次の方法で共有

チュートリアル - Microsoft Entra Cloud Sync を使用して Active Directory Domain Services にグループをプロビジョニングする

このチュートリアルでは、グループをオンプレミスの Active Directory Domain Services (AD DS) に同期するように Cloud Sync を構成する方法について説明します。

Von Bedeutung

AD DS へのグループ プロビジョニングを構成する場合は、既定のスコープ フィルターとして 選択したセキュリティ グループを使用することをお勧めします。 この既定のスコープ フィルターは、グループをプロビジョニングするときにパフォーマンスの問題を防ぐのに役立ちます。

Microsoft Entra ID を Active Directory Domain Services にプロビジョニングする - 前提条件

Active Directory Domain Services (AD DS) へのプロビジョニング グループを実装するには、次の前提条件が必要です。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。

一般的な要件

  • 少なくとも ハイブリッド ID 管理者 ロールを持つ Microsoft Entra アカウント。
  • MsDS-ExternalDirectoryObjectId 属性を持つオンプレミスの AD DS スキーマ。Windows Server 2016 以降で使用できます。
  • ビルド バージョン 1.1.3730.0 以降のプロビジョニング エージェント。

メモ

サービス アカウントへのアクセス許可は、クリーン インストール時にのみ割り当てられます。 以前のバージョンからアップグレードする場合は、PowerShell を使用してアクセス許可を手動で割り当てる必要があります。

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

権限が手動で設定されている場合は、すべての子孫グループおよびユーザー オブジェクトのすべてのプロパティの読み取り、書き込み、作成、および削除を割り当てる必要があります。

これらのアクセス許可は、既定では AdminSDHolder オブジェクトには適用されません。 詳細については、 Microsoft Entra プロビジョニング エージェント gMSA PowerShell コマンドレットを参照してください。

  • プロビジョニング エージェントは、Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するサーバーにインストールする必要があります。
  • プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上の 1 つ以上のドメイン コントローラーと通信できる必要があります。
    • 無効なメンバーシップ参照を除外するためには、グローバルカタログの検索が必要です
  • Microsoft Entra Connect Sync のビルド バージョン2.22.8.0
    • Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザー メンバーシップをサポートするために必要です
    • AD DS:user:objectGUIDAAD DS:user:onPremisesObjectIdentifierに同期する必要があります。

Active Directory へのプロビジョニング グループのスケール制限

Active Directory へのグループ プロビジョニング機能のパフォーマンスは、テナントのサイズと、Active Directory へのプロビジョニングのスコープ内にあるグループとメンバーシップの数によって影響を受けます。 このセクションでは、GPAD がスケール要件をサポートしているかどうかを判断する方法と、初期および差分同期サイクルを迅速に実現するために適切なグループ スコープ モードを選択する方法について説明します。

サポートされていないもの

  • 50,000 を超えるメンバーのグループはサポートされていません。
  • 属性スコープのフィルター処理を適用しない "すべてのセキュリティ グループ" スコープの使用はサポートされていません。

スケールの制限

スコープ モード スコープ内グループの数 メンバーシップ リンクの数 (直接メンバーのみ) 注記
"選択されたセキュリティ グループ" モード 最大 10,000 グループ。 Microsoft Entra ポータルの CloudSync ペインでは、最大 999 個のグループを選択できるだけでなく、最大 999 個のグループを表示することもできます。 スコープに 1,000 を超えるグループを追加する必要がある場合は、「 API を使用したグループの選択の展開」を参照してください。 スコープ内のすべてのグループで最大 250,000 のメンバーの合計。 テナントがこれらの制限のいずれかを超えている場合は、このスコープ モードを使用します
1. テナントのユーザー数が 200,000 人を超える
2. テナントに 40,000 を超えるグループがある
3. テナントには 100 万を超えるグループ メンバーシップがあります。
少なくとも 1 つの属性スコープ フィルターを持つ "すべてのセキュリティ グループ" モード。 最大 2万 グループ。 スコープ内のすべてのグループ全体で最大 500,000 個のメンバー。 テナントが以下のすべての制限を満たしている場合は、このスコープ モードを使用します。
1. テナントのユーザー数が 200,000 人未満
2. テナントのグループ数が 40,000 未満
3. テナントのグループ メンバーシップが 1M 未満です。

制限を超えた場合の操作

推奨される制限を超えると、初期同期と差分同期が遅くなり、同期エラーが発生する可能性があります。 その場合は、次の手順に従います。

[選択したセキュリティ グループ] スコープ モードのグループまたはグループ メンバーが多すぎます。

スコープ内グループの数を減らす (より高い値のグループをターゲットにする) 、またはプロビジョニングを複数の個別のジョブに分割し、 スコープを分離します。

"すべてのセキュリティ グループ" スコープ モードのグループまたはグループ メンバーが多すぎます。

推奨どおり、選択したセキュリティ グループのスコープ モードを使用します。

一部のグループのメンバーが 50,000 人を超えています。

複数のグループにメンバーシップを分割するか、段階的なグループ (リージョンや部署別など) を採用して、各グループを上限の下に維持します。

API を使用したグループの選択の拡張

999 を超えるグループを選択する必要がある場合は、サービス プリンシパル API 呼び出しに appRoleAssignment の付与を使用する 必要があります。

API 呼び出しの例を次に示します。

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

どこで:

  • principalId: グループ オブジェクト ID。
  • resourceId: ジョブのサービス プリンシパル ID。
  • appRoleId: リソース サービス プリンシパルによって公開されるアプリ ロールの識別子。

クラウドのアプリ ロール ID の一覧を次の表に示します。

appRoleId
Public 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

詳細情報

AD DS にグループをプロビジョニングする際に考慮すべきその他のポイントを次に示します。

  • Cloud Sync を使用して AD DS にプロビジョニングされたグループには、オンプレミスの同期されたユーザーまたはその他のクラウドで作成されたセキュリティ グループのみを含めることができます。
  • これらのユーザーは、自分のアカウント に onPremisesObjectIdentifier 属性を設定する必要があります。
  • onPremisesObjectIdentifier は、ターゲット AD DS 環境の対応する objectGUID と一致する必要があります。
  • オンプレミス ユーザー objectGUID 属性は、いずれかの同期クライアントを使用して、クラウド ユーザー の onPremisesObjectIdentifier 属性に同期できます。
  • Microsoft Entra ID から AD DS にプロビジョニングできるのは、グローバル Microsoft Entra ID テナントのみです。 B2C などのテナントはサポートされていません。
  • グループ プロビジョニング ジョブは、20 分ごとに実行するようにスケジュールされています。

グループとユーザーの SOA シナリオ

利用シーン 親グループの種類 ユーザー メンバー グループの種類 同期の方向 同期処理のしくみ
SOA がクラウドにあり、すべてのユーザー メンバーオンプレミスの SOA を持つセキュリティ グループ SOA がクラウドにあるセキュリティ グループ SOA がオンプレミスであるユーザー AD への Entra (AAD2ADGroup プロビジョニング) このジョブは、親グループとそのすべてのメンバー参照 (メンバー ユーザー) をプロビジョニングします。
SOA がクラウドにあり、すべてのユーザー メンバークラウドに SOA を持つセキュリティ グループ SOA がクラウドにあるセキュリティ グループ SOA がクラウド内にあるユーザー AD への Entra (AAD2ADGroup プロビジョニング) ジョブはセキュリティ グループをプロビジョニングしますが、メンバー参照はプロビジョニングしません。
SOA がクラウドにあり、一部のユーザー メンバークラウドに SOA を持ち、他のユーザーがオンプレミスSOA を持つセキュリティ グループ SOA がクラウドにあるセキュリティ グループ 一部のユーザーはクラウドに SOA を持ち、一部のユーザーはオンプレミスの SOA を持っています AD への Entra (AAD2ADGroup プロビジョニング) このジョブはセキュリティグループをプロビジョニングし、オンプレミスの SOA を持つメンバー参照のみを含みます。 SOA がクラウド内にあるメンバー参照はスキップされます。
SOA がクラウドにあり、ユーザー メンバーがないセキュリティ グループ SOA がクラウドにあるセキュリティ グループ ユーザー メンバーなし AD への Entra (AAD2ADGroup プロビジョニング) ジョブによってセキュリティ グループがプロビジョニングされます (空のメンバーシップ)。
SOA がオンプレミスにあり、すべてのユーザー メンバーオンプレミスSOA を持つセキュリティ グループ SOA がオンプレミスであるセキュリティ グループ SOA がオンプレミスであるユーザー AD への Entra (AAD2ADGroup プロビジョニング) ジョブはセキュリティ グループをプロビジョニング しません
SOA がオンプレミスにあり、すべてのユーザー メンバークラウドに SOA を持つセキュリティ グループ SOA がオンプレミスであるセキュリティ グループ SOA がクラウド内にあるユーザー AD への Entra (AAD2ADGroup プロビジョニング) ジョブはセキュリティ グループをプロビジョニング しません
SOA がオンプレミスにあり、一部のユーザー メンバークラウドに SOA を持ち、他のユーザーがオンプレミスの SOA を持つセキュリティ グループ SOA がオンプレミスであるセキュリティ グループ 一部のユーザーはクラウドに SOA を持ち、一部のユーザーはオンプレミスの SOA を持っています AD への Entra (AAD2ADGroup プロビジョニング) ジョブはセキュリティ グループをプロビジョニング しません
SOA がオンプレミスにあり、すべてのユーザー メンバーオンプレミスSOA を持つセキュリティ グループ SOA がオンプレミスであるセキュリティ グループ SOA がオンプレミスであるユーザー AD から Entra への移行 (AD2AADprovisioning) このジョブは、メンバー ユーザーを含むすべてのリファレンスを用いて、セキュリティ グループをプロビジョニングします。
SOA がオンプレミスにあり、すべてのユーザー メンバークラウドに SOA を持つセキュリティ グループ SOA がオンプレミスであるセキュリティ グループ SOA がクラウド内にあるユーザー AD から Entra への移行 (AD2AADprovisioning) このジョブは、メンバー ユーザーを含むすべてのリファレンスを用いて、セキュリティ グループをプロビジョニングします。 そのため、これらのオンプレミス グループの SOA がクラウドに変換されたメンバー参照も同期されます。
SOA がオンプレミスにあり、一部のユーザー メンバークラウドに SOA を持ち、他のユーザーがオンプレミスの SOA を持つセキュリティ グループ SOA がオンプレミスであるセキュリティ グループ 一部のユーザーはクラウドに SOA を持ち、一部のユーザーはオンプレミスの SOA を持っています AD から Entra への移行 (AD2AADprovisioning) このジョブは、親グループとそのすべてのメンバー参照 (メンバー ユーザー) をプロビジョニングします。 そのため、これらのオンプレミス グループの SOA がクラウドに変換されたメンバー参照も同期されます。
SOA がオンプレミスにあり、ユーザー メンバーがないセキュリティ グループ SOA がオンプレミスであるセキュリティ グループ ユーザー メンバーなし AD から Entra への移行 (AD2AADprovisioning) ジョブによってセキュリティ グループがプロビジョニングされます (空のメンバーシップ)。
SOA がクラウドにあり、すべてのユーザー メンバーオンプレミスの SOA を持つセキュリティ グループ SOA がクラウドであるセキュリティ グループ SOA がオンプレミスであるユーザー AD から Entra への移行 (AD2AADprovisioning) ジョブはセキュリティ グループをプロビジョニング しません
SOA がクラウドにあり、すべてのユーザー メンバークラウドに SOA を持つセキュリティ グループ SOA がクラウドであるセキュリティ グループ SOA がクラウド内にあるユーザー AD から Entra への移行 (AD2AADprovisioning) ジョブはセキュリティ グループをプロビジョニング しません
SOA がクラウドにあり、一部のユーザー メンバークラウドに SOA を持ち、他のユーザーがオンプレミスの SOA を持つセキュリティ グループ SOA がクラウドであるセキュリティ グループ 一部のユーザーはクラウドに SOA を持ち、一部のユーザーはオンプレミスの SOA を持っています AD から Entra への移行 (AD2AADprovisioning) ジョブはセキュリティ グループをプロビジョニング しません

前提条件

このチュートリアルでは、次のことを前提としています。

  • AD DS オンプレミス環境がある

  • ユーザーを Microsoft Entra ID に同期するようにクラウド同期が設定されている。

  • 同期されるユーザーは、Britta Simon と Lola Jacobson の 2 人です。 これらのユーザーは、オンプレミスと Microsoft Entra ID に存在します。

  • 組織単位 (OU) は、次の各部門の AD DS に作成されます。

    [表示名] 識別名
    グループ OU=マーケティング,DC=contoso,DC=com
    Sales OU=セールス、DC=contoso、DC=com
    Marketing OU=グループ,DC=contoso,DC=com

クラウドネイティブまたはソース オブ オーソリティ (SOA) で変換されたセキュリティ グループにユーザーを追加する

同期されたユーザーを追加するには、次の手順に従います。

メモ

同期されたユーザー メンバー参照のみが AD DS にプロビジョニングされます。

  1. Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。
  2. Entra ID>Groups>All groups に移動します。
  3. 上部の検索ボックスに「 Sales」と入力します。
  4. 新しい Sales グループを選択します。
  5. 左側の [メンバー] を選択 します
  6. 上部にある [メンバーの 追加] を選択します。
  7. 上部の検索ボックスに「 Britta Simon」と入力します
  8. Britta Simon の横にチェックを入れて、[選択] を選択します
  9. ユーザーがグループに正常に追加されます。
  10. 左端の [ すべてのグループ] を選択します。 Sales グループを使用してこのプロセスを繰り返し、そのグループに Lola Jacobson を追加します。

元の組織単位 (OU) パスへのプロビジョニング用に SOA 変換されたグループを準備する

Microsoft Entra ID からオンプレミスの Active Directory Domain Services (AD DS) の元の OU パスに戻すために、クラウドで管理されるように変換する予定のグループを準備するには、次の手順を実行します。

  1. AD DS グループスコープをユニバーサルに変更します。
  2. 特別なアプリケーションを作成します。
  3. グループのディレクトリ拡張プロパティを作成します。

AD DS グループのグループ スコープをユニバーサルに変更する

  1. Active Directory 管理センターを開きます。
  2. グループを右クリックし、[ プロパティ] をクリックします。
  3. [ グループ ] セクションで、グループ スコープとして [ユニバーサル ] を選択します。
  4. [保存] をクリックします。

拡張機能を作成する

Cloud Sync では、 CloudSyncCustomExtensionsApp という特殊なアプリケーションで作成された拡張機能のみがサポートされます。 アプリがテナントに存在しない場合は、アプリを作成する必要があります。 この手順は、テナントごとに 1 回実行されます。

拡張機能を作成する方法の詳細については、「 クラウド同期ディレクトリ拡張機能とカスタム属性マッピング」を参照してください。

  1. 管理者特権の PowerShell ウィンドウを開き、次のコマンドを実行してモジュールをインストールし、接続します。

    Install-Module Microsoft.Graph -Scope CurrentUser -Force 
Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All"

  2. アプリケーションが存在するかどうかを確認します。 そうでない場合は、作成します。 また、サービス プリンシパルが存在することも確認します。

    $tenantId = (Get-MgOrganization).Id 
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
if (-not $app) { 
  $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
} 

$sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
if (-not $sp) { 
  $sp = New-MgServicePrincipal -AppId $app.AppId 
}

  3. 次に、 GroupDN という名前のディレクトリ拡張プロパティを追加します。 これは、グループ オブジェクトで使用できる文字列属性になります。

    New-MgApplicationExtensionProperty ` 
  -ApplicationId $app.Id ` 
  -Name "GroupDN" ` 
  -DataType "String" ` 
  -TargetObjects Group

グループのディレクトリ拡張機能プロパティを作成する方法の詳細については、「 クラウド同期ディレクトリ拡張機能とカスタム属性マッピング」を参照してください。

プロビジョニングの構成

プロビジョニングを構成するには、次の手順に従います。

  1. Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。

  2. Entra ID>Entra Connect>Cloud 同期に移動します。

    Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。

  1. [ 新しい構成] を選択します。

  2. [Microsoft Entra ID から AD への同期] を選びます。

    構成の選択のスクリーンショット。

  3. 構成画面で、ドメインとパスワード ハッシュ同期を有効にするかどうかを選択します。[ 作成] を選択します

    新しい構成のスクリーンショット。

  4. [ 作業の開始 ] 画面が開きます。 ここから、クラウド同期の構成を続行できます。

  5. 左側で、 スコープ フィルターを選択します

  6. [グループ スコープ] で、[選択したセキュリティ グループ] を選択します。

    スコープ フィルター セクションのスクリーンショット。

  7. OU を設定するには、次の 2 つの方法があります。

    • カスタム式を使用して、グループが同じ OU で再作成されるようにすることができます。 ParentDistinguishedName 値には、次の式を使用します。

      IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Mid(
            Mid(
                Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
"<Existing ParentDistinguishedName>",
)

      この式は次のとおりです。

      • 拡張機能が空の場合は、既定の OU を使用します。
      • それ以外の場合は、CN 部分を削除し、parentDN パスを保持し、エスケープされたコンマを再び処理します。

      この変更により、完全同期が発生し、既存のグループには影響しません。 Microsoft Graph を使用して既存のグループの GroupDN 属性を設定し、元の OU に戻っていることを確認します。

    • オンプレミスの元の OU パスと CN 情報を保持しない場合は、[ ターゲット コンテナー] で [ 属性マッピングの編集] を選択します。

      1. [マッピングの種類][式] に変更します。

      2. 式ボックスに、次のように入力します。

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

      3. 既定値OU=Groups,DC=contoso,DC=comに変更します。

        OU の既定値を変更する方法のスクリーンショット。

      4. を選択してを適用します。 ターゲット コンテナーは、グループ displayName 属性に応じて変更されます。

  8. カスタム式を使用して、グループが同じ CN で再作成されるようにすることができます。 CN 値には次の式を使用します。

    IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Replace(
            Replace(
                Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                "CN=", , , "", ,
            ),
            "cn=", , , "", ,
        ),
        "\2C", , , ",", ,
    ),
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
)

    この式は次のとおりです。

    • 拡張機能が空の場合は、DisplayName + ObjectId からフォールバック CN を生成します。
    • それ以外の場合は CN を抽出し、エスケープされたコンマを一時的に 16 進値に置き換えて処理します。

  9. 保存 を選択します。

  10. 左側の [ 概要] を選択します。

  11. 上部にある [ 確認して有効にする] を選択します。

  12. 右側の [構成を 有効にする] を選択します。

テスト構成

メモ

オンデマンド プロビジョニングを実行すると、メンバーは自動的にプロビジョニングされません。 テストするメンバーを選択する必要があり、制限は 5 つのメンバーです。

  1. Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。

  2. Entra ID>Entra Connect>Cloud 同期に移動します。

    Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。

  1. [ 構成] で、構成を選択します。

  2. 左側でオンデマンドプロビジョニングを選択します。

  3. [選択したグループ] ボックスに「Sales」と入力します。

  4. [ 選択したユーザー ] セクションで、テストする一部のユーザーを選択します。

    メンバーの追加のスクリーンショット。

  5. プロビジョン を選択します。

  6. プロビジョニングされたグループが表示されます。

オンデマンドでのプロビジョニングが成功したスクリーンショット。

AD DS で確認する

グループが AD DS にプロビジョニングされていることを確認するには、次の手順に従います。

  1. オンプレミス環境にサインインします。

  2. Active Directory ユーザーとコンピューターを起動します。

  3. 新しいグループがプロビジョニングされていることを確認します。

    新しくプロビジョニングされたグループのスクリーンショット。

SOA 変換されたオブジェクトに対する AD DS へのグループ プロビジョニングの動作

オンプレミス グループの機関ソース (SOA) をクラウドに変換すると、そのグループは AD DS へのグループ プロビジョニングの対象になります。

たとえば、次の図では、SOA または SOATestGroup1 がクラウドに変換されます。 その結果、AD DS へのグループ プロビジョニングのジョブ スコープで使用できるようになります。

スコープ内のジョブのスクリーンショット。

  • ジョブが実行されると、 SOATestGroup1 が正常にプロビジョニングされます。

  • プロビジョニング ログでは、SOATestGroup1 を検索し、グループがプロビジョニングされたことを確認できます。

    プロビジョニング ログのスクリーンショット。

  • 詳細は、 SOATestGroup1 が既存のターゲット グループと一致したことを示しています。

    一致した属性のスクリーンショット。

  • ターゲット グループの adminDescriptioncn が更新されていることを確認することもできます。

    更新された属性のスクリーンショット。

  • AD DS を見ると、元のグループが更新されていることがわかります。

    更新されたグループのスクリーンショット。

    グループ プロパティのスクリーンショット。

クラウドでは、変換された SOA オブジェクトのプロビジョニングが Microsoft Entra ID にスキップされます

SOA をクラウドに変換した後に AD DS でグループの属性を編集しようとすると、Cloud Sync はプロビジョニング中にオブジェクトをスキップします。

たとえば、 グループ SOAGroup3 があり、そのグループ名を SOA Group3.1 に更新するとします。

オブジェクト名の更新のスクリーンショット。

プロビジョニング ログで、SOAGroup3 がスキップされたことを確認できます。

スキップされたオブジェクトのスクリーンショット。

詳細では、SOA がクラウドに変換されるため、オブジェクトが同期されていないことが説明されています。

ブロックされた同期のスクリーンショット。

入れ子になったグループとメンバーシップ参照の処理

次の表では、さまざまなユース ケースで SOA を変換した後に、プロビジョニングがメンバーシップ参照を処理する方法について説明します。

利用シーン 親グループの種類 メンバー グループの種類 仕事 同期処理のしくみ
Microsoft Entra 親セキュリティ グループには、Microsoft Entra メンバーのみが含まれます。 Microsoft Entra セキュリティ グループ Microsoft Entra セキュリティ グループ AAD2ADGroupProvisioning (AD DS へのグループ プロビジョニング) ジョブは、親グループとそのすべてのメンバー グループのリファレンスをプロビジョニングします。
Microsoft Entra 親セキュリティ グループには、同期されたグループのメンバーがいくつかあります。 Microsoft Entra セキュリティ グループ AD DS セキュリティ グループ (同期されたグループ) AAD2ADGroupProvisioning (AD DS へのグループ プロビジョニング) ジョブは親グループをプロビジョニングしますが、AD DS グループであるすべてのメンバー参照 (メンバー グループ) はプロビジョニングされません。
Microsoft Entra 親セキュリティ グループには、SOA がクラウドに変換された同期グループのメンバーが含まれます。 Microsoft Entra セキュリティ グループ SOA がクラウドに変換される AD DS セキュリティ グループ。 AAD2ADGroupProvisioning (AD DS へのグループ プロビジョニング) ジョブは、親グループとそのすべてのメンバー グループのリファレンスをプロビジョニングします。
同期されたグループ(親)で、そのメンバーとしてクラウド所有のグループを含む場合、そのSOAを変換します。 SOA がクラウドに変換された AD DS セキュリティ グループ Microsoft Entra セキュリティ グループ AAD2ADGroupProvisioning (AD DS へのグループ プロビジョニング) ジョブは、親グループとそのすべてのメンバー グループのリファレンスをプロビジョニングします。
他の同期されたグループをメンバーとして持つ同期されたグループ(親)のSOAを変換します。 SOA がクラウドに変換された AD DS セキュリティ グループ AD DS セキュリティ グループ (同期されたグループ) AAD2ADGroupProvisioning (AD DS へのグループ プロビジョニング) ジョブは親グループをプロビジョニングしますが、AD DS セキュリティ グループであるすべてのメンバー参照 (メンバー グループ) はプロビジョニングされません。
同期されたグループ (親) の SOA を変換します。そのメンバーは、SOA がクラウドに変換された他の同期済みグループです。 SOA がクラウドに変換された AD DS セキュリティ グループ SOA がクラウドに変換された AD DS セキュリティ グループ AAD2ADGroupProvisioning (AD DS へのグループ プロビジョニング) ジョブは、親グループとそのすべてのメンバー グループのリファレンスをプロビジョニングします。

SOA 変換されたグループをロールバックした後の AD DS へのグループ プロビジョニングの動作

スコープ内に SOA 変換されたグループがあり、SOA 変換されたグループをロールバックして AD DS が所有している場合、AD DS へのグループ プロビジョニングは変更の同期を停止しますが、オンプレミス グループは削除されません。 また、構成スコープからグループを削除します。 グループのオンプレミス制御は、次の同期サイクルで再開されます。

  • このオブジェクトはオンプレミスで管理されているため、同期が行われないことを監査ログで確認できます。

    監査ログの詳細のスクリーンショット。

    AD DS で、グループがまだそのままであり、削除されていないことを確認することもできます。

    ユーザーとコンピューターのスクリーンショット。

次のステップ

  • Last updated on