ディレクトリ同期後、設定が EXO まで反映されていない場合の注意点
こんにちは。Exchange サポートの小林です。
今回は Exchange Online (EXO) におけるディレクトリ同期の注意点をご紹介します。
Office 365 の利用を開始されると同時に、ほとんどのお客様環境では、オンプレミス側の Active Directory (AD) のユーザー、グループ、連絡先オブジェクトの管理を一元化するためにディレクトリ同期を実施されていることと思います。
お客様のオンプレミス側の環境にあるディレクトリ同期ツールでは、オンプレミス側の AD と Azure AD 間の同期が一定間隔 (既定では 3 時間) で行われていることが確認できます。
しかしながら、この同期ツールでの同期のステータスは、あくまでオンプレミス側 AD および Azure AD 間の同期ステータスとなり、その後 Office 365 内で行われる Azure AD と EXO の同期のステータスについては、当該同期ツール上はご確認いただく事ができません。
そのため、オンプレミス側のオブジェクト (ldifde/ADSI Edit など)、Azure AD 上のオブジェクト (Get-MsolUser)、EXO 上のオブジェクト (Get-Mailbox/Get-MailUser など) の属性を地道に比較しながら一体どこまで同期が完了したのか確認する必要があります。
それぞれの構成情報を比較しながら確認した結果、オンプレミス側と Azure AD 間の属性値は一致しているにも関わらず、EXO 側のオブジェクトの属性になぜか設定が反映されていないという場合には、以下の 2 つの原因のうちいずれかに合致している可能性がございます。
1. 想定された動作として EXO への反映に時間が掛かっている
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
オンプレミス側の AD から Azure AD への同期が完了後、Office 365 側のサービス (EXO など) まで設定が最終的に反映されるまでは最大 24 時間ほど掛かる場合がございます。これは現時点での動作上の制限によるもので、残念ながら、この同期に関してはテナント管理者が手動で実行することができません。
したがって、お客様のディレクトリ同期ツールにて同期の完了をご確認いただいた後、24 時間以内の場合には、誠に恐れ入りますが、24 時間以上経過するまでお待ちくださいますようお願いいたします。
なお、万が一 24 時間以上経過後も事象が解消せず、テナント管理者にて確認可能な明示的なエラーの記録等もない場合には、弊社サポート窓口へお問い合わせいただければと存じます。
2. そもそも Azure AD - EXO での同期が行われない属性である
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
まずディレクトリ同期ツール (DirSync, AAD Sync, AAD Connect) 毎に、オンプレミス AD および Azure AD 間で同期される対象の AD 属性の一覧は以下にある通りです。ご留意いただきたいのは、この一覧にある AD 属性の全てが EXO まで反映される AD 属性ではないということです。つまり、この一覧にある AD 属性のうち、一部は EXO まで反映されない属性がございます。
具体的には、配布グループの説明 (Discription 属性)、メモ (Info 属性)、および、会社名 (Company 属性) などが該当し、これらの属性はオンプレミス側の AD から Azure AD へは同期されますが、EXO 側には反映されません。
これは現状の想定された動作となりますが、残念ながら現時点ではこの EXO まで反映されない属性の一覧がございません。今後動作が変わる可能性もございますが、お客様のお問い合わせをもとに、こちらのチーム ブログなどでも情報を公開する予定ですので、何卒ご理解くださいますようお願いいたします。
- Dirsync
Title: DirSync: List of attributes that are synced by the Azure Active Directory Sync Tool
URL: https://social.technet.microsoft.com/wiki/contents/articles/19901.dirsync-list-of-attributes-that-are-synced-by-the-azure-active-directory-sync-tool.aspx
- AAD Sync
Title: Attributes synchronized to Azure Active Directory
URL: https://msdn.microsoft.com/en-us/library/azure/dn764938.aspx
- AAD Connect
Title: Azure AD Connect sync: Attributes synchronized to Azure Active Directory
URL: https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnectsync-attributes-synchronized/
*関連記事
Title: Office 365: Directory synchronization and object attributes…
URL: https://blogs.technet.com/b/timmcmic/archive/2015/02/01/office-365-directory-synchronization-and-object-attributes.aspx
-------
The attributes that are replicated from the Azure Active Directory to the Exchange Online directory are not necessarily the same as those replicated from the On-Premises Active Directory to the Azure Active Directory. Currently there is no list of attributes that replicate between Azure Active Directory and Exchange Online.
-------
今後も当ブログおよびサポート チームをよろしくお願いいたします。