プロビジョニング エージェント 1.1.1370.0 のリリースにより、クラウド同期でグループ ライトバックを実行できるようになりました。 この機能は、クラウド同期によってグループをオンプレミスの Active Directory 環境に直接プロビジョニングできることを意味します。 また、ID ガバナンス機能を使用して、 エンタイトルメント管理アクセス パッケージにグループを含めるなど、AD ベースのアプリケーションへのアクセスを管理することもできます。
重要
Microsoft Entra Connect Sync でのグループ ライトバック v2 のプレビューは非推奨となり、サポートされなくなりました。
Microsoft Entra Cloud Sync を使用して、クラウド セキュリティ グループをオンプレミスの Active Directory Domain Services (AD DS) にプロビジョニングできます。
Microsoft Entra Connect Sync でグループ ライトバック v2 を使用する場合は、同期クライアントを Microsoft Entra Cloud Sync に移動する必要があります。Microsoft Entra Cloud Sync に移行する資格があるかどうかを確認するには、ユーザー同期ウィザードを使用します。
ウィザードで推奨されているように Microsoft Cloud Sync を使用できない場合は、Microsoft Entra Connect Sync と並行して Microsoft Entra Cloud Sync を実行できます。その場合は、Microsoft Entra Cloud Sync を実行して、クラウド セキュリティ グループをオンプレミスの AD DS にプロビジョニングするだけです。
MICROSOFT 365 グループを AD DS にプロビジョニングする場合は、グループ ライトバック v1 を引き続き使用できます。
Microsoft Entra ID を Active Directory Domain Services にプロビジョニングする - 前提条件
Active Directory Domain Services (AD DS) へのプロビジョニング グループを実装するには、次の前提条件が必要です。
ライセンスの要件
この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。
一般的な要件
- 少なくとも ハイブリッド ID 管理者 ロールを持つ Microsoft Entra アカウント。
- MsDS-ExternalDirectoryObjectId 属性を持つオンプレミスの AD DS スキーマ。Windows Server 2016 以降で使用できます。
- ビルド バージョン 1.1.3730.0 以降のプロビジョニング エージェント。
注
サービス アカウントへのアクセス許可は、クリーン インストール時にのみ割り当てられます。 以前のバージョンからアップグレードする場合は、PowerShell を使用してアクセス許可を手動で割り当てる必要があります。
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
権限が手動で設定されている場合は、すべての子孫グループおよびユーザー オブジェクトのすべてのプロパティの読み取り、書き込み、作成、および削除を割り当てる必要があります。
これらのアクセス許可は、既定では AdminSDHolder オブジェクトには適用されません。 詳細については、 Microsoft Entra プロビジョニング エージェント gMSA PowerShell コマンドレットを参照してください。
- プロビジョニング エージェントは、Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するサーバーにインストールする必要があります。
- プロビジョニング エージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバル カタログ) 上の 1 つ以上のドメイン コントローラーと通信できる必要があります。
- 無効なメンバーシップ参照をフィルターで除外するには、グローバル カタログ参照に必要です
- Microsoft Entra Connect Sync とビルド バージョン 2.22.8.0
- Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザー メンバーシップをサポートするために必要です
-
AD DS:user:objectGUIDを同期するために必要ですAAD DS:user:onPremisesObjectIdentifier
Active Directory へのプロビジョニング グループのスケール制限
Active Directory へのグループ プロビジョニング機能のパフォーマンスは、テナントのサイズと、Active Directory へのプロビジョニングのスコープ内にあるグループとメンバーシップの数によって影響を受けます。 このセクションでは、GPAD がスケール要件をサポートしているかどうかを判断する方法と、初期および差分同期サイクルを迅速に実現するために適切なグループ スコープ モードを選択する方法について説明します。
サポートされていないもの
- 50,000 を超えるメンバーのグループはサポートされていません。
- 属性スコープのフィルター処理を適用しない "すべてのセキュリティ グループ" スコープの使用はサポートされていません。
スケールの制限
| スコープ モード | スコープ内グループの数 | メンバーシップ リンクの数 (直接メンバーのみ) | 注記 |
|---|---|---|---|
| "選択されたセキュリティ グループ" モード | 最大 10,000 グループ。 Microsoft Entra ポータルの CloudSync ペインでは、最大 999 個のグループを選択できるだけでなく、最大 999 個のグループを表示することもできます。 スコープに 1,000 を超えるグループを追加する必要がある場合は、「 API を使用したグループの選択の展開」を参照してください。 | スコープ内のすべてのグループで最大 250,000 のメンバーの合計。 | テナントがこれらの制限のいずれかを超えている場合は、このスコープ モードを使用します 1. テナントのユーザー数が 200,000 人を超える 2. テナントに 40,000 を超えるグループがある 3. テナントには 100 万を超えるグループ メンバーシップがあります。 |
| 少なくとも 1 つの属性スコープ フィルターを持つ "すべてのセキュリティ グループ" モード。 | 最大 20K グループ。 | スコープ内のすべてのグループ全体で最大 500,000 個のメンバー。 | テナントが以下のすべての制限を満たしている場合は、このスコープ モードを使用します。 1. テナントのユーザー数が 200,000 人未満 2. テナントのグループ数が 40,000 未満 3. テナントのグループ メンバーシップが 1M 未満です。 |
制限を超えた場合の操作
推奨される制限を超えると、初期同期と差分同期が遅くなり、同期エラーが発生する可能性があります。 その場合は、次の手順に従います。
[選択したセキュリティ グループ] スコープ モードのグループまたはグループ メンバーが多すぎます。
スコープ内グループの数を減らす (より高い値のグループをターゲットにする) 、またはプロビジョニングを複数の個別のジョブに分割し、 スコープを分離します。
"すべてのセキュリティ グループ" スコープ モードのグループまたはグループ メンバーが多すぎます。
推奨どおり、選択したセキュリティ グループのスコープ モードを使用します。
一部のグループのメンバーが 50,000 人を超えています。
複数のグループにメンバーシップを分割するか、段階的なグループ (リージョンや部署別など) を採用して、各グループを上限の下に維持します。
API を使用したグループの選択の拡張
999 を超えるグループを選択する必要がある場合は、サービス プリンシパル API 呼び出しに appRoleAssignment の付与を使用する 必要があります。
API 呼び出しの例を次に示します。
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
どこで:
- principalId: グループ オブジェクト ID。
- resourceId: ジョブのサービス プリンシパル ID。
- appRoleId: リソース サービス プリンシパルによって公開されるアプリ ロールの識別子。
クラウドのアプリ ロール ID の一覧を次の表に示します。
| 雲 | appRoleId |
|---|---|
| Public | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
詳細情報
AD DS にグループをプロビジョニングする際に考慮すべきその他のポイントを次に示します。
- Cloud Sync を使用して AD DS にプロビジョニングされたグループには、オンプレミスの同期されたユーザーまたはその他のクラウドで作成されたセキュリティ グループのみを含めることができます。
- これらのユーザーは、自分のアカウント に onPremisesObjectIdentifier 属性を設定する必要があります。
- onPremisesObjectIdentifier は、ターゲット AD DS 環境の対応する objectGUID と一致する必要があります。
- オンプレミス ユーザー objectGUID 属性は、いずれかの同期クライアントを使用して、クラウド ユーザー の onPremisesObjectIdentifier 属性に同期できます。
- Microsoft Entra ID から AD DS にプロビジョニングできるのは、グローバル Microsoft Entra ID テナントのみです。 B2C などのテナントはサポートされていません。
- グループ プロビジョニング ジョブは、20 分ごとに実行するようにスケジュールされています。
Microsoft Entra クラウド同期を使ったグループ書き戻しでサポートされるシナリオ
以下のセクションでは、Microsoft Entra クラウド同期を使ったグループ書き戻しでサポートされるシナリオについて説明します。
- Microsoft Entra Connect Sync のグループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する
- Microsoft Entra ID ガバナンスを使用してオンプレミスの Active Directory ベースのアプリ (Kerberos) を管理する
Microsoft Entra Connect Sync グループ書き戻し V2 を Microsoft Entra Cloud Sync に移行する
シナリオ: Microsoft Entra Connect Sync (旧称 Azure AD Connect) を使用してグループ ライトバックを Microsoft Entra Cloud Sync に移行します。このシナリオは、現在 Microsoft Entra Connect グループ ライトバック v2 を使用しているお客様 のみを 対象としています。 このドキュメントで概説するプロセスは、ユニバーサル スコープで書き戻される、クラウドで作成されたセキュリティ グループにのみ関連するものです。 Microsoft Entra Connect グループ書き戻し V1 または V2 を使用して書き戻される、メールが有効なグループおよび DL は、サポートされていません。
詳細については、「 Microsoft Entra Connect Sync グループ ライトバック V2 を Microsoft Entra Cloud Sync に移行する」を参照してください。
Microsoft Entra ID Governance を使用してオンプレミスの Active Directory ベースのアプリ (Kerberos) を管理する
シナリオ: クラウドからプロビジョニングされ、クラウドで管理される Active Directory グループを使用して、オンプレミス アプリケーションを管理します。 Microsoft Entra クラウド同期を使用すると、Microsoft Entra ID ガバナンスの機能を利用してアクセス関連の要求を制御および修復しながら、AD でのアプリケーションの割り当てを完全に管理できます。
詳細については、「 Microsoft Entra ID ガバナンスを使用したオンプレミスの Active Directory ベースのアプリ (Kerberos) の管理」を参照してください。