重要
Microsoft Entra Connect Sync でのグループ ライトバック v2 のプレビューは非推奨となり、サポートされなくなりました。
Microsoft Entra Cloud Sync を使用して、クラウド セキュリティ グループをオンプレミスの Active Directory Domain Services (AD DS) にプロビジョニングできます。
Microsoft Entra Connect Sync でグループ ライトバック v2 を使用する場合は、同期クライアントを Microsoft Entra Cloud Sync に移動する必要があります。Microsoft Entra Cloud Sync に移行する資格があるかどうかを確認するには、ユーザー同期ウィザードを使用します。
ウィザードで推奨されているように Microsoft Cloud Sync を使用できない場合は、Microsoft Entra Connect Sync と並行して Microsoft Entra Cloud Sync を実行できます。その場合は、Microsoft Entra Cloud Sync を実行して、クラウド セキュリティ グループをオンプレミスの AD DS にプロビジョニングするだけです。
MICROSOFT 365 グループを AD DS にプロビジョニングする場合は、グループ ライトバック v1 を引き続き使用できます。
この記事では、Microsoft Entra Connect Sync (旧称 Azure Active Directory Connect) を使用してグループ ライトバックを Microsoft Entra Cloud Sync に移行する方法について説明します。このシナリオは、現在 Microsoft Entra Connect グループ ライトバック v2 を使用しているお客様 のみを 対象としています。 この記事で説明するプロセスは、ユニバーサル スコープで書き戻されるクラウドで作成されたセキュリティ グループにのみ関連します。
このシナリオは、次の場合にのみサポートされます。
- クラウドで作成された セキュリティ グループ。
- ユニバーサルのスコープで Active Directory に書き戻されたグループ。
Active Directory に書き戻されたメールが有効なグループと配布リストは、引き続き Microsoft Entra Connect グループ ライトバックで動作しますが、グループ ライトバック v1 の動作に戻ります。 このシナリオでは、グループ の書き戻し v2 を無効にした後、すべての Microsoft 365 グループは、Microsoft Entra 管理センターの [書き戻しが有効] 設定とは別に Active Directory に書き戻されます。 詳細については、「 Microsoft Entra Cloud Sync を使用した Active Directory へのプロビジョニングに関する FAQ」を参照してください。
前提条件
少なくとも ハイブリッド ID 管理者 ロールを持つ Microsoft Entra アカウント。
少なくともドメイン管理者のアクセス許可を持つオンプレミスの Active Directory アカウント。
adminDescription属性にアクセスし、msDS-ExternalDirectoryObjectId属性にコピーするために必要です。Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するオンプレミスの Active Directory Domain Services 環境。
Active Directory スキーマ属性の
msDS-ExternalDirectoryObjectIdに必要です。ビルド バージョンが 1.1.1367.0 以降のプロビジョニング エージェント。
プロビジョニング エージェントは、ポート TCP/389 (LDAP) と TCP/3268 (グローバル カタログ) 上のドメイン コントローラーと通信できる必要があります。
無効なメンバーシップ参照をフィルターで除外するには、グローバルカタログ検索に必要です。
書き戻されたグループの名前付け規則
既定では、Microsoft Entra Connect Sync では、名前付けグループが書き戻されるときに次の形式が使用されます。
-
既定の形式:
CN=Group_<guid>,OU=<container>,DC=<___domain component>,DC=\<___domain component> -
例:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Microsoft Entra ID から Active Directory に書き戻されるグループを見つけやすくするため、Microsoft Entra Connect 同期ではクラウド表示名を使ってグループの名前を書き戻すオプションが追加されました。 このオプションを使用するには、グループ書き戻し v2 の初期セットアップの際に、クラウド表示名を持つ書き戻しグループ識別名を選択します。 この機能が有効になっている場合、Microsoft Entra Connect では、既定の形式ではなく、次の新しい形式が使用されます。
-
新しい形式:
CN=<display name>_<last 12 digits of object ID>,OU=<container>,DC=<___domain component>,DC=\<___domain component> -
例:
CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
既定では、Microsoft Entra Connect Sync でライトバック グループ識別名とクラウド表示名機能が有効になっていない場合でも、Microsoft Entra Cloud Sync は新しい形式を使用します。既定の Microsoft Entra Connect Sync の名前を使用し、Microsoft Entra Cloud Sync によって管理されるようにグループを移行すると、グループの名前が新しい形式に変更されます。 Microsoft Entra Cloud Sync で Microsoft Entra Connect の既定の形式を使用できるようにするには、次のセクションを使用します。
既定の形式を使用する
Microsoft Entra Cloud Sync で Microsoft Entra Connect Sync と同じ既定の形式を使用する場合は、 CN 属性の属性フロー式を変更する必要があります。 2 つのマッピングを使用できます。
| Expression | 構文 | 説明 |
|---|---|---|
クラウド同期の既定の表現にDisplayNameを使用する |
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) |
Microsoft Entra Cloud Sync で使用される既定の式 (つまり、新しい形式)。 |
クラウド同期の新しい表現を使用せずにDisplayName |
Append("Group_", [objectId]) |
Microsoft Entra Connect 同期の既定の形式を使う新しい式。 |
詳細については、「 属性マッピングの追加 - Microsoft Entra ID を Active Directory に追加する」を参照してください。
手順 1: adminDescription を msDS-ExternalDirectoryObjectID にコピーする
グループ メンバーシップ参照を検証するには、Microsoft Entra Cloud Sync で Active Directory グローバル カタログに対して msDS-ExternalDirectoryObjectID 属性のクエリを実行する必要があります。 このインデックス付き属性は、Active Directory フォレスト内のすべてのグローバル カタログにレプリケートされます。
オンプレミス環境で、 ADSI Edit を開きます。
グループの
adminDescription属性にある値をコピーします。
msDS-ExternalDirectoryObjectID属性に値を貼り付けます。
この手順を自動化するには、次の PowerShell スクリプトを使用できます。 このスクリプトは、 OU=Groups,DC=Contoso,DC=com コンテナー内のすべてのグループを取得し、 adminDescription 属性値を msDS-ExternalDirectoryObjectID 属性値にコピーします。 このスクリプトを使用する前に、変数 $gwbOU を、グループ ライトバックのターゲット組織単位 (OU) の DistinguishedName 値で更新します。
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
次の PowerShell スクリプトを使用して、前のスクリプトの結果を確認できます。 すべてのグループの adminDescription 値が msDS-ExternalDirectoryObjectID 値と等しいことを確認することもできます。
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
手順 2: Microsoft Entra Connect 同期サーバーをステージング モードにし、同期スケジューラを無効にする
Microsoft Entra Connect 同期ウィザードを起動します。
設定を選択します。
[ ステージング モードの構成] を選択し、[ 次へ] を選択します。
Microsoft Entra 資格情報を入力します。
[ ステージング モードを有効にする] チェック ボックスをオンにし、[ 次へ] を選択します。
設定を選択します。
[終了] を選択します。
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
同期スケジューラを無効にします。
Set-ADSyncScheduler -SyncCycleEnabled $false
手順 3: カスタム グループ受信規則を作成する
Microsoft Entra Connect 同期規則エディターでは、メール属性の NULL を持つグループを除外する受信同期規則を作成します。 受信同期規則は、ターゲット属性が cloudNoFlow の結合規則です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。 この同期規則を作成するには、ユーザー インターフェイスを使用するか、PowerShell を使用して指定のスクリプトで作成するかのどちらかを選択できます。
ユーザー インターフェイスでカスタム グループ受信規則を作成する
[スタート] メニューで、同期規則エディターを起動します。
方向でドロップダウンリストから受信を選択し、新しいルールの追加を選択します。
[ 説明 ] ページで、次の値を入力し、[ 次へ] を選択します。
- 名前: ルールにわかりやすい名前を付けます。
- 説明: わかりやすい説明を追加します。
- 接続システム: カスタム同期規則を作成する Microsoft Entra コネクタを選択します。
- 接続されたシステム オブジェクトの種類: グループを選択 します。
- メタバース オブジェクトの種類: グループを選択します。
- リンクの種類: [結合] を選択します。
- 優先順位: システム内で一意の値を指定します。 既定の規則よりも優先されるように、100 より小さい値を使用することをお勧めします。
- タグ: フィールドは空のままにします。
[ スコープ フィルター ] ページで、次の値を追加し、[ 次へ] を選択します。
属性 オペレーター 値 cloudMasteredEQUALtruemailISNULL
[ 結合ルール ] ページで、[ 次へ] を選択します。
変換の追加 ページで、FlowTypeとして定数を選択します。 [ターゲット属性] で、cloudNoFlow を選択します。 「ソース」 で 「True」 を選択します。
[追加] を選択します。
PowerShell でカスタム グループ受信規則を作成する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
モジュールをインポートします。
Import-Module ADSync同期規則の優先順位に一意の値を指定します (0 から 99)。
[int] $inboundSyncRulePrecedence = 88次のスクリプトを実行します。
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
手順 4: カスタム グループの送信規則を作成する
また、リンクの種類が JoinNoFlow の送信同期規則と、 cloudNoFlow 属性が True に設定されているスコープ フィルターも必要です。 この規則では、そのようなグループの属性を同期しないように Microsoft Entra Connect に指示します。 この同期規則を作成するには、ユーザー インターフェイスを使用するか、PowerShell を使用して指定のスクリプトで作成するかのどちらかを選択できます。
ユーザー インターフェイスでカスタム グループ送信規則を作成する
[ 方向] で、ドロップダウン リストから [ 送信 ] を選択し、[ ルールの追加] を選択します。
[ 説明 ] ページで、次の値を入力し、[ 次へ] を選択します。
- 名前: ルールにわかりやすい名前を付けます。
- 説明: わかりやすい説明を追加します。
- 接続システム: カスタム同期規則を作成する Active Directory コネクタを選択します。
- 接続されたシステム オブジェクトの種類: グループを選択 します。
- メタバース オブジェクトの種類: グループを選択します。
- リンクの種類: JoinNoFlow を選択します。
- 優先順位: システム内で一意の値を指定します。 既定の規則よりも優先されるように、100 より小さい値を使用することをお勧めします。
- タグ: フィールドは空のままにします。
[ スコープ フィルター ] ページで、[ 属性] で cloudNoFlow を選択します。 [演算子] で [EQUAL] を選択します。 [値] で [True] を選択します。 [次へ] を選択します。
[ 結合ルール ] ページで、[ 次へ] を選択します。
[変換] ページで [追加] を選択します。
PowerShell でカスタム グループ受信規則を作成する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
モジュールをインポートします。
Import-Module ADSync同期規則の優先順位に一意の値を指定します (0 から 99)。
[int] $outboundSyncRulePrecedence = 89グループ ライトバック用の Active Directory コネクタを取得します。
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"次のスクリプトを実行します。
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
手順 5: PowerShell を使用して構成を完了する
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
ADSyncモジュールをインポートします。Import-Module ADSync完全同期サイクルを実行します。
Start-ADSyncSyncCycle -PolicyType Initialテナントのグループ ライトバック機能を無効にします。
警告
この操作は元に戻すことができません。 グループ ライトバック v2 を無効にすると、Microsoft Entra 管理センターの [書き戻しが有効] 設定とは別に、すべての Microsoft 365 グループが Active Directory に書き戻されます。
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false完全同期サイクルをもう一度実行します。
Start-ADSyncSyncCycle -PolicyType Initial同期スケジューラを再び可能にします。
Set-ADSyncScheduler -SyncCycleEnabled $true
手順 6: Microsoft Entra Connect 同期サーバーをステージング モードから削除する
- Microsoft Entra Connect 同期ウィザードを起動します。
- 設定を選択します。
- [ ステージング モードの構成] を選択し、[ 次へ] を選択します。
- Microsoft Entra 資格情報を入力します。
- [ ステージング モードを有効にする ] チェック ボックスをオフにし、[ 次へ] を選択します。
- 設定を選択します。
- [終了] を選択します。
手順 7: Microsoft Entra Cloud Sync を構成する
これで、グループは Microsoft Entra Connect 同期の同期スコープから削除されたので、セキュリティ グループの同期を引き継ぐように Microsoft Entra クラウド同期を設定して構成できます。 詳細については、「 Microsoft Entra Cloud Sync を使用した Active Directory へのグループのプロビジョニング」を参照してください。