Entra Connectによる同期のあれこれ(グループ関連)

2024年2月9日

同期に関して、何点か気になる点が出たの確認してみました。

前提として、オンプレADで以下のようなOU/グループ構成になっているものとします(全従業員OU配下に、各グループが多段階層で存在している構成)

【前提:オンプレ上のOU/グループ構成

-全従業員OU

 -M365利用グループ(階層①)

  -総務部グループ(階層②)

   - 情報課グループ(階層③)

   -人事グループ(階層③)

  - 企画部グループ(階層②)

   - 企画課グループ(階層③)

 - M365利用なしグループ(階層①)

OU単位ではなく、グループ単位で同期可能か

回答

OU フィルタリングでは OU 単位でしか同期対象を設定できませんので、グループ単位で同期対象を制限したい場合は、カスタム同期ルールを作成するく必要があります。
同期ルールでは Scorping Filter という設定があり、distinguishedName に該当したものだけを同期の対象とすることができます。
同期対象にしたいグループの DN 名を設定することで、指定したグループのみ同期させるといった制御が可能です。
なお、同期ルールには肯定フィルターと否定フィルターがあり、肯定フィルターはホワイトリスト形式とイメージすればばわかりやすいかと思いますが、同期したいオブジェくをスコープに設定する方法となり、否定フィルターはブラックリスト形式で同期させたなくないオブジェクトをスコープに設定する方法になりますので、貴社のご要件に合わせて設計いただけますと幸いです。
詳細については以下の公開情報をご確認ください。

参考:
肯定のフィルター処理 (同期対象の指定)
https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering#positive-filtering-only-sync-these

否定のフィルター処理 (同期対象外の指定)
https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering#negative-filtering-do-not-sync-these

カスタム同期ルールにてグループを同期した際、オンプレAD上のグループの階層情報も同期されるのか。

【前提】に記載のM365利用グループを同期した場合、Entra IDにはどのようなグループが作られるのでしょうか。

回答

階層情報自体も同期させることは可能

・あるグループを同期すると、そのグループにどのメンバ(グループ、ユーザ)が含まれているかという情報も同期される(ただし、直下メンバまで情報。メンバにグループが存在していて、そのグループに所属しているメンバ情報までは同期されない)

・注意点としては、メンバのオブジェクト自体は同期されないので、メンバオブジェクト自体の同期設定も必要

例えば、【前提】を例とすると、

・M365利用グループを同期すると、「M365利用グループオブジェクト」と「M365利用グループに総務部グループと企画部グループが存在しているという情報」がEntra ID上に存在するようになる

・総務部グループと企画部グループのオブジェクト自体はEntra ID上に作成されないので、総務部グループと企画部グループオブジェクトも同期対象にする必要がある

OUフィルタリングを実施した場合、どのようにグループは同期される?

カスタム同期ルールを使わずに、OUフィルタリングにより全従業員OUを同期対象とした場合、Entra上にはどのようなオブジェクトが作成されるか。

・全従業員OUに含まれるすべてのグループが同期される

・各グループにはメンバ(グループ、ユーザ)も含まれた状態になる

まとめ

オンプレADの階層構造(グループやそこに含まれるユーザ)を、そのままEntra IDに構成することは可能。ただし以下が注意点

・カスタム同期ルールを利用する場合、すべてのオブジェクト(グループ、ユーザ)を同期対象とする必要がある(一番、上位階層のグループだけを同期対象とすればよいわけではない)

・OUフィルタリングを利用する場合、単純にOUを同期対象にすればよい。ただし、OUに含まれる一部のグループを同期させてくないなどの要件がある場合は、カスタム同期ルールを併用する必要がある

Azure,Entra

Posted by mitsuru