Prepare for directory synchronization to Microsoft 365 (Microsoft 365 へのディレクトリ同期を準備する)Prepare for directory synchronization to Microsoft 365

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

組織のハイブリッド ID とディレクトリ同期の利点は次のとおりです。The benefits to hybrid identity and directory synchronization your organization include:

  • 組織内の管理プログラムの削減Reducing the administrative programs in your organization
  • 必要に応じてシングル サインオン シナリオを有効にするOptionally enabling single sign-on scenario
  • アカウントの変更を自動化するMicrosoft 365Automating account changes in Microsoft 365

ディレクトリ同期を使用する利点の詳細については、「ハイブリッド ID with Azure Active Directory (Azure AD)」および「ハイブリッドID」を参照Microsoft 365。For more information about the advantages of using directory synchronization, see hybrid identity with Azure Active Directory (Azure AD) and hybrid identity for Microsoft 365.

ただし、ディレクトリ同期では、Active Directory ドメイン サービス (AD DS) が最小エラーで Microsoft 365 サブスクリプションの Azure AD テナントと同期するように計画と準備が必要です。However, directory synchronization requires planning and preparation to ensure that your Active Directory Domain Services (AD DS) synchronizes to the Azure AD tenant of your Microsoft 365 subscription with a minimum of errors.

最適な結果を得るには、次の手順に従います。Follow these steps in order for the best results.

1. ディレクトリのクリーンアップ タスク1. Directory cleanup tasks

Ds を Azure ADテナントAD同期する前に、DS をクリーンアップするADがあります。Before you synchronize your AD DS to your Azure AD tenant, you need to clean up your AD DS.

重要

同期する前に DS クリーンアップAD実行しない場合、展開プロセスに大きな悪影響を及ぼす可能性があります。If you don't perform AD DS cleanup before you synchronize, it can lead to a significant negative impact on the deployment process. ディレクトリ同期、エラーの特定、および再同期のサイクルを実行するには、数日または数週間かかる場合があります。It might take days, or even weeks, to go through the cycle of directory synchronization, identifying errors, and re-synchronization.

DS でADライセンスが割り当てられる各ユーザー アカウントについて、次のクリーンアップ タスクをMicrosoft 365します。In your AD DS, complete the following clean-up tasks for each user account that will be assigned a Microsoft 365 license:

  1. proxyAddresses 属性で有効で一意の 電子メール アドレスを確認 します。Ensure a valid and unique email address in the proxyAddresses attribute.

  2. proxyAddresses 属性の重複 する値を削除 します。Remove any duplicate values in the proxyAddresses attribute.

  3. 可能であれば、ユーザーのユーザー オブジェクトの userPrincipalName 属性の有効で一意の値を 確認 します。If possible, ensure a valid and unique value for the userPrincipalName attribute in the user's user object. 最適な同期エクスペリエンスを得る場合は、DS UPN ADと AZURE の同期が一致ADしてください。For the best synchronization experience, ensure that the AD DS UPN matches the Azure AD UPN. ユーザーに userPrincipalName 属性の値が設定されていない場合、ユーザーオブジェクトには sAMAccountName 属性の有効で一意の値が含まれている必要があります。If a user does not have a value for the userPrincipalName attribute, then the user object must contain a valid and unique value for the sAMAccountName attribute. userPrincipalName 属性内の重複する値を削除 します。Remove any duplicate values in the userPrincipalName attribute.

  4. グローバル アドレス一覧 (GAL) を最適に使用するには、DS ユーザー アカウントの次AD情報が正しいか確認します。For optimal use of the global address list (GAL), ensure the information in the following attributes of the AD DS user account is correct:

    • givenNamegivenName
    • surnamesurname
    • displayNamedisplayName
    • 役職Job Title
    • 部署Department
    • 事業所Office
    • 事業所電話番号Office Phone
    • 携帯電話番号Mobile Phone
    • FAX 番号Fax Number
    • 番地Street Address
    • 都市City
    • 都道府県State or Province
    • 郵便番号Zip or Postal Code
    • 国または地域Country or Region

2. ディレクトリ オブジェクトと属性の準備2. Directory object and attribute preparation

DS とデバイス間のディレクトリ同期AD成功Microsoft 365 DS 属性を適切に準備ADする必要があります。Successful directory synchronization between your AD DS and Microsoft 365 requires that your AD DS attributes are properly prepared. たとえば、特定の文字が特定の属性で使用され、特定の属性が特定の属性と同期Microsoft 365があります。For example, you need to ensure that specific characters aren't used in certain attributes that are synchronized with the Microsoft 365 environment. 予期しない文字を使用すると、ディレクトリ同期は失敗しませんが、警告が返される可能性があります。Unexpected characters do not cause directory synchronization to fail but might return a warning. 無効な文字を指定すると、ディレクトリ同期が失敗します。Invalid characters will cause directory synchronization to fail.

また、一部の DS ユーザーが 1 つ以上の重複AD場合、ディレクトリ同期は失敗します。Directory synchronization will also fail if some of your AD DS users have one or more duplicate attributes. 各ユーザーは、一意の属性を持っている必要があります。Each user must have unique attributes.

準備する必要がある属性を次に示します。The attributes that you need to prepare are listed here:

  • displayNamedisplayName

    • 属性がユーザー オブジェクトに存在する場合、属性はユーザー オブジェクトと同期Microsoft 365。If the attribute exists in the user object, it will be synchronized with Microsoft 365.
    • この属性がユーザー オブジェクトに存在する場合は、その属性の値が必要です。If this attribute exists in the user object, there must be a value for it. つまり、属性を空白にすることはできません。That is, the attribute must not be blank.
    • 最大文字数: 256Maximum number of characters: 256
  • givenNamegivenName

    • 属性がユーザー オブジェクトに存在する場合、属性は Microsoft 365 と同期されますが、Microsoft 365を必要としたり使用したりしません。If the attribute exists in the user object, it will be synchronized with Microsoft 365, but Microsoft 365 does not require or use it.
    • 最大文字数: 64Maximum number of characters: 64
  • mailmail

    • 属性値はディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

      注意

      重複する値がある場合は、値を持つ最初のユーザーが同期されます。If there are duplicate values, the first user with the value is synchronized. 後続のユーザーは、そのユーザーにMicrosoft 365。Subsequent users will not appear in Microsoft 365. 両方のユーザーが Microsoft 365に表示するには、AD DS の値を変更するか、両方の値を変更するMicrosoft 365。You must modify either the value in Microsoft 365 or modify both of the values in AD DS in order for both users to appear in Microsoft 365.

  • mailNickname (Exchangeエイリアス)mailNickname (Exchange alias)

    • 属性値はピリオド (.) で始めできません。The attribute value cannot begin with a period (.).

    • 属性値はディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

      注意

      同期名のアンダースコア ("") は、この属性の元の値に無効な文字が含まれているかどうかを示します。Underscores ("") in the synchronized name indicates that the original value of this attribute contains invalid characters. この属性の詳細については、「alias 属性Exchange参照してくださいFor more information on this attribute, see Exchange alias attribute.

  • proxyAddressesproxyAddresses

    • 複数値属性Multiple-value attribute

    • 値あたりの最大文字数: 256Maximum number of characters per value: 256

    • 属性値にはスペースを含めずに指定してください。The attribute value must not contain a space.

    • 属性値はディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

    • 無効な文字: < > ( ) ; , , [ ] "Invalid characters: < > ( ) ; , [ ] "

      無効な文字は、型の区切り文字と ":"に続く文字に適用され、SMTP:User@contso.com が許可されますが、SMTP:user:M@contoso.com されません。Note that the invalid characters apply to the characters following the type delimiter and ":", such that SMTP:User@contso.com is allowed, but SMTP:user:M@contoso.com is not.

      重要

      すべての簡易メール トランスポート プロトコル (SMTP) アドレスは、電子メール メッセージングの標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards. 重複アドレスまたは不要なアドレスが存在する場合は削除します。Remove duplicate or unwanted addresses if they exist.

  • sAMAccountNamesAMAccountName

    • 最大文字数: 20Maximum number of characters: 20
    • 属性値はディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.
    • 無効な文字: [ \ " | 、 / : < > + = ; ?Invalid characters: [ \ " | , / : < > + = ; ? * ']* ']
    • ユーザーが無効な sAMAccountName 属性を持ち、有効な userPrincipalName 属性を持つ場合、ユーザー アカウントはユーザー アカウントにMicrosoft 365。If a user has an invalid sAMAccountName attribute but has a valid userPrincipalName attribute, the user account is created in Microsoft 365.
    • sAMAccountName と userPrincipalName の両方が無効な場合は、AD DS userPrincipalName 属性を更新する必要があります。If both sAMAccountName and userPrincipalName are invalid, the AD DS userPrincipalName attribute must be updated.
  • sn (姓)sn (surname)

    • 属性がユーザー オブジェクトに存在する場合、属性は Microsoft 365 と同期されますが、Microsoft 365を必要としたり使用したりしません。If the attribute exists in the user object, it will be synchronized with Microsoft 365, but Microsoft 365 does not require or use it.
  • targetAddresstargetAddress

    ユーザーに対して設定された targetAddress 属性 (SMTP:tom@contoso.com など) が、MICROSOFT 365 GAL に表示される必要があります。It's required that the targetAddress attribute (for example, SMTP:tom@contoso.com) that's populated for the user must appear in the Microsoft 365 GAL. サード パーティ製のメッセージング移行シナリオでは、DS のMicrosoft 365スキーマ拡張機能がADされます。In third-party messaging migration scenarios, this would require the Microsoft 365 schema extension for the AD DS. またMicrosoft 365スキーマ拡張機能は、DS のディレクトリ同期ツールを使用してMicrosoft 365オブジェクトを管理するために、他の有用な属性ADします。The Microsoft 365 schema extension would also add other useful attributes to manage Microsoft 365 objects that are populated by using a directory synchronization tool from AD DS. たとえば、非表示のメールボックスまたは配布グループを管理するための msExchHideFromAddressLists 属性が追加されます。For example, the msExchHideFromAddressLists attribute to manage hidden mailboxes or distribution groups would be added.

    • 最大文字数: 256Maximum number of characters: 256
    • 属性値にはスペースを含めずに指定してください。The attribute value must not contain a space.
    • 属性値はディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.
    • 無効な文字: \ < > ( ) ; , [ ] "Invalid characters: \ < > ( ) ; , [ ] "
    • すべての簡易メール トランスポート プロトコル (SMTP) アドレスは、電子メール メッセージングの標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
  • userPrincipalNameuserPrincipalName

    • userPrincipalName 属性は、インターネット スタイルのサインイン形式で、ユーザー名の後に at 記号 (@) とドメイン名 (たとえば、user@contoso.com) を指定する必要があります。The userPrincipalName attribute must be in the Internet-style sign-in format where the user name is followed by the at sign (@) and a domain name: for example, user@contoso.com. すべての簡易メール トランスポート プロトコル (SMTP) アドレスは、電子メール メッセージングの標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
    • userPrincipalName 属性 の最大文字数は 113 です。The maximum number of characters for the userPrincipalName attribute is 113. 次のように、アット記号 (@) の前と後に特定の文字数を使用できます。A specific number of characters are permitted before and after the at sign (@), as follows:
    • アット 記号の前にあるユーザー名の最大文字数 (@): 64Maximum number of characters for the username that is in front of the at sign (@): 64
    • @記号 (@) に続くドメイン名の最大文字数: 48Maximum number of characters for the domain name following the at sign (@): 48
    • 無効な文字: \ % & * + / = ?Invalid characters: \ % & * + / = ? { } | < > ( ) ; : , [ ] "{ } | < > ( ) ; : , [ ] "
    • 使用できる文字: A ~ Z、a - z、0 ~ 9、' です。Characters allowed: A – Z, a - z, 0 – 9, ' . - _ !- _ ! # ^ ~# ^ ~
    • umlauts、アクセント、チルドなど、二等分記号を持つ文字は無効な文字です。Letters with diacritical marks, such as umlauts, accents, and tildes, are invalid characters.
    • @ 文字は、各 userPrincipalName 値で必要 です。The @ character is required in each userPrincipalName value.
    • @ 文字は、各 userPrincipalName 値の最初の文字にすることはできません。The @ character cannot be the first character in each userPrincipalName value.
    • ユーザー名は、ピリオド (.)、アンパサンド ( )、スペース、またはアット 記号 & (@) で終了できません。The username cannot end with a period (.), an ampersand (&), a space, or an at sign (@).
    • ユーザー名にスペースを含めることはできません。The username cannot contain any spaces.
    • Routable ドメインを使用する必要があります。たとえば、ローカル ドメインまたは内部ドメインは使用できません。Routable domains must be used; for example, local or internal domains cannot be used.
    • Unicode はアンダースコア文字に変換されます。Unicode is converted to underscore characters.
    • userPrincipalName には 、ディレクトリに重複する値を含めできません。userPrincipalName cannot contain any duplicate values in the directory.

3. userPrincipalName 属性を準備する3. Prepare the userPrincipalName attribute

Active Directory は、組織内のエンド ユーザーが sAMAccountName または userPrincipalName を使用してディレクトリにサインインするように設計されています。Active Directory is designed to allow the end users in your organization to sign in to your directory by using either sAMAccountName or userPrincipalName. 同様に、エンド ユーザーは、自分のMicrosoft 365または学校アカウントのユーザー プリンシパル名 (UPN) を使用して、ユーザーにサインインできます。Similarly, end users can sign in to Microsoft 365 by using the user principal name (UPN) of their work or school account. ディレクトリ同期は、DS 内の同Azure Active Directory UPN を使用して、新しいユーザーを作成ADします。Directory synchronization attempts to create new users in Azure Active Directory by using the same UPN that's in your AD DS. UPN は電子メール アドレスのように書式設定されます。The UPN is formatted like an email address.

このMicrosoft 365 UPN は、電子メール アドレスの生成に使用される既定の属性です。In Microsoft 365, the UPN is the default attribute that's used to generate the email address. userPrincipalName (AD DS および Azure AD) と proxyAddresses のプライマリ 電子メール アドレスを異なる値に設定するのは簡単です。It's easy to get userPrincipalName (in AD DS and in Azure AD) and the primary email address in proxyAddresses set to different values. 異なる値に設定すると、管理者とエンド ユーザーが混乱する可能性があります。When they are set to different values, there can be confusion for administrators and end users.

これらの属性を揃えて混乱を減らすのが最善の方法です。It's best to align these attributes to reduce confusion. Active Directory フェデレーション サービス (AD FS) 2.0 でのシングル サインオンの要件を満たすには、Azure Active Directory の UPN と AD DS が一致し、有効なドメイン名前空間を使用していることを確認する必要があります。To meet the requirements of single sign-on with Active Directory Federation Services (AD FS) 2.0, you need to ensure that the UPNs in Azure Active Directory and your AD DS match and are using a valid domain namespace.

4. DS に代替 UPN サフィックスをADする4. Add an alternative UPN suffix to AD DS

ユーザーの会社の資格情報をユーザー環境に関連付ける代替 UPN サフィックスを追加するMicrosoft 365があります。You may need to add an alternative UPN suffix to associate the user's corporate credentials with the Microsoft 365 environment. UPN サフィックスは、@ 文字の右側の UPN の一部です。A UPN suffix is the part of a UPN to the right of the @ character. シングル サインオンに使用する UPN には文字、数字、ピリオド、ダッシュ、アンダースコアを含めることができますが、その他の種類の文字を含めることはできません。UPNs that are used for single sign-on can contain letters, numbers, periods, dashes, and underscores, but no other types of characters.

代替 UPN サフィックスを Active Directory に追加する方法の詳細については、「ディレクトリ同期の準備 」を参照してくださいFor more information on how to add an alternative UPN suffix to Active Directory, see Prepare for directory synchronization.

5. DS UPN AD UPN と一致Microsoft 365します。5. Match the AD DS UPN with the Microsoft 365 UPN

ディレクトリ同期を既に設定している場合、Microsoft 365 のユーザーの UPN が、AD DS で定義されているユーザーの AD DS UPN と一致しない可能性があります。If you've already set up directory synchronization, the user's UPN for Microsoft 365 may not match the user's AD DS UPN that's defined in your AD DS. ドメインが確認される前にユーザーにライセンスを割り当てた場合、この状況が発生することがあります。This can occur when a user was assigned a license before the domain was verified. これを修正するには、PowerShellを使用して重複する UPN を修正してユーザーの UPN を更新し、Microsoft 365 UPN が会社のユーザー名とドメインと一致する必要があります。To fix this, use PowerShell to fix duplicate UPN to update the user's UPN to ensure that the Microsoft 365 UPN matches the corporate user name and domain. AD DS で UPN を更新し、Azure Active Directory ID と同期させる場合は、AD DS で変更を行う前に、Microsoft 365 でユーザーのライセンスを削除する必要があります。If you are updating the UPN in the AD DS and would like it to synchronize with the Azure Active Directory identity, you need to remove the user's license in Microsoft 365 prior to making the changes in AD DS.

また、「 ディレクトリ同期用に、.localドメインなど、ルートできないドメインを準備する方法」も参照してください。Also see How to prepare a non-routable domain (such as .local domain) for directory synchronization.

次のステップNext steps

上記の手順 1 ~ 5 を実行した場合は、「ディレクトリ同期の セットアップ」を参照してくださいIf you have done steps 1 through 5 above, see Set up directory synchronization.