この記事では、エンタイトルメント管理でのグループ書き戻しを設定する方法について説明します。 グループ ライトバックは、Microsoft Entra Cloud Sync を使用して、クラウド グループをオンプレミスの Active Directory インスタンスに書き戻す機能です。
エンタイトルメント管理でグループの書き戻しを設定する
アクセス パッケージで Microsoft 365 グループのグループの書き戻しを設定するには、次の前提条件を完了する必要があります。
- Microsoft Entra グループの書き戻しを設定します。
- Microsoft Entra Cloud Sync 構成でグループ ライトバックをセットアップするために使用される組織単位 (OU)。
- Microsoft Entra Cloud Sync の グループ ライトバック有効化手順 を完了します。
グループ ライトバックを使用して、アクセス パッケージの一部であるセキュリティ グループをオンプレミスの Active Directory に同期できるようになりました。 グループを同期するには、次の手順に従います。
Microsoft Entra セキュリティ グループを作成します。
そのグループをオンプレミスの Active Directory に書き戻されるように設定します。 手順については、Microsoft Entra 管理センターのグループの書き戻しを参照してください。
そのグループをリソース ロールとしてアクセス パッケージに追加します。 ガイダンスについては、新しいアクセス パッケージの作成に関するページを参照してください。
Active Directory ユーザーとコンピューターを起動し、作成された新しい AD グループが AD ドメインに作成されるまで待ちます。 存在する場合は、新しい AD グループの識別名、ドメイン、アカウント名、SID を記録します。
「Microsoft Entra ID ガバナンスを使用したオンプレミス Active Directory ベースのアプリ (Kerberos) の管理」の説明に従って、アプリケーションを更新するか、既存のグループのメンバーとしてグループを追加して、新しいグループを使用するようにアプリケーションを構成します。
アクセス パッケージにユーザーを割り当てます。 ユーザーを直接割り当てる手順については、アクセス パッケージの割り当ての表示、追加、削除に関するページを参照してください。
アクセス パッケージにユーザーを割り当てた後、Microsoft Entra Cloud Sync サイクルが完了したら、ユーザーがオンプレミス グループのメンバーになっていることを確認します。
- オンプレミス OU 内のグループのメンバー プロパティを表示するか、または
- ユーザー オブジェクトの [メンバーの所属先] を確認します。
注
Microsoft Entra Cloud Sync の既定の同期サイクル スケジュールは 30 分ごとです。 次のサイクルが実行されるまで待って結果をオンプレミスで確認するか、または結果をより早く確認するために同期サイクルの手動での実行を選択することが必要になる場合があります。
AD ドメインの監視では、プロビジョニング エージェントを実行する gMSA アカウントのみに、新しい AD グループのメンバーシップを変更する承認を付与します。