同期ツールを使用している場合、1 つ以上のオブジェクトAzure Active Directoryしません

この記事では、1 つ以上の Active Directory ドメイン サービス (AD DS) オブジェクト属性が Azure Active Directory 同期ツールを介して Azure Active Directory (Azure AD) と同期しないという問題を解決します。

元の製品バージョン:  Cloud Services (Web ロール/ワーカー ロール)、Azure Active Directory、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号:   2643629

現象

1 つ以上AD DS オブジェクトまたは属性が予期したMicrosoft Azure AD同期しません。 Active Directory 同期が実行されると、オブジェクトは同期されません。次のいずれかの現象が発生します。

  • 属性の値が重複しているというエラー メッセージが表示されます。
  • 1 つ以上の属性が文字セットや文字の長さなどの書式設定要件に違反していることを示すエラー メッセージが表示されます。
  • エラー メッセージが表示されないと、ディレクトリ同期が完了したようです。 ただし、一部のオブジェクトまたは属性は期待通り更新されません。

表示される可能性があるエラー メッセージの例を次に示します。

同じプロキシ アドレスを持つ同期済みオブジェクトが Microsoft Online Services ディレクトリ内に既に存在します。

ユーザー ID が見つからないため、このオブジェクトを更新できません。

Unable to update this object in Microsoft Online Services because the following attributes associated with this object have values that may already be associated with another object in your local directory. (このオブジェクトに関連付けられた次の属性値はローカル ディレクトリで既に他のオブジェクトに関連付けられているため、Microsoft Online Services でこのオブジェクトを更新できません。)

原因

この問題は、次のいずれかの理由で発生します。

  • DS 属性で使用ADドメイン値が検証されていない。

  • 一意の値を必要とする 1 つ以上のオブジェクト属性には、既存のユーザー アカウントに重複する属性値 (proxyAddresses 属性や U serPrincipalName 属性など) があります。

  • 1 つ以上のオブジェクト属性は、属性値の文字と文字の長さを制限する書式要件に違反します。

  • 1 つ以上のオブジェクト属性は、ディレクトリ同期の除外ルールと一致します。

    次の表に、既定の同期スコープ ルールを示します。

    オブジェクトの種類 属性名 同期が失敗した場合の属性の条件
    Contact DisplayName "MSOL" を含む
    msExchHideFromAddressLists "True" に設定されている
    セキュリティが有効なグループ isCriticalSystemObject "True" に設定されている
    メールが有効なグループ
    (セキュリティ グループまたは配布リスト)
    proxyAddresses

    and

    mail
    "SMTP:" アドレスエントリがない

    and

    存在しない
    メールが有効な連絡先 proxyAddresses

    and

    mail
    "SMTP:" アドレスエントリがない

    and

    存在しない
    iNetOrgPerson sAMAccountName 存在しない
    isCriticalSystemObject 存在する
    User mailNickName "SystemMailbox" で始まる
    mailNickName "CAS_" で始まります

    and

    contains "}"
    sAMAccountName "CAS_" で始まります

    and

    contains "}"
    sAMAccountName "SUPPORT_388945a0" に等しい
    sAMAccountName "MSOL_AD_Sync" と等しい
    sAMAccountName 存在しない
    isCriticalSystemObject "True" に設定されている
  • ユーザー プリンシパル名 (UPN) は、初期同期後に変更され、手動で更新する必要があります。

  • Exchange Online同期されたユーザーの簡易メール転送プロトコル (SMTP) アドレスは、オンプレミスの Active Directory スキーマに適切に設定されません。

解決方法

この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。

IdFix を実行して、重複、欠落している属性、およびルール違反を確認する

IdFix DirSync エラー修復ツールを使用して、同期を妨げるオブジェクトとエラーをAzure AD。

  • IdFix の実行後に ERROR 列に "Blank" が表示される場合は 、IdFixツールを実行した後に、1 つ以上のオブジェクトの ERROR 列に "Blank" が表示されます。

  • IdFix の実行後に ERROR 列に "Duplicate" が表示される場合は、「IdFix ツールを実行した後、1 つ以上のオブジェクトの ERROR 列に "Duplicate"が表示される」を参照してください。

ディレクトリ同期によって作成されたオブジェクトが原因で発生する属性の競合Azure AD特定する

管理ツールを使用して作成された (およびディレクトリ同期によって Azure AD で作成されたのでなかった) ユーザー オブジェクトによって引き起こされた属性の競合を特定するには、次の手順を実行します。

  1. DS ユーザー アカウントのオンプレミスの一意ADを決定します。 これを行うには、サポート ツールがインストールされているWindows、次の手順を実行します。

    1. [ スタート] を 選択し 、[実行] を選択し、「ldp.exe」と入力し 、[OK] を選択します

    2. [接続]選択し、[Connect] を選択し、DS ドメイン コントローラーのコンピューター ADを入力し 、[OK] を選択します

    3. [接続 ] を 選択し、[ バインド] を 選択し 、[OK] を選択します

    4. [ 表示] を選択 し、[ ツリー 表示] を選択し 、[BaseDN] ドロップダウン AD DS ドメインを選択し 、[OK] を選択します

    5. ナビゲーション ウィンドウで、正しく同期されていないオブジェクトを見つけてダブルクリックします。 ウィンドウの右側にある [詳細] ウィンドウには、すべてのオブジェクト属性が一覧表示されます。 次の例は、オブジェクト属性を示しています。

      サポート ツールのナビゲーションと詳細ウィンドウWindowsスクリーンショット。

    6. 複数値 proxyAddresses 属性に userPrincipalName 属性の値と各 SMTP アドレスを記録します。 これらの値は後で必要になります。

      属性名 メモ
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange 管理グループ (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; 7628376@service.contoso.comSMTP: 7628376@contoso.com ;
      1. 属性ラベルの横にかっこで囲んで表示される番号は、複数値属性のプロキシ アドレス値の数を示します。

      2. 各個別のプロキシ アドレスの値は、セミコロン (;)。

      3. プライマリ SMTP プロキシ アドレスの値は、大文字の "SMTP:" で示されます。
      userPrincipalName 7628376@contoso.com

      注意

      Ldp.exeは、Windows Server 2008 および Windows Server 2003 サポート ツールに含まれています。 Windows Server 2003 サポート ツールは、Windows Server 2003 インストール メディアに含まれています。 または、サポート ツールを入手するには、次の Microsoft Web サイトに移動しますWindows Server 2003 Service Pack 2 32 ビット サポート ツール

  2. ConnectモジュールAzure AD使用してAzure Active DirectoryをWindows PowerShell。 詳細については、「管理」を参照Azure ADをWindows PowerShell。

    コンソール ウィンドウを開いたままにします。 次の手順で使用する必要があります。

  3. 重複する userPrincipalName 属性を確認します。

    手順 2 で開いたコンソール接続で、表示される順序で次のコマンドを入力します。 各コマンドの後に Enter キーを押します。

    $userUPN = "<search UPN>"
    

    注意

    このコマンドでは、プレースホルダー " " は、手順 1f で記録した <search UPN> UserPrincipalName 属性を表します。

    get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
    

    コンソール ウィンドウを開いたままにします。 次の手順でもう一度使用します。

  4. 重複する proxyAddresses 属性を確認します。 手順 2 で開いたコンソール接続で、表示される順序で次のコマンドを入力します。 各コマンドの後に Enter キーを押します。

    $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    
    Import-PSSession $sessionExO -prefix:Cloud
    
  5. 手順 1f で記録したプロキシ アドレス エントリごとに、表示される順序で次のコマンドを入力します。 各コマンドの後に Enter キーを押します。

    $proxyAddress = "<search proxyAddress>"
    

    注意

    このコマンドでは、プレースホルダー " " は、手順 1f で記録した proxyAddresses 属性の値 <search proxyAddress> を表します。

    get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
    

手順 3 と 4 でコマンドを実行した後に返されるアイテムは、ディレクトリ同期によって作成されていないユーザー オブジェクトと、正しく同期されていないオブジェクトと競合する属性を持つユーザー オブジェクトを表します。

重複ADルール違反、スコープ除外を削除する DS 属性を更新する

次の情報に基づいて、同期を妨げている特定の属性を特定します。

  • 管理用電子メール メッセージ
  • 展開準備ツールの出力Office 365レポート
  • 既定のディレクトリ同期スコープ ルールとカスタム ルール

特定の属性値を識別した後、Active Directory Users and Computers ツールを使用して属性値を編集します。 これを行うには、次の手順を実行します。

  1. Active Directory ユーザーとコンピューターを開き、DS ドメインのルート ノードAD選択します。
  2. [ 表示] を 選択し、[高度な機能 ] オプションが 選択されている必要があります。
  3. 左側のナビゲーション ウィンドウで、ユーザー オブジェクトを見つけて右クリックし、[プロパティ] を 選択します
  4. [オブジェクト エディター] タブ で、目的の属性を探します。 [ 編集] を選択し、属性値を目的の値に編集します。
  5. [OK] を 2 回クリックします。

または、Active Directory Service Interfaces (ADSI) Edit を使用して、DS 内のオブジェクト属性ADすることもできます。 ADSI Edit は、サーバー サーバー サーバーの一部としてダウンロードWindowsインストールToolkit。 ADSI Edit を使用して属性を編集するには、次の手順を実行します。

警告

この手順では、ADSI Edit が必要です。 ADSI Edit を誤って使用すると、重大な問題が発生し、オペレーティング システムの再インストールが必要な場合があります。 ADSI Edit の誤った使用によって生じ得る問題が解決される可能性を Microsoft は保証できません。 ADSI Edit は、ご自身のリスクで使用してください。

  1. [ スタート] を 選択し 、[実行] を選択し、「ADSIEdit.msc」と入力し 、[OK] を選択します
  2. ナビゲーション ウィンドウで [ADSI 編集] を右クリックし、[Connect] を選択し 、[OK] を選択してドメイン パーティションを読み込む。
  3. ユーザー オブジェクトを見つけて右クリックし、[プロパティ] を 選択します
  4. [属性 ] ボックス の一覧で、目的の属性を探します。 [ 編集] を選択し、属性値を目的の値に編集します。
  5. [OK] を 2 回選択し、[ADSI 編集] を終了します。

新しいグループを作成し、同期されていない組み込みのグループに追加する

一部の組み込みグループ (Domain Users グループなど) が同期されないというシナリオで問題を解決するには、該当するメンバーと組み込みグループの適切なアクセス許可を含む新しいグループを作成します。 次に、そのグループをメンバーとして、同期されていない組み込みのグループに追加します。 組み込みのグループではなく、新しいグループを使用してメンバーを管理します。 このメソッドを使用すると、1 つのグループのみを管理できます。

重要なシステム オブジェクトを同期するために、組み込みのグループの属性を変更したり、ID 同期アプライアンスのスコープ ルールを変更したりしたくはありません。 他の予期しない動作をトリガーする可能性があります。

SMTP 照合を使用して、オンプレミスのユーザー オブジェクトを既存のユーザー オブジェクトに同期する

詳細については、「SMTP 照合を使用して、オンプレミスのユーザー アカウントとディレクトリ同期用のユーザー アカウントOffice 365一致する方法」を参照してください

ユーザー アカウント UPN を手動で更新する

初期ディレクトリ同期が発生した後にライセンスを取得したユーザー アカウント UPN を更新するには、次の手順を実行します。

  1. V2 powerShell Azure Active Directoryをインストールします。 詳細については、「V2 PowerShell モジュールAzure Active Directoryを参照してください

  2. 次のコマンドレットを V2 PowerShell プロンプトAzure Active Directory実行します。

    $cred = get-credential
    

    注意

    メッセージが表示されたら、管理者の資格情報を入力します。

    Connect-AzureAD
    
    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]
    

オンプレミスの Active Directory 属性を使用してユーザーの SMTP アドレスを更新する

SMTP 属性が予期した方法でExchange Onlineに同期されない場合は、オンプレミスの Active Directory 属性を更新する必要があります。 オンプレミスの Active Directory 属性を更新して、Exchange Online に正しい電子メール アドレスが表示される場合は、解決策 2 を使用して、次の表の属性を操作します。

オンプレミスの Active Directory 属性名 オンプレミスの Active Directory 属性値の例 電子メール Exchange Onlineの例
proxyAddresses SMTP:user1@contoso.com プライマリ SMTP: user1@contoso.com
セカンダリ SMTP: user1@contoso.onmicrosoft.com
proxyAddresses smtp:user1@contoso.com プライマリ SMTP: user1@contoso.onmicrosoft.com セカンダリ SMTP: user1@contoso.com
proxyAddresses SMTP:user1@contoso.com
smtp:user1@sub.contoso.com
プライマリ SMTP: user1@contoso.com
セカンダリ SMTP: user1@sub.contoso.com
セカンダリ SMTP: user1@contoso.onmicrosoft.com
mail User1@contoso.com プライマリ SMTP: user1@contoso.com
セカンダリ SMTP: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com プライマリ SMTP: user1@contoso.com
セカンダリ SMTP: user1@contoso.onmicrosoft.com

既定のドメイン (など) に関連付けられている Microsoft Online メール ルーティング アドレス (MOERA) エントリは、ユーザー アカウントのエイリアスに基づく解釈された値 user1@contoso.onmicrosoft.com です。 この特殊な電子メール アドレスは、各受信者と完全にExchange Onlineされます。 任意の受信者の追加の MOERA アドレスを管理、削除、または作成できません。 ただし、MOERA アドレスは、オンプレミスの Active Directory ユーザー オブジェクトの属性を使用してプライマリ SMTP アドレスとして過剰に乗り越える可能性があります。

注意

proxyAddresses 属性にデータが存在すると、メール アドレスの母集団のメール属性Exchange Onlineマスクされます。

注意

proxyAddresses 属性、mail 属性、または両方の属性にデータが存在すると、電子メール アドレスの母集団に対する UserPrincipalName Exchange Online完全にマスクされます。 UPN を使用して電子メール アドレスを管理できます。 ただし、管理者は、proxyAddresses またはメール属性を設定することで、電子メール アドレスと UPN を個別に管理できます。

これらの属性の 1 つを一貫して使用して、同期Exchange Onlineメール アドレスを管理することを強くお勧めします。

詳細

このWindows PowerShellに記載されている次のコマンドでは、モジュールのAzure Active Directoryが必要Windows PowerShell。 モジュールの詳細については、Azure Active DirectoryのWindows PowerShellを参照してください。
を使用Azure AD管理Windows PowerShellします。

属性によるディレクトリ同期のフィルター処理の詳細については、次の Microsoft TechNet wiki 記事を参照してください。
同期ツールによって同期される属性Azure Active Directory一覧

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。