この記事では、Microsoft Entra Cloud Sync を使用する、オンプレミスと Microsoft Entra 間のさまざまなトポロジについて説明します。この記事には、サポートされている構成とシナリオのみが含まれています。
重要
公式に文書化されている構成やアクションを除き、Microsoft は Microsoft Entra Cloud Sync の変更や操作をサポートしません。 このような構成やアクションを行うと、Microsoft Entra Cloud Sync が整合性のない、またはサポートされていない状態になる可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。
詳細については、次のビデオをご覧ください。
すべてのシナリオとトポロジに関する注意事項
ソリューションを選択するときは、次の情報に留意する必要があります。
- ユーザーとグループは、すべてのフォレストで一意に識別される必要があります。
- クラウドの同期では、フォレスト間の照合は行われません。
- オブジェクトのソース アンカーは自動的に選択されます。 ms-DS-ConsistencyGuid を使用します (存在する場合)。それ以外の場合は、ObjectGUID が使用されます。
- ソース アンカーに使用される属性を変更することはできません。
Active Directory から Microsoft Entra ID へのサポートされているトポロジ
Active Directory から Microsoft Entra ID へのプロビジョニングでサポートされているトポロジは次のとおりです。
単一フォレスト、単一 Microsoft Entra テナント
最も単純なトポロジは、1 つのオンプレミス フォレスト (1 つまたは複数のドメイン) と、1 つの Microsoft Entra テナントです。 このシナリオの例については、チュートリアル: 単一のフォレストと単一の Microsoft Entra テナントに関する記事を参照してください。
複数フォレスト、単一 Microsoft Entra テナント
複数の AD フォレストは一般的なトポロジで、1 つまたは複数のドメインと単一の Microsoft Entra テナントで構成されます。
既存フォレストに Microsoft Entra Connect、新規フォレストにクラウド プロビジョニングを使用
このシナリオ トポロジは、マルチフォレスト シナリオに似ています。 ただし、これには既存の Microsoft Entra Connect 環境が含まれており、Microsoft Entra Cloud Sync を使用して新しいフォレストを使用します。このシナリオの例については、「チュートリアル: 単一の Microsoft Entra テナントを持つ既存のフォレスト」を参照してください。
既存のハイブリッド AD フォレストで Microsoft Entra Cloud Sync をパイロット導入
パイロット シナリオでは、Microsoft Entra Connect と Microsoft Entra Cloud Sync の両方が同じフォレストに存在し、それに応じてユーザーとグループのスコープを設定します。 注:オブジェクトは、いずれかのツールでのみスコープ内にある必要があります。
このシナリオの例については、チュートリアル: 既存の同期済み AD フォレストでの Microsoft Entra Cloud Sync のパイロットに関する記事を参照してください。
切断されたソースからのオブジェクトのマージ
(パブリック プレビュー)
このシナリオでは、ユーザーの属性は 2 つの切断された Active Directory フォレストによって提供されます。
例を次に示します:
- 1 つのフォレスト (1) にほとんどの属性が含まれている。
- 2 番目のフォレスト (2) にはいくつかの属性が含まれている。
2 番目のフォレストには Microsoft Entra Connect サーバーへのネットワーク接続がないため、Microsoft Entra Connect を介してオブジェクトをマージすることはできません。 2 番目のフォレストの Cloud Sync を使用すると、2 番目のフォレストから属性値を取得できます。 Microsoft Entra Connect は、Microsoft Entra ID 内のオブジェクトを同期し、値をそれにマージできます。
この構成は高度であり、このトポロジにはいくつかの注意事項があります。
- Cloud Sync 構成でソース アンカーとして
ms-DS-ConsistencyGuidを使用する必要があります。 - 2 番目のフォレスト内のユーザー オブジェクトの
ms-DS-ConsistencyGuidは、Microsoft Entra ID の対応するオブジェクトのものと一致する必要があります。 - 2 番目のフォレスト内の
UserPrincipalName属性とAlias属性を設定する必要があり、1 番目のフォレストから同期された属性と一致する必要があります。 - Cloud Sync 構成の属性マッピングから、値がない、または 2 番目のフォレストで異なる値を持つ可能性があるすべての属性を削除する必要があります。1 番目のフォレストと 2 番目のフォレストの間で属性マッピングは重複することはできません。
- 最初のフォレストに一致するオブジェクトがない場合、2 番目のフォレストから同期されたオブジェクトに対して、クラウド同期では引き続き Microsoft Entra ID でオブジェクトが作成されます。 オブジェクトには、2 つ目のフォレストのクラウド同期のマッピング構成で定義されている属性のみが含まれます。
- 2 番目のフォレストからオブジェクトを削除すると、Microsoft Entra ID では一時的に論理的に削除されます。 次の Microsoft Entra Connect 同期サイクルの後に自動的に復元されます。
- 最初のフォレストからオブジェクトを削除すると、Microsoft Entra ID から論理的に削除されます。 そのオブジェクトは、2 番目のフォレスト内のオブジェクトに変更が加えられる場合を除き、復元されません。 30 日後、オブジェクトは Microsoft Entra ID からハード削除されます。 2 番目のフォレスト内のオブジェクトに変更が加えられた場合は、Microsoft Entra ID の新しいオブジェクトとして作成されます。
Microsoft Entra ID から Active Directory へのサポートされているトポロジ
Microsoft Entra ID から Active Directory へのプロビジョニングでサポートされているトポロジは次のとおりです。
単一フォレストへのグループ プロビジョニング
最もシンプルなグループ プロビジョニング トポロジは、単一のオンプレミス フォレスト (1 つまたは複数のドメイン) と単一の Microsoft Entra テナントで構成されます。 このシナリオの例については、「Active Directory へのグループのプロビジョニング」を参照してください。
複数フォレストへのグループ プロビジョニング
より高度なグループ プロビジョニング トポロジでは、複数のオンプレミス AD フォレストが単一の Microsoft Entra ID テナントを共有します。
この構成は高度であり、次の点に注意が必要です。
- クラウド同期で Active Directory にプロビジョニングされるグループには、オンプレミスで同期されたユーザーか、追加でクラウド上に作成されたセキュリティ グループ、あるいはその両方のみを含めることができます。
- これらすべてのユーザーは、そのアカウントに onPremisesObjectIdentifier 属性が設定されている必要があります。
- onPremisesObjectIdentifier は、対象となる Active Directory 環境内の対応する objectGUID と一致している必要があります。
- オンプレミスのユーザーの objectGUID 属性とクラウド ユーザーの onPremisesObjectIdentifier 属性は、Microsoft Entra Cloud Sync (バージョン 1.1.1370.0) または Microsoft Entra Connect Sync (バージョン 2.2.8.0) のいずれかを使用して同期できます。
- テナント内で、両方のフォレストのユーザーを含む共通グループを共有することもできます。
- ただし、他のフォレストに存在しないユーザーは、オンプレミスでプロビジョニングされるときにグループのメンバーとしてプロビジョニングされません。 そのため、contoso.com と fabrikam.com のユーザーを含むグループが Microsoft Entra ID にある場合、contoso.com フォレストに存在するユーザーのみが、contoso.com にプロビジョニングされるときにグループのメンバーになります。 fabrikam でも同様です。