Microsoft Entra クラウド同期を使ったグループ書き戻し

2025-10-10

プロビジョニングエージェント 1.1.1370.0 のリリースにより、クラウド同期でグループライトバックを実行できるようになりました。この機能は、クラウド同期によってグループをオンプレミスの Active Directory 環境に直接プロビジョニングできることを意味します。また、ID ガバナンス機能を使用して、エンタイトルメント管理アクセスパッケージにグループを含めるなど、AD ベースのアプリケーションへのアクセスを管理することもできます。

重要

Microsoft Entra Connect Sync でのグループライトバック v2 のプレビューは非推奨となり、サポートされなくなりました。

Microsoft Entra Cloud Sync を使用して、クラウドセキュリティグループをオンプレミスの Active Directory Domain Services (AD DS) にプロビジョニングできます。

Microsoft Entra Connect Sync でグループライトバック v2 を使用する場合は、同期クライアントを Microsoft Entra Cloud Sync に移動する必要があります。Microsoft Entra Cloud Sync に移行する資格があるかどうかを確認するには、ユーザー同期ウィザードを使用します。

ウィザードで推奨されているように Microsoft Cloud Sync を使用できない場合は、Microsoft Entra Connect Sync と並行して Microsoft Entra Cloud Sync を実行できます。その場合は、Microsoft Entra Cloud Sync を実行して、クラウドセキュリティグループをオンプレミスの AD DS にプロビジョニングするだけです。

MICROSOFT 365 グループを AD DS にプロビジョニングする場合は、グループライトバック v1 を引き続き使用できます。

Microsoft Entra ID を Active Directory Domain Services にプロビジョニングする - 前提条件

Active Directory Domain Services (AD DS) へのプロビジョニンググループを実装するには、次の前提条件が必要です。

ライセンスの要件

この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。

一般的な要件

少なくともハイブリッド ID 管理者ロールを持つ Microsoft Entra アカウント。
MsDS-ExternalDirectoryObjectId 属性を持つオンプレミスの AD DS スキーマ。Windows Server 2016 以降で使用できます。
ビルドバージョン 1.1.3730.0 以降のプロビジョニングエージェント。

注

サービスアカウントへのアクセス許可は、クリーンインストール時にのみ割り当てられます。以前のバージョンからアップグレードする場合は、PowerShell を使用してアクセス許可を手動で割り当てる必要があります。

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of ___domain" -EACredential $credential

権限が手動で設定されている場合は、すべての子孫グループおよびユーザーオブジェクトのすべてのプロパティの読み取り、書き込み、作成、および削除を割り当てる必要があります。

これらのアクセス許可は、既定では AdminSDHolder オブジェクトには適用されません。詳細については、 Microsoft Entra プロビジョニングエージェント gMSA PowerShell コマンドレットを参照してください。

プロビジョニングエージェントは、Windows Server 2022、Windows Server 2019、または Windows Server 2016 を実行するサーバーにインストールする必要があります。
プロビジョニングエージェントで、ポート TCP/389 (LDAP) および TCP/3268 (グローバルカタログ) 上の 1 つ以上のドメインコントローラーと通信できる必要があります。
- 無効なメンバーシップ参照をフィルターで除外するには、グローバルカタログ参照に必要です
Microsoft Entra Connect Sync とビルドバージョン 2.22.8.0
- Microsoft Entra Connect Sync を使用して同期されるオンプレミスのユーザーメンバーシップをサポートするために必要です
- AD DS:user:objectGUIDを同期するために必要ですAAD DS:user:onPremisesObjectIdentifier

サポートされているグループとスケールの制限

次のアクションがサポートされています。

SOA グループを AD DS にプロビジョニングする場合は、OU パスを確実に保持し、グループの AD へのプロビジョニング構成で適切なマッピングを指定して設定してください。詳細については、「 Microsoft Entra Cloud Sync を使用して Active Directory Domain Services にグループをプロビジョニングする」を参照してください。
(AD DS から Microsoft Entra ID に) 変換されたクラウドネイティブまたは SOA のセキュリティグループのみがサポートされます。
これらのグループは、割り当てられたメンバーシップグループでも動的メンバーシップグループでもかまいません。
これらのグループには、オンプレミスの同期されたユーザーまたは他のクラウドで作成されたセキュリティグループのみを含めることができます。
同期されたユーザーは、同じフォレスト内の任意のドメインから取得できます。
これらのグループは、ユニバーサルのグループスコープで書き戻されます。オンプレミス環境では、ユニバーサルグループスコープをサポートする必要があります。
メンバーが 50,000 を超えるグループはサポートされていません。
150,000 を超えるオブジェクトを持つテナントはサポートされていません。ユーザーとグループの組み合わせが 150,000 オブジェクトを超える場合、テナントはサポートされません。
直接子の入れ子になった各グループは、参照元グループ内の 1 つのメンバーとしてカウントされます。
Microsoft Entra ID と AD DS の間のグループの調整は、グループが AD DS で手動で更新される場合はサポートされません。

詳細情報

AD DS にグループをプロビジョニングする場合は、さらに考慮する必要がある点を次に示します。

Cloud Sync を使用して AD DS にプロビジョニングされたグループには、オンプレミスの同期されたユーザーまたはその他のクラウドで作成されたセキュリティグループのみを含めることができます。
これらのユーザーは、自分のアカウント に onPremisesObjectIdentifier 属性を設定する必要があります。
onPremisesObjectIdentifier は、ターゲット AD DS 環境の対応する objectGUID と一致する必要があります。
オンプレミスユーザー objectGUID 属性は、いずれかの同期クライアントを使用して、クラウドユーザー の onPremisesObjectIdentifier 属性に同期できます。
Microsoft Entra ID から AD DS にプロビジョニングできるのは、グローバル Microsoft Entra ID テナントのみです。 B2C などのテナントはサポートされていません。
グループプロビジョニングジョブは、20 分ごとに実行するようにスケジュールされています。