重要
Microsoft Entra Connect Sync のグループ ライトバック v2 のパブリック プレビューは 、2024 年 6 月 30 日の時点で利用できなくなりました。 この機能はこの日に廃止され、クラウド セキュリティ グループを Active Directory にプロビジョニングするために Microsoft Entra Connect Sync でサポートされなくなりました。 この機能は、廃止日を超えて動作し続けます。ただし、サポートを受けなくなり、通知なしにいつでも機能を停止する可能性があります。
Microsoft Entra Cloud Sync には、Active Directory へのグループ プロビジョニングと呼ばれる同様の機能が用意されています。これは、クラウド セキュリティ グループを Active Directory にプロビジョニングするためにグループ書き戻し v2 の代わりに使用できます。 Microsoft Entra Cloud Sync のこの機能と、Microsoft Entra Cloud Sync で開発しているその他の新機能の強化に取り組んでいます。
Microsoft Entra Connect Sync でこのプレビュー機能を使用しているお客様は、 構成を Microsoft Entra Connect Sync から Microsoft Entra Cloud Sync に切り替える必要があります。すべてのハイブリッド同期を Microsoft Entra Cloud Sync に移動することを選択できます (ニーズがサポートされている場合)。 Microsoft Entra Cloud Sync をサイド バイ サイドで実行し、クラウド セキュリティ グループ プロビジョニングのみを Active Directory に Microsoft Entra Cloud Sync に移動することもできます。
Microsoft 365 グループを Active Directory にプロビジョニングするお客様は、この機能にグループ書き戻し v1 を使用し続けることができます。
ユーザー同期ウィザードを使用して、Microsoft Entra Cloud Sync への移動のみを評価できます。
グループ ライトバックは、Microsoft Entra Connect Sync を使用してクラウド グループをオンプレミスの Active Directory インスタンスに書き戻すために使用できる機能です。Microsoft Entra Connect を使用したグループ ライトバック V2 は非推奨になりました。 Microsoft Entra Connect を使用したグループ ライトバック V1 は引き続き機能し、Microsoft 365 グループを同期する場合は使用する必要があります。 このバージョンのグループ ライトバックは、 Active Directory への Microsoft Entra Cloud Sync グループ プロビジョニングに置き換えられます。 V1 機能は、Microsoft Entra Cloud Sync が Microsoft 365 グループの同期をサポートするまで引き続き機能します。
この記事では、情報を提供し、グループ ライトバック V1 を有効にする方法について説明します。
重要
この記事では、Microsoft Entra Connect Sync でグループ ライトバック V1 を有効にする方法について説明します。Microsoft 365 グループを Active Directory にプロビジョニングする顧客のみが使用する必要があります。
前提条件と情報
グループ の書き戻しを有効にするには、次が必要です。
- テナント向けの Microsoft Entra Premium ライセンス。
- Exchange オンプレミス組織と Microsoft 365 の間で構成されたハイブリッド展開で、正しく機能していることを確認します。
- オンプレミスにインストールされている Exchange のサポートされているバージョン。
- Microsoft Entra Connect を使用して構成されたシングル サインオン。
Microsoft Entra Connect Sync でグループ ライトバック V1 を使用する場合は、次の情報を考慮してください。
- メンバー数が 250,000 までの Microsoft 365 グループをオンプレミスに書き戻すことができます。
- 既存の Microsoft 365 グループをすべて Active Directory に書き戻したくない場合は、この記事の手順を実行して機能を有効にする前に、グループ の書き戻しの既定の動作を変更してください。 詳細については、「 Microsoft 365 グループの変更」を参照してください。
グループの書き戻しを有効にする
グループ ライトバックを有効にするには、次の手順に従います。
Microsoft Entra Connect ウィザードを開き、[構成] を選択して、[次へ] を選択します。
[ 同期オプションのカスタマイズ ] を選択し、[ 次へ] を選択します。
[ Azure AD への接続 ] ページで、資格情報を入力します。 [次へ] を選択します。
[オプション機能] ページで、以前に構成したオプションが選択されたままであることを確認します。
[ グループ の書き戻 し] を選択し、[ 次へ] を選択します。
[ グループ の書き戻 し] ページで、Microsoft 365 からオンプレミス組織に同期されるオブジェクトを格納する Active Directory 組織単位を選択します。 次に、[次へ] を選択します。
Microsoft Entra ID から Active Directory に書き戻されるグループを見つけやすくするには、[ クラウド表示名を含む書き戻しグループの識別名] オプションを選択します。
既定の形式:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=___domain, DC=com新しい形式:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=___domain, DC=com
グループ ライトバックを構成すると、構成ウィンドウの下部にチェック ボックスが表示されます。 この機能を有効にするにはこれを選択します。
Microsoft Entra ID から Active Directory に書き戻されるグループには、クラウド内の権限のソースがあります。 Microsoft Entra ID から書き戻されたグループに対してオンプレミスで行われた変更は、次の同期サイクルで上書きされます。
[構成の準備完了] ページで、 [構成] を選択します。
ウィザードが完了したら、[ 構成の完了 ] ページで [終了] を選択 します。
Microsoft Entra Connect サーバーで管理者として Windows PowerShell を開き、次のコマンドを実行します。
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # To grant the <MSOL_account> permission to all domains in the forest: Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN # To grant the <MSOL_account> permission to specific OU (eg. the OU chosen to writeback Office 365 Groups to): $GroupWritebackOU = <DN of OU where groups are to be written back to> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Microsoft 365 グループを構成する方法の詳細については、「 オンプレミスの Exchange ハイブリッドを使用して Microsoft 365 グループを構成する」を参照してください。
グループの書き戻しを無効にする
グループの書き戻しを無効にするには、次の手順に従います。
Microsoft Entra Connect ウィザードを開き、[その他のタスク] ページに移動します。 [ 同期オプションのカスタマイズ ] タスクを選択し、[ 次へ] を選択します。
[ オプション機能 ] ページで、[ グループの書き戻 し] チェック ボックスをオフにします。 警告は、グループを削除しようとしていることを示します。 [はい] を選択します。
グループ ライトバックを無効にすると、この機能を使用して以前に作成されたすべてのグループは、次の同期サイクルでローカル Active Directory インスタンスから削除されます。
![[グループの書き戻し] チェックボックスを解除することを示すスクリーンショット。](media/how-to-connect-group-writeback/group-1.png)
[次へ] を選択します。
設定を選択します。
グループの書き戻しを無効にすると、Microsoft Entra Connector で Full Import フラグと Full Synchronization フラグが true に設定されます。 規則の変更は、次の同期サイクルに反映され、以前に Active Directory に書き戻されたグループを削除します。
Microsoft 365 グループの既定の動作を変更する
次のセクションでは、Microsoft 365 グループの既定の動作を変更する方法について説明します。
メンバー数が 250,000 までの Microsoft 365 グループを書き戻す
グループ の書き戻しを有効にすると、グループ サイズを制限する既定の同期規則が作成されるため、グループ の書き戻しを有効にした後、次の手順を完了する必要があります。
Microsoft Entra Connect サーバーで、管理者として PowerShell プロンプトを開きます。
Microsoft Entra Connect 同期スケジューラを無効にする:
Set-ADSyncScheduler -SyncCycleEnabled $false同期規則エディターを開きます。
方向を [送信] に設定します。
Out to AD – Group Writeback Member Limit 同期規則を見つけて無効にします
Microsoft Entra Connect 同期スケジューラを有効にする:
Set-ADSyncScheduler -SyncCycleEnabled $true
同期規則を無効にすると、完全同期のフラグが Microsoft Entra Connector で true に設定されます。 この変更により、次の同期サイクルでルールの変更が反映されます。