重要
Microsoft Entra Connect Sync でのグループ ライトバック v2 のプレビューは非推奨となり、サポートされなくなりました。
Microsoft Entra Cloud Sync を使用して、クラウド セキュリティ グループをオンプレミスの Active Directory Domain Services (AD DS) にプロビジョニングできます。
Microsoft Entra Connect Sync でグループ ライトバック v2 を使用する場合は、同期クライアントを Microsoft Entra Cloud Sync に移動する必要があります。Microsoft Entra Cloud Sync に移行する資格があるかどうかを確認するには、ユーザー同期ウィザードを使用します。
ウィザードで推奨されているように Microsoft Cloud Sync を使用できない場合は、Microsoft Entra Connect Sync と並行して Microsoft Entra Cloud Sync を実行できます。その場合は、Microsoft Entra Cloud Sync を実行して、クラウド セキュリティ グループをオンプレミスの AD DS にプロビジョニングするだけです。
MICROSOFT 365 グループを AD DS にプロビジョニングする場合は、グループ ライトバック v1 を引き続き使用できます。
この記事では、Microsoft Entra Connect Sync (旧称 Azure Active Directory Connect) を使用してグループ ライトバックを Microsoft Entra Cloud Sync に移行する方法について説明します。このシナリオは、現在 Microsoft Entra Connect グループ ライトバック v2 を使用しているお客様 のみを 対象としています。 この記事で説明するプロセスは、ユニバーサル スコープで書き戻されるクラウドで作成されたセキュリティ グループにのみ関連します。
このシナリオは、次の場合にのみサポートされます。
- クラウドで作成された セキュリティ グループ。
- ユニバーサルのスコープで Active Directory に書き戻されたグループ。
Active Directory に書き戻されたメールが有効なグループと配布リストは、引き続き Microsoft Entra Connect グループ ライトバックで動作しますが、グループ ライトバック v1 の動作に戻ります。 このシナリオでは、グループ の書き戻し v2 を無効にした後、すべての Microsoft 365 グループは、Microsoft Entra 管理センターの [書き戻しが有効] 設定とは別に Active Directory に書き戻されます。 詳細については、「 Microsoft Entra Cloud Sync を使用した Active Directory へのプロビジョニングに関する FAQ」を参照してください。
前提条件
少なくとも ハイブリッド ID 管理者 ロールを持つ Microsoft Entra アカウント。
少なくともドメイン管理者のアクセス許可を持つオンプレミスの Active Directory アカウント。
adminDescription属性にアクセスし、msDS-ExternalDirectoryObjectId属性にコピーするために必要です。Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するオンプレミスの Active Directory Domain Services 環境。
Active Directory スキーマ属性の
msDS-ExternalDirectoryObjectIdに必要です。ビルド バージョンが 1.1.1367.0 以降のプロビジョニング エージェント。
プロビジョニング エージェントは、ポート TCP/389 (LDAP) と TCP/3268 (グローバル カタログ) 上のドメイン コントローラーと通信できる必要があります。
無効なメンバーシップ参照をフィルターで除外するには、グローバルカタログ検索に必要です。
書き戻されたグループの名前付け規則
既定では、Microsoft Entra Connect Sync では、名前付けグループが書き戻されるときに次の形式が使用されます。
-
既定の形式:
CN=Group_<guid>,OU=<container>,DC=<domain component> -
例:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=Contoso,DC=com
Microsoft Entra ID から Active Directory に書き戻されるグループを見つけやすくするため、Microsoft Entra Connect 同期ではクラウド表示名を使ってグループの名前を書き戻すオプションが追加されました。 このオプションを使用するには、グループ書き戻し v2 の初期セットアップの際に、クラウド表示名を持つ書き戻しグループ識別名を選択します。 この機能が有効になっている場合、Microsoft Entra Connect では、既定の形式ではなく、次の新しい形式が使用されます。
新しい形式:
CN=<display name>_<last 12 digits of object ID>,OU=<container>,DC=<domain component>例:
CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
既定では、Microsoft Entra Connect Sync でライトバック グループ識別名とクラウド表示名機能が有効になっていない場合でも、Microsoft Entra Cloud Sync は新しい形式を使用します。既定の Microsoft Entra Connect Sync の名前を使用し、Microsoft Entra Cloud Sync によって管理されるようにグループを移行すると、グループの名前が新しい形式に変更されます。 Microsoft Entra Cloud Sync で Microsoft Entra Connect の既定の形式を使用できるようにするには、次のセクションを使用します。
既定の形式を使用する
Microsoft Entra Cloud Sync で Microsoft Entra Connect Sync と同じ既定の形式を使用する場合は、 CN 属性の属性フロー式を変更する必要があります。 2 つのマッピングを使用できます。
| 表現 | 構文 | 説明 |
|---|---|---|
クラウド同期の既定の表現にDisplayNameを使用する |
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) |
Microsoft Entra Cloud Sync で使用される既定の式 (つまり、新しい形式)。 |
クラウド同期の新しい表現を使用せずにDisplayName |
Append("Group_", [objectId]) |
Microsoft Entra Connect 同期の既定の形式を利用する新しい式。 |
詳細については、「 属性マッピングの追加 - Microsoft Entra ID を Active Directory に追加する」を参照してください。
手順 1: adminDescription を msDS-ExternalDirectoryObjectID にコピーする
グループ メンバーシップ参照を検証するには、Microsoft Entra Cloud Sync で Active Directory グローバル カタログに対して msDS-ExternalDirectoryObjectID 属性のクエリを実行する必要があります。 このインデックス付き属性は、Active Directory フォレスト内のすべてのグローバル カタログにレプリケートされます。
オンプレミス環境で、 ADSI Edit を開きます。
グループの
adminDescription属性にある値をコピーします。
msDS-ExternalDirectoryObjectID属性に値を貼り付けます。
この手順を自動化するには、次の PowerShell スクリプトを使用できます。 このスクリプトは、 OU=Groups,DC=Contoso,DC=com コンテナー内のすべてのグループを取得し、 adminDescription 属性値を msDS-ExternalDirectoryObjectID 属性値にコピーします。 このスクリプトを使用する前に、変数 $gwbOU を、グループ ライトバックのターゲット組織単位 (OU) の DistinguishedName 値で更新します。
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
次の PowerShell スクリプトを使用して、前のスクリプトの結果を確認できます。 すべてのグループの adminDescription 値が msDS-ExternalDirectoryObjectID 値と等しいことを確認することもできます。
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
手順 2: Microsoft Entra Connect 同期サーバーをステージング モードにし、同期スケジューラを無効にする
Microsoft Entra Connect 同期ウィザードを起動します。
設定を選択します。
[ ステージング モードの構成] を選択し、[ 次へ] を選択します。
Microsoft Entra 資格情報を入力します。
[ ステージング モードを有効にする] チェック ボックスをオンにし、[ 次へ] を選択します。
設定を選択します。
[終了] を選択します。
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
同期スケジューラを無効にします。
Set-ADSyncScheduler -SyncCycleEnabled $false
手順 3: カスタム グループ受信規則を作成する
Microsoft Entra Connect 同期規則エディターで、現在 Microsoft Entra ID でマスターされ、 NULL メール属性を持つクラウドで作成されたグループを対象とする受信同期規則を作成します。 この受信同期規則は、 cloudNoFlow 属性を True に設定する結合規則です。
このルールの目的は、グループ ライトバックが無効になった後も Microsoft Entra Connect がそれらのグループを結合オブジェクトとして認識し続け、スコープ外のオブジェクトとして扱われないように、これらのグループにフラグを設定することです。 このルールは、Microsoft Entra Connect Sync のグループ ライトバックから Microsoft Entra Cloud Sync を使用したグループ プロビジョニングへの移行中に、既存のオンプレミス グループ オブジェクトを保持するために必要です。この同期規則は、指定されたスクリプトでユーザー インターフェイスまたは PowerShell を使用して作成できます。
ユーザー インターフェイスでカスタム グループ受信規則を作成する
[スタート] メニューで、同期規則エディターを起動します。
方向でドロップダウンリストから受信を選択し、新しいルールの追加を選択します。
[ 説明 ] ページで、次の値を入力し、[ 次へ] を選択します。
- 名前: ルールにわかりやすい名前を付けます。
- 説明: わかりやすい説明を追加します。
- 接続システム: カスタム同期規則を作成する Microsoft Entra コネクタを選択します。
- 接続されたシステム オブジェクトの種類: グループを選択 します。
- メタバース オブジェクトの種類: グループを選択します。
- リンクの種類: [結合] を選択します。
- 優先順位: システム内で一意の値を指定します。 既定の規則よりも優先されるように、100 より小さい値を使用することをお勧めします。
- タグ: フィールドは空のままにします。
[ スコープ フィルター ] ページで、次の値を追加し、[ 次へ] を選択します。
属性 オペレーター 値 cloudMasteredEQUALtruemailISNULL
[ 結合ルール ] ページで、[ 次へ] を選択します。
変換の追加 ページで、FlowTypeとして定数を選択します。 [ターゲット属性] で、cloudNoFlow を選択します。 「ソース」 で 「True」 を選択します。
[追加] を選択します。
PowerShell でカスタム グループ受信規則を作成する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
モジュールをインポートします。
Import-Module ADSync同期規則の優先順位に一意の値を指定します (0 から 99)。
# Provide the sync rule precedence (0-99) [int] $inboundSyncRulePrecedence = 88次のスクリプトを実行します。
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
手順 4: カスタム グループの送信規則を作成する
また、リンクの種類が JoinNoFlow の送信同期規則と、 cloudNoFlow が Trueに設定されているグループを選択するスコープ フィルターも必要です。
この送信規則により、Microsoft Entra Connect でグループ ライトバックが無効になった後も、変更のフローやプロビジョニング解除のトリガーなしで結合関係が維持されます。
この規則がないと、以前に書き戻されたグループはスコープ内ではなくなったと解釈され、次の同期サイクル中にオンプレミスの Active Directory から削除されます。 このルールは、グループ の書き戻し v2 を安全に廃止し、Microsoft Entra Cloud Sync がグループ プロビジョニングの責任を引き継ぐようにするために必要です。 この同期規則は、指定されたスクリプトでユーザー インターフェイスまたは PowerShell を使用して作成できます。
ユーザー インターフェイスでカスタム グループ送信規則を作成する
[ 方向] で、ドロップダウン リストから [ 送信 ] を選択し、[ ルールの追加] を選択します。
[ 説明 ] ページで、次の値を入力し、[ 次へ] を選択します。
- 名前: ルールにわかりやすい名前を付けます。
- 説明: わかりやすい説明を追加します。
- 接続システム: カスタム同期規則を作成する Active Directory コネクタを選択します。
- 接続されたシステム オブジェクトの種類: グループを選択 します。
- メタバース オブジェクトの種類: グループを選択します。
- リンクの種類: JoinNoFlow を選択します。
- 優先順位: システム内で一意の値を指定します。 既定の規則よりも優先されるように、100 より小さい値を使用することをお勧めします。
- タグ: フィールドは空のままにします。
[ スコープ フィルター ] ページで、[ 属性] で cloudNoFlow を選択します。 [演算子] で [EQUAL] を選択します。 [値] で [True] を選択します。 [次へ] を選択します。
[ 結合ルール ] ページで、[ 次へ] を選択します。
[変換] ページで [追加] を選択します。
PowerShell でカスタム グループ受信規則を作成する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
モジュールをインポートします。
Import-Module ADSync同期規則の優先順位に一意の値を指定します (0 から 99)。
# Provide the sync rule precedence (0-99) [int] $outboundSyncRulePrecedence = 89グループ ライトバック用の Active Directory コネクタを取得します。
# Provide the name of your Active Directory Connector $connectorAD = Get-ADSyncConnector -Name "Contoso.com"次のスクリプトを実行します。
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
手順 5: PowerShell を使用して構成を完了する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
ADSyncモジュールをインポートします。Import-Module ADSync完全同期サイクルを実行します。
Start-ADSyncSyncCycle -PolicyType Initialテナントのグループ ライトバック機能を無効にします。
警告
この操作は元に戻すことができません。 グループ ライトバック v2 を無効にすると、Microsoft Entra 管理センターの [書き戻しが有効] 設定とは別に、すべての Microsoft 365 グループが Active Directory に書き戻されます。
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false完全同期サイクルをもう一度実行します。
Start-ADSyncSyncCycle -PolicyType Initial同期スケジューラを再び可能にします。
Set-ADSyncScheduler -SyncCycleEnabled $true
手順 6: Microsoft Entra Connect 同期サーバーをステージング モードから削除する
- Microsoft Entra Connect 同期ウィザードを起動します。
- 設定を選択します。
- [ ステージング モードの構成] を選択し、[ 次へ] を選択します。
- Microsoft Entra 資格情報を入力します。
- [ ステージング モードを有効にする ] チェック ボックスをオフにし、[ 次へ] を選択します。
- 設定を選択します。
- [終了] を選択します。
手順 7: Microsoft Entra Cloud Sync を構成する
これで、グループは Microsoft Entra Connect 同期の同期スコープから削除されたので、セキュリティ グループの同期を引き継ぐように Microsoft Entra クラウド同期を設定して構成できます。 詳細については、「 Microsoft Entra Cloud Sync を使用した Active Directory へのグループのプロビジョニング」を参照してください。