Entra Connectによる同期のあれこれ(グループ関連)
同期に関して、何点か気になる点が出たの確認してみました。
前提として、オンプレADで以下のようなOU/グループ構成になっているものとします(全従業員OU配下に、各グループが多段階層で存在している構成)
【前提:オンプレ上のOU/グループ構成】
-全従業員OU
-M365利用グループ(階層①)
-総務部グループ(階層②)
- 情報課グループ(階層③)
-人事グループ(階層③)
- 企画部グループ(階層②)
- 企画課グループ(階層③)
- M365利用なしグループ(階層①)
OU単位ではなく、グループ単位で同期可能か
回答
OU フィルタリングでは OU 単位でしか同期対象を設定できませんので、グループ単位で同期対象を制限したい場合は、カスタム同期ルールを作成するく必要があります。
同期ルールでは Scorping Filter という設定があり、distinguishedName に該当したものだけを同期の対象とすることができます。
同期対象にしたいグループの DN 名を設定することで、指定したグループのみ同期させるといった制御が可能です。
なお、同期ルールには肯定フィルターと否定フィルターがあり、肯定フィルターはホワイトリスト形式とイメージすればばわかりやすいかと思いますが、同期したいオブジェくをスコープに設定する方法となり、否定フィルターはブラックリスト形式で同期させたなくないオブジェクトをスコープに設定する方法になりますので、貴社のご要件に合わせて設計いただけますと幸いです。
詳細については以下の公開情報をご確認ください。
参考:
肯定のフィルター処理 (同期対象の指定)
https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering#positive-filtering-only-sync-these
否定のフィルター処理 (同期対象外の指定)
https://learn.microsoft.com/ja-jp/entra/identity/hybrid/connect/how-to-connect-sync-configure-filtering#negative-filtering-do-not-sync-these
カスタム同期ルールにてグループを同期した際、オンプレAD上のグループの階層情報も同期されるのか。
【前提】に記載のM365利用グループを同期した場合、Entra IDにはどのようなグループが作られるのでしょうか。
回答
階層情報自体も同期させることは可能
・あるグループを同期すると、そのグループにどのメンバ(グループ、ユーザ)が含まれているかという情報も同期される(ただし、直下メンバまで情報。メンバにグループが存在していて、そのグループに所属しているメンバ情報までは同期されない)
・注意点としては、メンバのオブジェクト自体は同期されないので、メンバオブジェクト自体の同期設定も必要
例えば、【前提】を例とすると、
・M365利用グループを同期すると、「M365利用グループオブジェクト」と「M365利用グループに総務部グループと企画部グループが存在しているという情報」がEntra ID上に存在するようになる
・総務部グループと企画部グループのオブジェクト自体はEntra ID上に作成されないので、総務部グループと企画部グループオブジェクトも同期対象にする必要がある
OUフィルタリングを実施した場合、どのようにグループは同期される?
カスタム同期ルールを使わずに、OUフィルタリングにより全従業員OUを同期対象とした場合、Entra上にはどのようなオブジェクトが作成されるか。
・全従業員OUに含まれるすべてのグループが同期される
・各グループにはメンバ(グループ、ユーザ)も含まれた状態になる
まとめ
オンプレADの階層構造(グループやそこに含まれるユーザ)を、そのままEntra IDに構成することは可能。ただし以下が注意点
・カスタム同期ルールを利用する場合、すべてのオブジェクト(グループ、ユーザ)を同期対象とする必要がある(一番、上位階層のグループだけを同期対象とすればよいわけではない)
・OUフィルタリングを利用する場合、単純にOUを同期対象にすればよい。ただし、OUに含まれる一部のグループを同期させてくないなどの要件がある場合は、カスタム同期ルールを併用する必要がある