SaaS その他

AD同期ユーザーもクラウドで直したい!Entra IDの新機能「SOA」を試してみた

ごきげんよう、IDチームのわかなです!

これまで、Active Directory(AD)からEntra IDへ同期しているユーザーやグループは、「ADがマスタ」であるため、Entra ID側では属性の編集やメンバーの追加ができませんでした。ユーザー情報をちょっと直したいだけなのに、わざわざADサーバーに入って変更して同期を待つという手間になっていました。

しかし!ついにその常識を覆す「Source of Authority(SOA)」という機能がパブリックプレビューになりました!

今回はこのSOAを使って、「AD同期オブジェクトの管理権限をEntra IDに移譲し、Entra ID側で編集できるようにする」検証をやってみました。

Source of Authority(SOA)とは?

Source of Authority(SOA)は、オブジェクトのマスタがどこにあるかを定義する概念です。

これまでは、Entra Connect等で同期されたオブジェクトのSOAは常に「AD」でした。そのため、Entra ID側はRead-only(読み取り専用)となっていました。

今回リリースされた機能を使うと、同期関係を維持したまま、特定のユーザーやグループのSOAを「Entra ID」に変更することができます。

SOAを変更するメリット

  • 脱ADの加速: ADを完全に廃止する前段階として、少しずつ管理をEntra IDへ移行できる。
  • 運用の柔軟性向上: Entra ID側で即座に設定変更が可能になる。
  • クラウドファーストなID管理: ADを「ソース」として扱い、管理の実態をEntra IDに集約できる。

1. 検証の前提:ADでの準備

今回は検証環境として、以下の準備を行いました。

  • AWS EC2 Windows Server 2022で立てた検証用Active Directory
  • Entra Connect(ADフォレストとEntra IDを同期済み)

まずは、従来通りAD側で検証用のユーザーとグループを作成します。

ADでユーザー作成

検証用ユーザーを作成します。

ADでグループ作成

次に、検証用セキュリティグループを作成し、先ほどのユーザーをメンバーに追加します。

この状態で Entra Connect による同期が完了するのを待ちます。

2. 同期直後の状態確認(SOA変更前)

同期が完了後、Entra ID管理センターで状態を確認します。

グループの状態

先ほどADで作成したグループを確認すると、ソースが「Windows Server AD」になっています。

当然ながら、Entra ID側でメンバーを追加しようとしても、ボタンがグレーアウトしており操作できません。

ユーザーの状態

ユーザーも同様に確認します。プロパティを見ると「オンプレミスの同期が有効:はい」となっており、AD管理であることがわかります。

「ジョブ情報」などの属性を編集しようとしても、編集ボタンが表示されず、全てグレーアウトしています。

3. グループのSOAを変更してみる

ここからがいよいよ本題です!

この同期されたグループのSOA(管理権限)をEntra ID側に移します。

現時点(プレビュー段階)では、Microsoft Graph APIを使用して設定を変更するのが確実です。Graph Explorerを使って操作します。

現状の確認(GET)

まずは対象グループの現在の設定を確認します。

onPremisesSyncBehaviorという設定値を確認すると、isCloudManagedfalseになっています。(※AD管理状態)

https://graph.microsoft.com/v1.0/groups/{オブジェクトID}/onPremisesSyncBehavior

SOAの変更(PATCH)

isCloudManagedを値をtrueに変更することで、管理権限をクラウドへ移譲します。

https://graph.microsoft.com/v1.0/groups/{オブジェクトID}/onPremisesSyncBehavior
{
    "isCloudManaged": true
}

ステータス204 No Contentが返ってくれば成功です。

Entra IDで編集可能に

設定変更後、Entra ID管理センターをリロードして確認すると、これまでグレーアウトしていた「メンバーの追加」ボタンが有効化されました!

これで、AD側での操作なしに、Entra ID上で直接ユーザーをグループメンバーに追加したり、削除したりすることが可能になりました。

4. ユーザーのSOAも変更してみる

ユーザーについても仕組みは同様です。

usersエンドポイントに対してonPremisesSyncBehaviorを操作します。(※現在のAPIはBeta版です)

https://graph.microsoft.com/beta/users/{オブジェクトID}/onPremisesSyncBehavior
{
    "isCloudManaged": true
}

これを実行することで、先ほどグレーアウトしていた「ジョブ情報」などの属性フィールドが編集可能になります。

これにより、Entra ID側で修正を行えるようになりました!

まとめ

今回はパブリックプレビューとなったSource of Authority(SOA)機能を検証しました。

  • isCloudManagedtrueにすることで、同期を維持しつつEntra IDで編集可能になる
    • trueのユーザー/グループはADからの属性更新はAD側に反映されなくなる

まだプレビュー段階ですので、本番環境への適用は慎重に行う必要がありますが、AD移行の敷居がぐっと下がる機能と思いました。

引き続きアップデートをウォッチしていこうと思います!

わかなだょ〜

Identityチームの吉澤和香奈です!
みんなに幸せをお届けする楽しいやつを目指しています!
趣味は飲酒、ゲーム、筋トレ(BIG3/パワーリフティング)、サッカー観戦(東京V、ときどきFC東京の味スタエンジョイ勢)、斧投げ(ほんもののマサカリ!)です!StrayKidsが好きです!

記事一覧