロビジョニングが成功したスクリーンショット。

Active Directory で確認する

これで、グループが Active Directory にプロビジョニングされていることを確認できます。

次の操作を行います。

  1. オンプレミス環境にサインインします。
  2. [Active Directory ユーザーとコンピューター] を起動します
  3. 新しいグループがプロビジョニングされていることを確認します。 新しくプロビジョニングされたグループのスクリーンショット。

次のステップ