Microsoft 365 を利用する際に組織の Active Directory を有効活用するため、 Azure AD Connect を利用していることかと思います。しかしながら現在、クラウドを活用した Azure AD Connect クラウド同期という機能が提供され始めているのはご存じでしょうか。
今回はこれをチェックさせていただこうと思います。
ちょっと長いのですが、上記 docs からコピーした機能差です。
ここにあるように、複数の AD から 1 つのテナントに同期をかけるということが可能となるのが大きな点でしょうか。同期する OU がかぶらなければ、AD Connect と AD Connect クラウド同期を同居することも可能となります。
しかしながら AD Connect クラウド同期ではデバイスの同期が行えないなど、サブセットのような扱いになることに注意しましょう。
機能 | Azure Active Directory Connect 同期 | Azure Active Directory Connect クラウド同期 |
単一のオンプレミス AD フォレストへの接続 | ● | ● |
複数のオンプレミス AD フォレストへの接続 | ● | ● |
切断された複数のオンプレミスADフォレストに接続する | ● | |
ライトウェイト エージェント インストール モデル | ● | |
高可用性のための複数のアクティブなエージェント | ● | |
LDAP ディレクトリへの接続 | ● | |
ユーザーオブジェクトのサポート | ● | ● |
グループオブジェクトのサポート | ● | ● |
Contact オブジェクトのサポート | ● | ● |
デバイスオブジェクトのサポート | ● | |
属性フローの基本的なカスタマイズを許可する | ● | ● |
Exchange Online 属性の同期 | ● | ● |
拡張属性 1 から 15 の同期 | ● | ● |
ユーザー定義 AD 属性の同期 (ディレクトリ拡張機能) | ● | |
パスワード ハッシュ同期のサポート | ● | ● |
パススルー認証のサポート | ● | |
フェデレーションのサポート | ● | ● |
シームレス シングル サインオン | ● | ● |
ドメイン コントローラーへのインストールのサポート | ● | ● |
Windows Server 2016 のサポート | ● | ● |
ドメイン/OU/グループのフィルター処理 | ● | ● |
オブジェクトの属性値でのフィルター処理 | ● | |
最小の属性セットの同期 (MinSync) の許可 | ● | ● |
AD から Azure AD に流れる属性の削除の許可 | ● | ● |
属性フローの高度なカスタマイズの許可 | ● | |
パスワード ライトバックのサポート | ● | ● |
デバイス ライトバックのサポート | ● | |
グループの書き戻しのサポート | ● | |
Azure AD Domain Services のサポート | ● | |
Exchange ハイブリッドの書き戻し | ● | |
AD ドメインあたりのオブジェクト数が無制限 | ● | |
AD ドメインあたり最大 150,000 オブジェクトのサポート | ● | ● |
メンバー数が 50,000 人までのグループ | ● | ● |
メンバー数が 250,000 人までの大規模なグループ | ● | |
クロス ドメイン参照 | ● | |
オンデマンド プロビジョニング | ● | ● |
米国政府のサポート | ● | ● |
実際に活用するパターンは以下の docs にて述べられていますので参考にしてみるとい良いでしょう。
AD Connect から AD Connect クラウド同期に移行も行えることになっていますが、グループに関しては削除新規で作り直されるようなので、そのままでは本番での移行はちょっと現実的ではなさそうですね。
ただし、 以下にあるように mS-DS-ConsistencyGuid を取り出し設定しておくことでグループの保持も行えるように見受けられます。これを活用すればうまくいきそうな雰囲気ですね。
mS-DS-ConsistencyGuid のコピーは以下にあるので、これを応用することで対応できそうです。
実際に導入を行っていないので若干認識の相違があるかもしれませんが、実際に利用する際は注意しておきましょう。
音楽:つぼみ