Microsoft Entra ID を Active Directory にプロビジョニングする - 構成
次のドキュメントでは、Microsoft Entra ID から Active Directory へのプロビジョニング用に Microsoft Entra Cloud Sync を構成する方法について説明します。 AD から Microsoft Entra ID へのプロビジョニングの詳細については、「構成 - Microsoft Entra クラウド同期を使用した Microsoft Entra ID から Active Directory へのプロビジョニング」を参照してください
重要
Microsoft Entra Connect Sync のグループ ライトバック v2 のパブリック プレビューは、2024 年 6 月 30 日以降は利用できなくなります。 この機能はこの日に廃止され、クラウド セキュリティ グループを Active Directory にプロビジョニングするために Connect Sync でサポートされなくなります。 この機能は、提供終了日を過ぎても引き続き動作しますが、この日以降はサポートを受けなくなり、常に予告なしに機能しなくなる可能性があります。
Microsoft Entra Cloud Sync には、Active Directory へのグループ プロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウド セキュリティ グループを Active Directory にプロビジョニングするためにグループ書き戻し v2 の代わりに使用できます。 Cloud Sync で開発しているその他の新機能と共に、Cloud Sync でこの機能の強化に取り組んでいます。
Connect Sync でこのプレビュー機能を使用しているお客様は、構成を Connect Sync から Cloud Sync に切り替える必要があります。すべてのハイブリッド同期を Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。 また、クラウド同期をサイド バイ サイドで実行し、クラウド セキュリティ グループ のプロビジョニングのみを Active Directory に Cloud Sync に移動することもできます。
Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ書き戻し v1 を使用し続けることができます。
ユーザー同期ウィザードを使用して、Cloud Sync への移動のみを評価できます。
プロビジョニングの構成
プロビジョニングを構成するのには、次の手順に従います。
- Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
- [ID]、[ハイブリッド管理]、[Microsoft Entra Connect]、[クラウド同期] の順に移動します。
- [新しい構成] を選択します。
- [Microsoft Entra ID から AD への同期] を選びます。
- 構成画面で、ドメインと、パスワード ハッシュ同期を有効にするかどうかを選択します。[作成] をクリックしてください。
- [作業の開始] 画面が開きます。 ここから、クラウド同期の構成を続行できます。
- 構成は、次の 5 つのセクションに分かれています。
セクション | 説明 |
---|---|
1. スコープ フィルターの追加 | このセクションでは、Microsoft Entra ID に表示するオブジェクトを定義します |
2. 属性のマッピング | このセクションでは、オンプレミスのユーザーやグループと Microsoft Entra オブジェクトの間で属性をマップします |
3. テスト | 構成をデプロイする前にテストします |
4. 既定のプロパティの表示 | 既定の設定を有効にする前に表示し、必要に応じて変更します |
5. 構成の有効化 | 準備ができて構成を有効にすると、ユーザーやグループの同期が開始されます |
特定のグループにプロビジョニングのスコープを設定する
エージェントのスコープを設定して、すべて、または特定のセキュリティ グループを同期できます。 1 つの構成内でグループと組織単位を構成することはできません。
- [作業の開始] 構成画面で、 [スコープ フィルターの追加] アイコンの横の [スコープ フィルターの追加] をクリックするか、左側で [管理] の下の [スコープ フィルター] をクリックします。
- スコープ フィルターを選択します。 フィルターには、次のいずれかを指定できます。
- すべてのセキュリティ グループ: すべてのクラウド セキュリティ グループに適用するように構成のスコープを設定します。
- 選択したセキュリティ グループ: 特定のセキュリティ グループに適用するように構成のスコープを設定します。
- 特定のセキュリティ グループの場合は、[グループの編集] を選んで、一覧から目的のグループを選びます。
Note
メンバーとして入れ子になったセキュリティ グループが含まれるセキュリティ グループを選んだ場合は、入れ子になったグループのみが書き戻され、そのメンバーは書き戻されません。 たとえば、Sales セキュリティ グループが Marketing セキュリティ グループのメンバーである場合は、Sales グループ自体のみが書き戻され、Sales グループのメンバーは書き戻されません。
グループを入れ子にして AD をプロビジョニングする場合は、すべてのメンバー グループをスコープに追加する必要もあります。
- [ターゲット コンテナー] ボックスを使って、特定のコンテナーを使用するグループにスコープを設定できます。 このタスクを完了するには、parentDistinguishedName 属性を使います。 定数、直接、または式のマッピングのいずれかを使います。
Switch() 関数で属性マッピング式を使って、複数のターゲット コンテナーを構成できます。 この式で、displayName の値が Marketing または Sales の場合は、対応する OU にグループが作成されます。 一致するものがない場合は、既定の OU にグループが作成されます。
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- 属性ベースのスコープ フィルター処理がサポートされています。 詳細については属性ベースのスコープのフィルター処理に関するセクション、「Microsoft Entra ID で属性マッピングの式を記述するためのリファレンス」、「シナリオ - Active Directory へのグループのプロビジョニングでディレクトリ拡張を使用する」を参照してください。
- スコープ フィルターを構成したら、[保存] をクリックします。
- 保存すると、クラウド同期を構成するために必要な残りの作業を示すメッセージが表示されます。リンクをクリックして続行できます。
ディレクトリ拡張機能を使用した特定のグループへのプロビジョニングのスコープ設定
より高度なスコープとフィルター処理を行うには、ディレクトリ拡張機能の使用を構成できます。 ディレクトリ拡張機能の概要については、「Microsoft Entra ID を Active Directory にプロビジョニングするためのディレクトリ拡張機能」を参照してください
スキーマを拡張し、AD へのクラウド同期プロビジョニングでディレクトリ拡張機能属性を使用する方法の詳細なチュートリアルについては、「シナリオ - Active Directory へのグループ プロビジョニングでディレクトリ拡張機能を使用する」を参照してください。
属性マッピング
Microsoft Entra クラウド同期を使うと、オンプレミスのユーザーまたはグループ オブジェクトと、Microsoft Entra ID のオブジェクトの間で、属性を簡単にマップできます。
既定の属性マッピングをビジネスのニーズに合わせてカスタマイズできます。 そのため、既存の属性マッピングを変更、削除したり、新規の属性マッピングを作成したりすることができます。
保存すると、クラウド同期を構成するために必要な残りの作業を示すメッセージが表示されます。リンクをクリックして続行できます。
詳細については、「属性マッピング」と「Microsoft Entra ID の式記述リファレンス」を参照してください。
ディレクトリ拡張機能とカスタム属性マッピング
Microsoft Entra クラウド同期では、拡張機能を使ってディレクトリを拡張でき、カスタム属性マッピングが提供されます。 詳細については、ディレクトリ拡張機能とカスタム属性マッピングに関する記事を参照してください。
オンデマンド プロビジョニング
Microsoft Entra クラウド同期では、構成の変更を 1 人のユーザーまたは 1 つのグループに適用することで、変更をテストできます。
これを使って、構成に対して行われた変更が正しく適用されたことと、Microsoft Entra ID に正しく同期されていることを、検証および確認できます。
テストの後、クラウド同期を構成するために必要な残りの作業を示すメッセージが表示されます。リンクをクリックして続行できます。
詳細については、オンデマンド プロビジョニングに関する記事を参照してください。
誤削除とメール通知
既定のプロパティ セクションには、誤削除とメール通知に関する情報が提供されます。
誤削除機能は、構成の変更とオンプレミス ディレクトリの変更を誤って行うことで多くのユーザーやグループに影響を与えることがないように保護するために設計されています。
この機能では次のことができます。
- 自動的に誤って削除されないように保護する機能を構成します。
- 構成が有効になるオブジェクト数 (しきい値) を設定します
- 問題の同期ジョブが隔離されたらメールで通知を受け取ることができるように、このシナリオのために通知のメールアドレスを設定します
詳細については、誤削除に関するページを参照してください
[基本] の横にある鉛筆をクリックして、構成の既定値を変更します。
構成の有効化
構成を完了してテストしたら、有効にできます。
[Enable configuration](構成を有効にする) をクリックして有効にします。
検疫
クラウド同期では、構成の正常性が監視され、正常でないオブジェクトは検疫状態に置かれます。 ターゲット システムに対する呼び出しのほとんどまたはすべてが、管理者の資格情報が無効であるなどの理由で常にエラーで失敗する場合、同期ジョブは検疫状態になります。 詳細については、検疫に関するトラブルシューティングのセクションを参照してください。
プロビジョニングを再開する
次回スケジュールされている実行を待ちたくない場合は、[Restart sync](同期の再起動) ボタンを使用してプロビジョニングの実行をトリガーします。
- Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
- [ID]、[ハイブリッド管理]、[Microsoft Entra Connect]、[クラウド同期] の順に移動します。
[構成] の下で、自分の構成を選択します。
上部にある [Restart sync](同期の再起動) を選択します。
構成の削除
構成を削除するには、次の手順に従います。
- Microsoft Entra 管理センターに少なくともハイブリッド管理者としてサインインします。
- [ID]、[ハイブリッド管理]、[Microsoft Entra Connect]、[クラウド同期] の順に移動します。
[構成] の下で、自分の構成を選択します。
構成画面の上部にある [構成を削除する] を選択します。
重要
構成を削除する前に確認は行われません。 [削除] を選択する前に、これが実行するアクションであることを確認してください。