Source of Authority(SOA)変換機能について
本記事は、MSの以下のブログ記事を補足するための記事となります。
Source of Authority(SOA)とは
Entra IDとADDSのように複数のシステムが連携してユーザ/グループが同期されるような環境において、ユーザー/グループ属性情報について、最終的に“正”とみなされる元データの所在(どこの情報を正とするか)を意味します。
SOA変換機能によってできるようになったこと
従来、オンプレミス AD から Entra Connect を使用して Entra ID に同期しているユーザーやグループの属性は基本的にオンプレミス AD 側で管理されていたため、Entra ID 上からは編集できませんでした。
例えば、同期ユーザーのプロパティを Azure ポータル上で編集しようとすると、下の画面ショットのように属性がグレー アウトして編集できない仕様になっていることが確認できます。
ただし、一部編集が可能な属性もありますが、Entra Connect の差分同期によって変更された値はオンプレミス AD 側の値によって上書きされる動作が想定されます。
SOA変換機能が一般提供されたことによって、既存の同期ユーザーやグループの属性の編集を含む管理を Entra ID 側で一元管理できるようになりました。
本機能については、以下の公開情報にもまとめられておりますので、
公開情報:クラウド優先の体制を採用し、ユーザーの機関ソース (SOA) をクラウドに転送する (プレビュー) – Microsoft Entra ID | Microsoft Learn
※SOAをADDS/EntraIDのどちらかにするかは、ユーザ/グループ単位で設定可能
SOA変換機能によって、Entra ID側で、ユーザ・グループ属性を変更した場合、オンプレAD側に反映されるのか
グループ属性
クラウド同期のライトバックの機能を追加で設定することで、Entra ID 側で変更した値をオンプレミス AD 側に書き戻すことが可能です。
公開情報:Microsoft Entra ID でグループの権限のソース (SOA) を構成する – Microsoft Entra ID | Microsoft Learn
//該当箇所
//ここまで
ユーザ属性
Entra ID 側で変更した値をオンプレミス AD 側に書き戻す機能は、現時点(2025/12/20時点)では、存在しません。
オンプレミス AD 側のユーザーと Entra ID 側の同期ユーザーの属性情報を常に一致させたい場合、SOA をオンプレミス AD 側に設定することを検討する必要があります。
所感
オンプレADをなくせるような環境であれば、SOAをEntraIDに変更するメリットはあると感じた(今までははオンプレAD廃止すると、EntraID上でオンプレADから同期されたユーザ/グループの属性変更できないので、オンプレAD廃止の課題となっていたが、今回のSOA変換機能により、この課題が解消されたと認識)が、オンプレADをなくせない環境においては、EntraID→オンプレADの同期に制限がある(ユーザについてはそもそも同期できない、グループに関してはクラウド同期機能を利用する必要がある)ことから、現時点では利用のメリットがないと感じた(SOAをEntraに移しても、結局Entra、ADの両方でユーザ/グループ管理が必要になりそう)
※オンプレADが残り続ける環境で、ユーザ/グループ単位でSOAを分ける(オンプレAD or EntraID)ような構成にしていしまうと、より管理が煩雑になりそうな懸念も。。。