次のドキュメントでは、Active Directory から Microsoft Entra ID へのプロビジョニング用に Microsoft Entra Cloud Sync を構成する方法について説明します。 Microsoft Entra ID から AD へのプロビジョニングの詳細については、「構成 - Microsoft Entra Cloud Sync を使用して Active Directory を Microsoft Entra ID にプロビジョニングする」を参照してください。
次のドキュメントでは、Microsoft Entra Cloud Sync の新しいガイド付きユーザー エクスペリエンスを示します。
詳細とクラウド同期を構成する方法の例については、以下のビデオを参照してください。
プロビジョニングの構成
プロビジョニングを構成するには、次の手順に従います。
少なくともハイブリッド ID 管理者として、Microsoft Entra 管理センターにサインインします。
Entra ID>、Entra Connect>、そしてCloud 同期にアクセスします。
Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。
- [ 新しい構成] を選択します。
-
AD から Microsoft Entra ID の同期を選択します。
- 構成画面で、ドメインとパスワード ハッシュ同期を有効にするかどうかを選択します。[ 作成] をクリックします。
- [ 作業の開始 ] 画面が開きます。 ここから、クラウド同期の構成を続行できます。
- 構成は、次の 5 つのセクションに分かれています。
| セクション | 説明 |
|---|---|
| 1. スコープ フィルターを追加する | このセクションを使用して、Microsoft Entra ID に表示されるオブジェクトを定義します |
| 2. マップ属性 | このセクションを使用して、オンプレミスのユーザー/グループと Microsoft Entra オブジェクトの間で属性をマップします |
| 3. テスト | 構成をデプロイする前にテストする |
| 4. 既定のプロパティを表示する | 既定の設定を有効にする前に表示し、必要に応じて変更を加える |
| 5. 構成を有効にする | 準備ができたら、構成を有効にし、ユーザー/グループの同期が開始されます |
注
構成プロセス中、同期サービス アカウントは ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com 形式で作成され、同期サービス アカウントに対して多要素認証が有効になっているか、同期アカウントに対して他の対話型認証ポリシーが誤って有効になっている場合にエラーが発生する可能性があります。 同期サービス アカウントの多要素認証または対話型認証ポリシーを削除すると、エラーが解決され、構成をスムーズに完了できます。
特定のユーザーとグループにスコープを指定する
既定では、プロビジョニング エージェントは Active Directory からユーザーとグループのサブセットを同期します。 オンプレミスの Active Directory グループまたは組織単位を使用して、特定のユーザーとグループを同期するようにエージェントのスコープを設定できます。
構成内でグループと組織単位を構成できます。
注
グループ スコープで入れ子になったグループを使用することはできません。 第 1 レベルを超えて入れ子になっているオブジェクトは、セキュリティ グループを使用してスコープを設定するときには含まれません。 大規模なグループの同期には制限があるため、パイロット シナリオではグループ スコープのフィルター処理のみを使用します。
- [ 作業の開始 ] 構成画面。 [スコープ フィルターの追加] アイコンの横にある [スコープ フィルターの追加] をクリックするか、左側の [管理] の下にある [スコープ フィルター] をクリックします。
- スコープ フィルターを選択します。 フィルターには、次のいずれかを指定できます。
- すべてのユーザー: 同期されているすべてのユーザーに適用する構成のスコープを設定します。
- 選択したセキュリティ グループ: 特定のセキュリティ グループに適用する構成のスコープを設定します。
- 選択した組織単位: 特定の OU に適用する構成のスコープを設定します。
- セキュリティ グループと組織単位の場合は、適切な識別名を指定し、[ 追加] をクリックします。
- スコープ フィルターを構成したら、[ 保存] をクリックします。
- 保存すると、クラウド同期を構成するためにまだ何を行う必要があるかを示すメッセージが表示されます。リンクをクリックして続行できます。
- スコープを変更したら、 プロビジョニングを再開 して、変更の即時同期を開始する必要があります。
属性マッピング
Microsoft Entra Cloud Sync を使用すると、オンプレミスのユーザー/グループ オブジェクトと Microsoft Entra ID のオブジェクトの間で属性を簡単にマップできます。
既定の属性マッピングをビジネスのニーズに合わせてカスタマイズできます。 そのため、既存の属性マッピングを変更、削除したり、新規の属性マッピングを作成したりすることができます。
保存すると、クラウド同期を構成するためにまだ何を行う必要があるかを示すメッセージが表示されます。リンクをクリックして続行できます。
詳細については、 属性マッピングを参照してください。
ディレクトリ拡張機能とカスタム属性マッピング。
Microsoft Entra Cloud Sync を使用すると、拡張機能を使用してディレクトリを拡張し、カスタム属性マッピングを提供できます。 詳細については、「 ディレクトリ拡張機能とカスタム属性マッピング」を参照してください。
オンデマンド プロビジョニング
Microsoft Entra Cloud Sync では、これらの変更を 1 人のユーザーまたはグループに適用することで、構成の変更をテストできます。
これを使用して、構成に加えられた変更が正しく適用され、Microsoft Entra ID に正しく同期されていることを検証して確認できます。
テスト後、クラウド同期を構成するために必要な操作を示すメッセージが表示されます。リンクをクリックして続行できます。
詳細については、「 オンデマンド プロビジョニング」を参照してください。
誤削除と電子メール通知
既定のプロパティ セクションでは、誤った削除と電子メール通知に関する情報が提供されます。
誤って削除する機能は、多くのユーザーやグループに影響を与えるオンプレミス ディレクトリに対する誤った構成変更や変更からユーザーを保護するように設計されています。
この機能では次のことができます。
- 誤って自動的に削除されないようにする機能を構成します。
- 構成を有効にするオブジェクトの数 (しきい値) を設定する
- このシナリオで対象の同期ジョブが検疫されると、通知メール アドレスを設定して電子メール通知を受け取ることができるようにする
詳細については、誤削除に関する情報をご覧ください。
[基本] の横にある鉛筆をクリックして、構成の既定値を変更します。
構成を有効にする
構成を完了してテストしたら、有効にすることができます。
[ 構成の有効化] をクリックして有効にします。
検疫
クラウド同期は、構成の正常性を監視し、異常なオブジェクトを検疫状態に配置します。 ターゲット システムに対して行われた呼び出しのほとんどまたは全部が、無効な管理者資格情報などのエラーのために一貫して失敗する場合、同期ジョブは検疫中としてマークされます。 詳細については、 検疫に関するトラブルシューティングのセクションを参照してください。
プロビジョニングを再開する
次回のスケジュールされた実行を待機しない場合は、[ 同期の再開 ] ボタンを使用してプロビジョニングの実行をトリガーします。
少なくともハイブリッド ID 管理者として、Microsoft Entra 管理センターにサインインします。
Entra ID>、Entra Connect>、そしてCloud 同期にアクセスします。
Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。
- [ 構成] で、構成を選択します。
- 上部にある [同期の 再起動] を選択します。
構成を削除する
構成を削除するには、次の手順に従います。
少なくともハイブリッド ID 管理者として、Microsoft Entra 管理センターにサインインします。
Entra ID>、Entra Connect>、そしてCloud 同期にアクセスします。
Microsoft Entra Connect Cloud Sync のホームページを示すスクリーンショット。
- [ 構成] で、構成を選択します。
- 構成画面の上部にある [ 構成の削除] を選択します。
重要
構成を削除する前に確認はありません。 [削除] を選択する前に、これが実行するアクションであることを確認します。