Azure Active Directory 同期ツールを使用して同期されたオブジェクトを管理または削除できない

この記事では、ディレクトリ同期によって作成されたオブジェクトを Azure AD から管理または削除できない問題について説明します。 異なる理由に応じて、この問題の 2 つの解決策を提供します。

元の製品バージョン:   クラウド サービス (Web ロール/ワーカー ロール)、Azure Active Directory、Microsoft Intune、Azure バックアップ、Office 365 ID 管理
元の KB 番号:   2619062

現象

Azure Active Directory (Azure Active Directory) からディレクトリ同期を使用して作成されたオブジェクトを手動で管理または削除AD。

たとえば、Azure AD に同期された孤立したユーザー アカウントをオンプレミスの Active Directory ドメイン サービス (AD DS) から削除します。

このシナリオでは、孤立したユーザー アカウントは、Office 365、Azure、または Microsoft Intune の Microsoft クラウド サービス ポータルを使用して、または Windows PowerShell を使用して削除することはできません。

原因

この問題は、次の条件の 1 つ以上が当てはまる場合に発生する可能性があります。

  • オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境からオブジェクトを管理または削除したりできない。
  • オンプレミスの DS からオブジェクトをADしました。 ただし、オブジェクトはクラウド サービス組織から削除されません。 この動作は予期しない動作です。

解決方法

オンプレミスの AD DS は使用できなくなりました。 したがって、オンプレミス環境からオブジェクトを管理または削除できない

Office 365、Azure、または Intune でオブジェクトを管理する場合に、ディレクトリ同期を使用する必要がなくなりました。

  1. Azure Active Directory モジュールをインストールしてWindows PowerShell。 詳細については、「Azure の管理」を参照 AD使用Windows PowerShell

  2. Azure AD に接続するには、次のWindows PowerShell。 詳細については 、「Azure への接続」を参照AD

  3. 次のコマンドを実行して、ディレクトリ同期を無効にします。

     Set-MsolDirSyncEnabled -EnableDirSync $false
    
  4. ディレクトリ同期が完全に無効にされたのを確認するには、次のWindows PowerShell。 これを行うには、次のコマンドを定期的に実行します。

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
    

    このコマンドはTrue または False をしますこの コマンドが False を返すまで定期的に実行し、次の手順に進みます。

    非アクティブ化が完了するには 72 時間かかる場合があります。 時間は、クラウド サービス サブスクリプション アカウント内のオブジェクトの数によって異なります。

  5. クラウド サービス ポータルを使用して、Windows PowerShellオブジェクトを更新してみてください。

    手順 4 が完了までしばらく時間がかかる場合があります。 クラウド サービス環境には、属性値を計算するプロセスがあります。 このプロセスは、オブジェクトを変更する前に、Windows PowerShell またはクラウド サービス ポータルを使用して完了する必要があります。

オブジェクトは、オンプレミスの DS からADします。 ただし、オブジェクトはクラウド サービス サブスクリプション アカウントから削除されません。

「スケジューラを起動する」の手順に従ってディレクトリ同期 を強制する

  • 一部の更新と削除が反映されているが、一部の削除がクラウド サービスに同期されない場合は、一般的なディレクトリ同期のトラブルシューティング手順に従ってください。

  • すべての更新と削除がクラウド サービスに同期されない場合は、サポートにお問い合わせください。

    注意

    このシナリオの別の解決方法として、クラウド サービスでオブジェクトを手動で削除できます。 ただし、クラウド サービスではオブジェクトを更新できます。 この問題を解決する方法の詳細については、Microsoft サポート技術情報の記事 「Azure Active Directory 同期ツールを使用する場合、オブジェクトの削除は Azure AD に同期されません」を参照してください。

詳細

ディレクトリ同期を再び有効にするには、次のコマンドを実行します。

Set-MsolDirSyncEnabled -EnableDirSync $true

ディレクトリ同期を再び有効にする場合は、慎重に計画することが重要です。 クラウド サービス ポータルまたは Windows PowerShell を使用して、最初にオンプレミスの AD DS から同期されたオブジェクトに直接変更を加えた場合、ディレクトリ同期を再び有効にした後で初めて同期が行われると、オンプレミスの属性と設定によって変更が上書きされます。

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。