ディレクトリ同期レポートにエラーが表示される: この会社は、同期できるオブジェクトの数を超えました

この記事では、Active Directory ディレクトリ サービスのクォータを、Office 365、Azure、またはサーバー環境でMicrosoft Intuneします。

元の製品バージョン:  Cloud Services (Web ロール/ワーカー ロール)、Azure Active Directory、Microsoft Intune、Azure Backup、Office 365 およびドメイン管理
元の KB 番号:   2812409

現象

次のエラー メッセージを MSOnlineServicesTeam@MicrosoftOnline.com 含む電子メール メッセージを受信します。

エラー 016: 同期が停止しました。 この会社は、同期できるオブジェクトの数を超えました。 サポートMicrosoft Online Services問い合わせ。

注意

この記事は、Office 365、Azure、Microsoft Intune などの Microsoft クラウド サービスで許可されている数を超えるオブジェクトを持つ予定で、Active Directory 同期を使用しない場合に備えて、ディレクトリ サービス クォータの増加を要求する場合にも使用できます。 現在のディレクトリ サービス クォータ (Azure Active Directory) はAzure AD 50,000 オブジェクトです。

原因

この問題は、サーバーで作成したオブジェクトの数がディレクトリ サービスAzure ADを超えているため発生します。 Azure AD組織が作成できるオブジェクトの数を制限します。 組織のグループ、連絡先、およびユーザー オブジェクトAzure AD、組織のディレクトリ使用量の一部としてカウントされます。

既定のディレクトリ サービス クォータは、次のガイドラインに従って計算されます。

  • 確認済みのドメインが存在しない場合、現在のディレクトリ サービスのクォータは、Azure AD 50,000 オブジェクトです。

    1. 組織が 2011 年 10 月 5 日より前に作成された場合、既定のディレクトリ サービス クォータは 10,000 オブジェクトです。
    2. 2011 年 10 月 5 日以降および 2012 年 5 月より前に組織が作成された場合、既定のディレクトリ サービス クォータは 20,000 オブジェクトです。
    3. 組織が 2012 年 5 月以降に作成された場合、既定のディレクトリ サービス クォータは 50,000 オブジェクトです。
  • 少なくとも 1 つの検証済みドメインがある場合、ドメイン内の既定のディレクトリ サービス Azure ADは 300,000 オブジェクトです。

解決方法

オンプレミスの Active Directory 内のグループ、連絡先、およびユーザー オブジェクトの数がディレクトリ サービス クォータを超えた場合は、会社のディレクトリ サービス クォータ制限の増加を要求できます。 この増加により、ディレクトリ同期を使用する場合、現在の既定の制限よりも多くのオブジェクトを同期できます。

組織でオブジェクトを作成し続けるには、ドメインを追加するか、ディレクトリ サービス クォータの増加を要求する必要があります。 これを行うには、次のメソッドを使用します。

方法 1

確認済みのドメインを持ってない場合は、クォータ制限を 300,000 オブジェクトに増やすドメインを追加する必要があります。 詳細については、「Add your domain 」を参照してください

方法 2

オンプレミスの Active Directory ディレクトリ サービスに 300,000 を超えるオブジェクトがある場合は、300,000 を超えて同期できるオブジェクトの数を増やす場合は、Microsoft サポートにお問い合わせください。

詳細

ディレクトリ サービス クォータは、クラウド サービスをメソッドとして使用して、1 つのセキュリティ プリンシパルによって作成および所有できるオブジェクトの最大数を制限することで実装されます。 ディレクトリ同期を使用して会社に同期されるオブジェクトはすべて、作成者/所有者の値をその会社の既定の管理者グループに設定します。 たとえば、admins グループは次のように設定されます admins@contoso1.microsoftonline.com 。 したがって、この構成により、ユーザーはディレクトリ同期を使用して無制限の数のオブジェクトを作成できます。 ディレクトリ サービスのクォータ制限を超える同期が正当な必要がある場合は、テクニカル サポートにサービス要求を送信します。

よく寄せられる質問

質問 1: クラウド サービス ポータルまたはクラウド サービス API (Exchange Online PowerShell など) を介して手動で追加されたオブジェクトは、オンラインの会社のクォータとカウントされますか?

回答 1: はい。

質問 2: 削除されたオブジェクトは、オンライン会社のクォータに対してカウントされますか?

回答 2: はい。 クラウド サービスのお客様がオンライン会社からオブジェクトを削除すると、削除されたオブジェクトはディレクトリ サービスの削除済みオブジェクト コンテナーに格納されます。 廃棄の有効期間が切れるまで、オブジェクトは削除されたオブジェクト コンテナーに残ります。 有効期限は現在 30 日に設定されています。

たとえば、次のシナリオを考えます。 オンライン企業は、非生産のオンプレミス Active Directory 環境を使用してクラウド サービスを評価しています。 クラウド サービス組織は 2011 年 10 月 5 日より前に作成され、既定の同期制限は 10,000 オブジェクトです。 会社は、ディレクトリ同期ツールを使用して、8,000 のグループ オブジェクトと連絡先オブジェクトの一括同期を実行します。 その後、オンライン会社は次の操作を行います。

  1. これらのグループ オブジェクトと連絡先オブジェクトを、会社のオンプレミスの非生産 Active Directory DS 環境から削除します。
  2. オンプレミスの非生産 Active Directory DS 環境に 8,000 のユーザー オブジェクトを追加します。
  3. 更新プログラムをオンライン会社に同期します。

8,000 のグループ オブジェクトと連絡先オブジェクトは、ディレクトリ サービスの削除済みオブジェクト コンテナーに移動されます。 また、これらのオブジェクトは、30 日間の廃棄期間の後に完全に削除されるまで、オンライン会社のクォータの最大 25% を消費し続ける。 (この割合は、2,000 オブジェクト、または 8,000 × 25% に等しくなります。したがって、5,000 の新しいユーザー オブジェクトを同期した後、オンライン会社は使用可能な Active Directory クォータの 10,000 オブジェクト、削除されたオブジェクトから 2,000、新しいユーザー オブジェクトから 8,000 を消費します。 30 日間の廃棄期間中 (この期間はオンライン会社の評価期間と一致する場合があります)、オンライン会社はディレクトリ同期を使用して追加のオブジェクトを追加できない場合があります。 この条件は、オンライン会社のディレクトリ サービス クォータに達した場合に発生します。

このシナリオでは、クラウド サービスの評価を実行するオンライン企業は、製品評価を完了するために、非生産のオンプレミス Active Directory DS 環境内のオブジェクトの数を減らす必要があります。 ただし、オンライン企業がオブジェクトの数を減らできない場合は、ディレクトリ サービス クォータの増加を要求する必要があります。

質問 3: 複数の検証済みドメインを使用すると、300,000 オブジェクトを超えるクォータを使用できますか?

回答 3: いいえ。 1 つ以上の検証済みドメインがある場合は、300,000 オブジェクトのディレクトリ クォータが付与されます。 登録する検証済みドメインごとに 300,000 オブジェクトのクォータが付与されません。

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。