Azure AD Connect 同期: フィルター処理の構成Azure AD Connect sync: Configure filtering

フィルター処理を使用することによって、オンプレミスのディレクトリからどのオブジェクトを Azure Active Directory (Azure AD) に反映するかを制御できます。By using filtering, you can control which objects appear in Azure Active Directory (Azure AD) from your on-premises directory. 既定の構成では、構成されているフォレスト内の全ドメインの全オブジェクトが対象となります。The default configuration takes all objects in all domains in the configured forests. 通常は、この構成を推奨します。In general, this is the recommended configuration. Office 365 のワークロード (Exchange Online、Skype for Business など) を使っているユーザーには、完全なグローバル アドレス一覧を表示した方が、電子メールの送信先や電話の相手を探すうえで便利です。Users using Office 365 workloads, such as Exchange Online and Skype for Business, benefit from a complete Global Address List so they can send email and call everyone. 既定では、オンプレミス環境の Exchange または Lync と同じ利便性が得られるように構成されています。With the default configuration, they would have the same experience that they would have with an on-premises implementation of Exchange or Lync.

ただし、場合によっては、既定の構成に変更を加えなければならないこともあります。In some cases however, you're required make some changes to the default configuration. 次に例をいくつか示します。Here are some examples:

  • マルチ Azure AD ディレクトリ トポロジの使用を計画しています。You plan to use the multi-Azure AD directory topology. そのうえでフィルターを適用し、特定の Azure AD ディレクトリに対してどのオブジェクトを同期させるかを制御する必要があります。Then you need to apply a filter to control which objects are synchronized to a particular Azure AD directory.
  • Azure または Office 365 を試験運用しており、Azure AD に存在するユーザーの一部だけが必要な場合、You run a pilot for Azure or Office 365 and you only want a subset of users in Azure AD. 小規模な試験では、完全なグローバル アドレス一覧がなくても機能を検証することができます。In the small pilot, it's not important to have a complete Global Address List to demonstrate the functionality.
  • Azure AD に含める必要のない、個人用以外のアカウント (サービス アカウントなど) が多数存在します。You have many service accounts and other nonpersonal accounts that you don't want in Azure AD.
  • コンプライアンス上の理由から、オンプレミスのユーザー アカウントは一切削除できないのでFor compliance reasons, you don't delete any user accounts on-premises. 単に無効にします。You only disable them. 一方、Azure AD には、アクティブなアカウントだけが必要になります。But in Azure AD, you only want active accounts to be present.

この記事では、各種フィルター処理方法の構成について説明します。This article covers how to configure the different filtering methods.

重要

公式に文書化されているアクションを除き、Microsoft は Azure AD Connect Sync の変更や操作をサポートしません。Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the actions that are formally documented. サポートされていないアクションを行うと、Azure AD Connect Sync が不整合な状態になったり、サポートされていない状態になったりする可能性があります。結果的に、Microsoft ではこのようなデプロイについてテクニカル サポートを提供できなくなります。Any of these actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

基本事項と注意事項Basics and important notes

Azure AD Connect Sync では、いつでもフィルター処理を有効にできます。In Azure AD Connect sync, you can enable filtering at any time. 最初に既定の構成でディレクトリ同期を実行した後、フィルター処理を構成した場合、フィルター処理により除外されるオブジェクトは、Azure AD に対する同期の対象外になります。If you start with a default configuration of directory synchronization and then configure filtering, the objects that are filtered out are no longer synchronized to Azure AD. この変更により、以前同期されてからフィルター処理された Azure AD のオブジェクトは、すべて Azure AD から削除されます。Because of this change, any objects in Azure AD that were previously synchronized but were then filtered are deleted in Azure AD.

フィルター処理に変更を加える際は、未検証の変更が意図せずエクスポートされてしまうことのないよう、あらかじめタスクのスケジューリングを無効にしておいてください。Before you start making changes to filtering, make sure that you disable the scheduled task so you don't accidentally export changes that you haven't yet verified to be correct.

フィルター処理によって多くのオブジェクトが同時に削除される可能性があります。フィルター処理に変更を加えたら、必ず検証したうえで、Azure AD に変更をエクスポートするようにしてください。Because filtering can remove many objects at the same time, you want to make sure that your new filters are correct before you start exporting any changes to Azure AD. 構成作業を終えたら、変更内容を Azure AD にエクスポートして反映する前に検証作業を実行することを強くお勧めします。After you've completed the configuration steps, we strongly recommend that you follow the verification steps before you export and make changes to Azure AD.

意図せず多数のオブジェクトを削除してしまうことのないよう、"誤って削除されないように保護する" 機能が既定で有効になっています。To protect you from deleting many objects by accident, the feature "prevent accidental deletes" is on by default. フィルター処理で多数のオブジェクトを削除する場合 (既定では 500 個)、この記事の手順に従って、削除処理を Azure AD に反映できるようにする必要があります。If you delete many objects due to filtering (500 by default), you need to follow the steps in this article to allow the deletes to go through to Azure AD.

November 2015 (1.0.9125) より前のビルドを使用し、フィルターの構成を変更して、パスワード ハッシュ同期を使用する場合は、構成を完了した後、すべてのパスワードの完全同期をトリガーする必要があります。If you use a build before November 2015 (1.0.9125), make a change to a filter configuration, and use password hash synchronization, then you need to trigger a full sync of all passwords after you've completed the configuration. パスワードの完全同期をトリガーする方法の手順については、「すべてのパスワードの完全同期の開始」を参照してください。For steps on how to trigger a password full sync, see Trigger a full sync of all passwords. ビルド 1.0.9125 以降を使用している場合、パスワードを同期する必要があるかどうかとこの特別な手順が今後必要かどうかの計算も、通常の完全同期処理で行われます。If you're on build 1.0.9125 or later, then the regular full synchronization action also calculates whether passwords should be synchronized and if this extra step is no longer required.

フィルター処理のエラーが原因でユーザー オブジェクトが Azure AD から誤って削除された場合、フィルター処理構成を削除することで Azure AD 内にユーザー オブジェクトを再生成できます。If user objects were inadvertently deleted in Azure AD because of a filtering error, you can recreate the user objects in Azure AD by removing your filtering configurations. その後、ディレクトリの同期を再実行できます。Then you can synchronize your directories again. この操作により、Azure AD 内のごみ箱からユーザーが復元されます。This action restores the users from the recycle bin in Azure AD. ただし、その他の種類のオブジェクトについては削除を取り消すことができません。However, you can't undelete other object types. たとえば、リソースの ACL に使用されていたセキュリティ グループをうっかり削除すると、そのグループおよび対応する ACL は復元できなくなります。For example, if you accidentally delete a security group and it was used to ACL a resource, the group and its ACLs can't be recovered.

削除されるのは、Azure AD Connect の作用対象 (スコープ) として認識されていたオブジェクトだけです。Azure AD Connect only deletes objects that it has once considered to be in scope. 別の同期エンジンによって作成されたオブジェクトが Azure AD 内に存在していても、それらがスコープ内に存在しない場合、フィルター処理を追加しても、それらのオブジェクトは削除されません。If there are objects in Azure AD that were created by another sync engine and these objects aren't in scope, adding filtering doesn't remove them. たとえば、当初 DirSync サーバーによって Azure AD 内のディレクトリ全体が完全にコピーされているとき、最初からフィルター処理を有効にした状態で新しい Azure AD Connect Sync サーバーをインストールした場合、DirSync によって別途作成されたオブジェクトは、Azure AD Connect によって削除されません。For example, if you start with a DirSync server that created a complete copy of your entire directory in Azure AD, and you install a new Azure AD Connect sync server in parallel with filtering enabled from the beginning, Azure AD Connect doesn't remove the extra objects that are created by DirSync.

新しいバージョンの Azure AD Connect のインストールまたはアップグレードを行ってもフィルター処理の構成は保持されます。The filtering configuration is retained when you install or upgrade to a newer version of Azure AD Connect. 新しいバージョンにアップグレードした後は、常に構成が誤って変更されていないことを確認してから、最初の同期サイクルを実行することをお勧めします。It's always a best practice to verify that the configuration wasn't inadvertently changed after an upgrade to a newer version before running the first synchronization cycle.

複数のフォレストが存在する場合、このトピックで説明するフィルター処理構成をすべてのフォレストに適用する必要があります (すべてのフォレストに同じ構成を適用する場合)。If you have more than one forest, then you must apply the filtering configurations that are described in this topic to every forest (assuming that you want the same configuration for all of them).

スケジュールされたタスクを無効にするDisable the scheduled task

同期サイクルを 30 分おきにトリガーする、組み込みのスケジューラを無効にするには、以下の手順に従います。To disable the built-in scheduler that triggers a synchronization cycle every 30 minutes, follow these steps:

  1. PowerShell プロンプトに移動します。Go to a PowerShell prompt.
  2. Set-ADSyncScheduler -SyncCycleEnabled $False を実行して、スケジューラを無効にします。Run Set-ADSyncScheduler -SyncCycleEnabled $False to disable the scheduler.
  3. この記事で説明されているとおりに変更します。Make the changes that are documented in this article.
  4. Set-ADSyncScheduler -SyncCycleEnabled $True を実行して、再度スケジューラを有効にします。Run Set-ADSyncScheduler -SyncCycleEnabled $True to enable the scheduler again.

1.1.105.0 より前の Azure AD Connect のビルドを使用している場合If you use an Azure AD Connect build before 1.1.105.0
同期サイクルを 3 時間おきにトリガーする、スケジュールされたタスクを無効にするには、以下の手順に従います。To disable the scheduled task that triggers a synchronization cycle every three hours, follow these steps:

  1. [スタート] メニューから [タスク スケジューラ] を起動します。Start Task Scheduler from the Start menu.
  2. [タスク スケジューラ ライブラリ] の直下から Azure AD Sync Scheduler というタスクを探して右クリックし、 [無効] を選択します。Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Disable.
    [タスク スケジューラ]Task Scheduler
  3. 以上の作業が済んだら構成の変更を行い、Synchronization Service Manager コンソールから同期エンジンを手動で実行できます。You can now make configuration changes and run the sync engine manually from the Synchronization Service Manager console.

フィルター処理の変更がすべて完了したら、忘れずにタスクの状態を [有効] に戻してください。After you've completed all your filtering changes, don't forget to come back and Enable the task again.

フィルター処理オプションFiltering options

ディレクトリ同期ツールには、次のフィルター処理構成タイプを適用できます。You can apply the following filtering configuration types to the directory synchronization tool:

  • グループ ベース: 単一のグループに基づくフィルター処理は、インストール ウィザードを使用して、初回インストール時にのみ構成できます。Group-based: Filtering based on a single group can only be configured on initial installation by using the installation wizard.
  • ドメイン ベース: このオプションを使用すると、どのドメインを Azure AD に同期させるかを選択できます。Domain-based: By using this option, you can select which domains synchronize to Azure AD. また、Azure AD Connect Sync をインストールした後にオンプレミス インフラストラクチャに変更を加えた場合、同期エンジンの構成でドメインを追加または削除することができます。You can also add and remove domains from the sync engine configuration when you make changes to your on-premises infrastructure after you install Azure AD Connect sync.
  • 組織単位 (OU) ベース: このオプションを使用すると、どの OU を Azure AD に同期させるかを選択できます。Organizational unit (OU)–based: By using this option, you can select which OUs synchronize to Azure AD. 選択された OU 内のすべてのオブジェクト タイプが対象となります。This option is for all object types in selected OUs.
  • 属性ベース: このオプションを使用すると、オブジェクトの属性値に基づいてオブジェクトをフィルター処理できます。Attribute-based: By using this option, you can filter objects based on attribute values on the objects. オブジェクトの種類ごとに異なるフィルターを使用することもできます。You can also have different filters for different object types.

フィルター処理のオプションは、同時に複数使用することができます。You can use multiple filtering options at the same time. たとえば、1 つの OU 内のオブジェクトのみを含めるために OU ベース フィルター処理を使用できます。For example, you can use OU-based filtering to only include objects in one OU. 同時に、オブジェクトをさらにフィルター処理するために属性ベースのフィルター処理を使用できます。At the same time, you can use attribute-based filtering to filter the objects further. 複数のフィルター処理方法を使用した場合、それらのフィルターが "論理積" で組み合わされます。When you use multiple filtering methods, the filters use a logical "AND" between the filters.

ドメイン ベースのフィルター処理Domain-based filtering

このセクションでは、ドメイン フィルターを構成する手順について説明します。This section provides you with the steps to configure your domain filter. Azure AD Connect をインストールした後にフォレスト内のドメインを追加または削除した場合は、フィルター処理の構成も更新する必要があります。If you added or removed domains in your forest after you installed Azure AD Connect, you also have to update the filtering configuration.

ドメイン ベースのフィルター処理を変更する場合は、インストール ウィザードを実行して、ドメインと OU のフィルター処理を変更することをお勧めします。The preferred way to change domain-based filtering is by running the installation wizard and changing domain and OU filtering. インストール ウィザードは、このトピックに記載されているすべてのタスクを自動化します。The installation wizard automates all the tasks that are documented in this topic.

なんらかの理由でインストール ウィザードを実行できない場合にだけ、以下の手順に従う必要があります。You should only follow these steps if you're unable to run the installation wizard for some reason.

ドメイン ベースのフィルター処理構成は、次の手順から成ります。Domain-based filtering configuration consists of these steps:

  1. 同期の対象とするドメインを選択します。Select the domains that you want to include in the synchronization.
  2. 追加または削除された各ドメインについて、実行プロファイルを調整します。For each added and removed domain, adjust the run profiles.
  3. 変更の適用と検証を行います。Apply and verify changes.

同期するドメインを選択するSelect the domains to be synchronized

同期するドメインを選択する方法は 2 つあります。There are two ways to select the domains to be synchronized: - 同期サービスを使用するUsing the Synchronization Service - Azure AD Connect ウィザードを使用する。Using the Azure AD Connect wizard.

同期サービスを使用して同期するドメインを選択するSelect the domains to be synchronized using the Synchronization Service

ドメイン フィルターを設定するには、次の手順を実行します。To set the domain filter, do the following steps:

  1. ADSyncAdmins セキュリティ グループに属するアカウントを使用して、Azure AD Connect Sync を実行しているサーバーにサインインします。Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. [スタート] メニューから [同期サービス] を起動します。Start Synchronization Service from the Start menu.
  3. [コネクタ] を選択し、 [コネクタ] の一覧から、種類が "Active Directory Domain Services" であるコネクタを選択します。Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. [アクション][プロパティ] を選択します。In Actions, select Properties.
    コネクタのプロパティConnector properties
  4. [ディレクトリ パーティションの構成] をクリックします。Click Configure Directory Partitions.
  5. [ディレクトリ パーティションの選択] の一覧で、必要に応じてドメインを選択 (または選択を解除) します。In the Select directory partitions list, select and unselect domains as needed. 同期するパーティションのみが選択されていることを確認します。Verify that only the partitions that you want to synchronize are selected.
    パーティションPartitions
    オンプレミスの Active Directory インフラストラクチャに変更を加え、フォレストのドメインを追加または削除した場合は、 [更新] ボタンをクリックして一覧を最新の情報に更新します。If you've changed your on-premises Active Directory infrastructure and added or removed domains from the forest, then click the Refresh button to get an updated list. 最新の情報に更新しようとすると資格情報を求められます。When you refresh, you're asked for credentials. Windows Server Active Directory に対する読み取りアクセス権を持った資格情報を指定します。Provide any credentials with read access to Windows Server Active Directory. ダイアログ ボックスにあらかじめ設定されているユーザーでなくてもかまいません。It doesn't have to be the user that is prepopulated in the dialog box.
    更新が必要Refresh needed
  6. 完了したら、 [OK] をクリックして [プロパティ] ダイアログを閉じます。When you're done, close the Properties dialog by clicking OK. フォレストからドメインを削除した場合、ドメインが削除されたことを示すメッセージが表示され、その構成がクリーンアップされます。If you removed domains from the forest, a message pop-up says that a domain was removed and that configuration will be cleaned up.
  7. 続けて実行プロファイルを調整します。Continue to adjust the run profiles.

Azure AD Connect ウィザードを使用して同期するドメインを選択するSelect the domains to be synchronized using the Azure AD Connect wizard

ドメイン フィルターを設定するには、次の手順を実行します。To set the domain filter, do the following steps:

  1. Azure AD Connect ウィザードを開始しますStart the Azure AD Connect wizard
  2. [構成] をクリックします。Click Configure.
  3. [同期オプションのカスタマイズ] を選択し、 [次へ] をクリックします。Select Customize Synchronization Options and click Next.
  4. Azure ADの資格情報を入力します。Enter your Azure AD credentials
  5. [Connected Directories](接続されたディレクトリ) 画面で、 [次へ] をクリックします。On the Connected Directories screen click Next.
  6. [ドメインと OU のフィルタリング] ページで、 [最新の情報に更新] をクリックします。On the Domain and OU filtering page click Refresh. 新しいドメインが表示され、削除されたドメインは表示されなくなります。New domains ill now appear and deleted domains will disappear. パーティションPartitions

実行プロファイルを更新するUpdate the run profiles

ドメイン フィルターを更新した場合、実行プロファイルも更新する必要があります。If you've updated your domain filter, you also need to update the run profiles.

  1. 前の手順で変更したコネクタが、 [コネクタ] の一覧で選択されていることを確認します。In the Connectors list, make sure that the Connector that you changed in the previous step is selected. [アクション] から [実行プロファイルの構成] を選択します。In Actions, select Configure Run Profiles.
    コネクタ実行プロファイル 1Connector run profiles 1
  2. 次のプロファイルを探して特定します。Find and identify the following profiles:
    • フル インポートFull Import
    • 完全同期Full Synchronization
    • 差分インポートDelta Import
    • 差分同期Delta Synchronization
    • エクスポートExport
  3. 各プロファイルについて、追加対象のドメインと削除対象のドメインを調整します。For each profile, adjust the added and removed domains.
    1. 5 つのプロファイルのそれぞれについて、追加対象のドメインごとに次の手順を実行します。For each of the five profiles, do the following steps for each added domain:
      1. 実行プロファイルを選択し、 [新しいステップ] をクリックします。Select the run profile and click New Step.
      2. [ステップの構成] ページの [タイプ] ドロップダウン メニューから、構成するプロファイルと同じ名前の付いたステップの種類を選択します。On the Configure Step page, in the Type drop-down menu, select the step type with the same name as the profile that you're configuring. その後、 [次へ] をクリックします。Then click Next.
        コネクタ実行プロファイル 2Connector run profiles 2
      3. [コネクタの構成] ページで、 [パーティション] ドロップダウン メニューから、ドメイン フィルターに追加したドメインの名前を選択します。On the Connector Configuration page, in the Partition drop-down menu, select the name of the domain that you've added to your domain filter.
        コネクタ実行プロファイル 3Connector run profiles 3
      4. [実行プロファイルの構成] ダイアログ ボックスを閉じるには、 [完了] をクリックします。To close the Configure Run Profile dialog, click Finish.
    2. 5 つのプロファイルのそれぞれについて、削除対象のドメインごとに次の手順を実行します。For each of the five profiles, do the following steps for each removed domain:
      1. 実行プロファイルを選択します。Select the run profile.
      2. [パーティション] 属性の [値] が GUID である場合は、実行ステップを選択し、 [ステップの削除] をクリックします。If the Value of the Partition attribute is a GUID, select the run step and click Delete Step.
        コネクタ実行プロファイル 4Connector run profiles 4
    3. 変更を確認します。Verify your change. 同期の対象となるすべてのドメインが各実行プロファイルにステップとして表示されている必要があります。Each domain that you want to synchronize should be listed as a step in each run profile.
  4. [実行プロファイルの構成] ダイアログ ボックスを閉じるには、 [OK] をクリックします。To close the Configure Run Profiles dialog, click OK.
  5. 構成を完了するには、フル インポート差分同期を実行する必要があります。続きは「変更の適用と検証」セクションを参照してください。To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

組織単位ベースのフィルター処理Organizational unit–based filtering

OU ベースのフィルター処理を変更する場合は、インストール ウィザードを実行して、ドメインと OU のフィルター処理を変更することをお勧めします。The preferred way to change OU-based filtering is by running the installation wizard and changing domain and OU filtering. インストール ウィザードは、このトピックに記載されているすべてのタスクを自動化します。The installation wizard automates all the tasks that are documented in this topic.

なんらかの理由でインストール ウィザードを実行できない場合にだけ、以下の手順に従う必要があります。You should only follow these steps if you're unable to run the installation wizard for some reason.

組織単位ベースのフィルター処理を構成するには、次の手順を実行します。To configure organizational unit–based filtering, do the following steps:

  1. ADSyncAdmins セキュリティ グループに属するアカウントを使用して、Azure AD Connect Sync を実行しているサーバーにサインインします。Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. [スタート] メニューから [同期サービス] を起動します。Start Synchronization Service from the Start menu.
  3. [コネクタ] を選択し、 [コネクタ] の一覧から、種類が "Active Directory Domain Services" であるコネクタを選択します。Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. [アクション][プロパティ] を選択します。In Actions, select Properties.
    コネクタのプロパティConnector properties
  4. [ディレクトリ パーティションの構成] をクリックし、構成するドメインを選択して、 [コンテナー] をクリックします。Click Configure Directory Partitions, select the domain that you want to configure, and then click Containers.
  5. 資格情報を求められたら、オンプレミスの Active Directory に対する読み取りアクセス権を持った資格情報を指定します。When you're prompted, provide any credentials with read access to your on-premises Active Directory. ダイアログ ボックスにあらかじめ設定されているユーザーでなくてもかまいません。It doesn't have to be the user that is prepopulated in the dialog box.
  6. [コンテナーの選択] ダイアログ ボックスで、クラウド ディレクトリと同期しない OU の選択を解除し、 [OK] をクリックします。In the Select Containers dialog box, clear the OUs that you don’t want to synchronize with the cloud directory, and then click OK.
    [コンテナーの選択] ダイアログ ボックス内の OUOUs in the Select Containers dialog box
    • Windows 10 コンピューターを Azure AD と正しく同期させるには、 [コンピューター] コンテナーを選択する必要があります。The Computers container should be selected for your Windows 10 computers to be successfully synchronized to Azure AD. ドメインに参加しているコンピューターが他の OU に置かれている場合、それらが選択されていることを確認してください。If your domain-joined computers are located in other OUs, make sure those are selected.
    • 信頼関係のある複数のフォレストが存在する場合、 [ForeignSecurityPrincipals] コンテナーを選択する必要があります。The ForeignSecurityPrincipals container should be selected if you have multiple forests with trusts. このコンテナーにより、フォレスト間のセキュリティ グループのメンバーシップが解決されます。This container allows cross-forest security group membership to be resolved.
    • デバイスの書き戻し機能を有効にした場合は、 [RegisteredDevices] の OU を選択する必要があります。The RegisteredDevices OU should be selected if you enabled the device writeback feature. 別の書き戻し機能 (グループの書き戻しなど) を使用する場合は、それらの場所が選択されていることを確認してください。If you use another writeback feature, such as group writeback, make sure these locations are selected.
    • Users、iNetOrgPersons、Groups、Contacts、Computers の置かれている OU が他にあれば選択します。Select any other OU where Users, iNetOrgPersons, Groups, Contacts, and Computers are located. この図では、これらすべての OU が ManagedObjects OU に存在します。In the picture, all these OUs are located in the ManagedObjects OU.
    • グループ ベースのフィルター処理を使用する場合は、グループが配置される OU を含める必要があります。If you use group-based filtering, then the OU where the group is located must be included.
    • フィルター処理の構成が完了した後で追加された新しい OU を同期するか同期しないかを構成することができます。Note that you can configure whether new OUs that are added after the filtering configuration finishes are synchronized or not synchronized. 詳細については、次のセクションを参照してください。See the next section for details.
  7. 完了したら、 [OK] をクリックして [プロパティ] ダイアログを閉じます。When you're done, close the Properties dialog by clicking OK.
  8. 構成を完了するには、フル インポート差分同期を実行する必要があります。続きは「変更の適用と検証」セクションを参照してください。To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

新しい OU を同期するSynchronize new OUs

フィルター処理を構成した後で作成された新しい OU は、既定では同期されます。New OUs that are created after filtering has been configured are synchronized by default. チェック ボックスがオンの場合、同期されることを示します。This state is indicated by a selected check box. 一部のサブ OU を選択解除することもできます。You can also unselect some sub-OUs. この操作を有効にするには、白地に青のチェック マークが表示された状態になるまでチェック ボックスをクリックします (既定の状態)。To get this behavior, click the box until it becomes white with a blue check mark (its default state). その後、同期しないサブ OU を選択解除します。Then unselect any sub-OUs that you don't want to synchronize.

すべてのサブ OU が同期される場合、ボックスには白地に青のチェック マークが表示されます。If all sub-OUs are synchronized, then the box is white with a blue check mark.
すべてのボックスが選択されている OU

一部のサブ OU が選択解除されている場合は、ボックスにはグレー地に白のチェック マークが表示されます。If some sub-OUs have been unselected, then the box is gray with a white check mark.
一部のサブ OU が選択解除されている OU

この構成では、ManagedObjects の下に作成された新しい OU が同期されます。With this configuration, a new OU that was created under ManagedObjects is synchronized.

Azure AD Connect インストール ウィザードでは、常にこの構成が作成されます。The Azure AD Connect installation wizard always creates this configuration.

新しい OU を同期しないDon't synchronize new OUs

フィルター処理の構成が完了した後で作成された新しい OU を同期しないように同期エンジンを構成できます。You can configure the sync engine to not synchronize new OUs after the filtering configuration has finished. この状態は、グレー地でチェック マークの表示がないボックスの UI で示されます。This state is indicated in the UI by the box appearing solid gray with no check mark. この操作を有効にするには、白地でチェック マークの表示がない状態になるまでボックスをクリックします。To get this behavior, click the box until it becomes white with no check mark. その後、同期するサブ OU を選択します。Then select the sub-OUs that you want to synchronize.

ルートが選択解除されている OU

この構成では、ManagedObjects の下に作成された新しい OU は同期されません。With this configuration, a new OU that was created under ManagedObjects isn't synchronized.

属性ベースのフィルター処理Attribute-based filtering

以下の手順は、November 2015 (1.0.9125) 以降のビルドを想定しています。Make sure that you're using the November 2015 (1.0.9125) or later build for these steps to work.

重要

Azure AD Connect によって作成された既定の規則は、変更しないことをお勧めします。Microsoft recommends to not modify the default rules created by Azure AD Connect. 規則を変更する場合は、複製してから、元の規則を無効にします。If you want to modify the rule, then clone it, and disable the original rule. 複製した規則を変更してください。Make any changes to the cloned rule. これによって (元の規則を無効にすることによって)、その規則によって有効にしたバグ修正や機能は見つからなくなります。Please note that by doing so (disabling original rule) you will miss any bug fixes or features enabled through that rule.

属性ベースのフィルター処理は、オブジェクトをフィルター処理する手段として最も柔軟性の高い方法となります。Attribute-based filtering is the most flexible way to filter objects. 宣言型のプロビジョニングの強みを活かして、Azure AD に対してオブジェクトを同期させるタイミングをあらゆる角度から制御することができます。You can use the power of declarative provisioning to control almost every aspect of when an object is synchronized to Azure AD.

Active Directory からメタバースへの受信フィルター処理と、メタバースから Azure AD への送信フィルター処理を適用できます。You can apply inbound filtering from Active Directory to the metaverse, and outbound filtering from the metaverse to Azure AD. 維持が最も簡単な受信フィルター処理を適用することをお勧めします。We recommend that you apply inbound filtering because that is the easiest to maintain. 送信側のフィルター処理は、複数のフォレストからのオブジェクトを合わせたうえで評価する必要がある場合にのみ使用してください。You should only use outbound filtering if it's required to join objects from more than one forest before the evaluation can take place.

受信のフィルター処理Inbound filtering

受信フィルター処理は既定の構成を使用します。既定の構成では、Azure AD に送信されるオブジェクトを同期させるためには、メタバース属性 cloudFiltered の値が未設定となっている必要があります。Inbound filtering uses the default configuration, where objects going to Azure AD must have the metaverse attribute cloudFiltered not set to a value to be synchronized. この属性の値が True に設定されている場合、オブジェクトは同期されません。If this attribute's value is set to True, then the object isn't synchronized. 意図的に False に設定することは避けてください。It shouldn't be set to False, by design. 他の規則から確実に値が得られるよう、この属性の値は True または NULL (未設定) にする必要があります。To make sure other rules have the ability to contribute a value, this attribute is only supposed to have the values True or NULL (absent).

受信フィルター処理では、同期の対象となるオブジェクトと対象外となるオブジェクトがスコープの作用によって決定されます。In inbound filtering, you use the power of scope to determine which objects to synchronize or not synchronize. この点は、組織ごとに実際の要件に合わせて調整することになります。This is where you make adjustments to fit your own organization's requirements. スコープ モジュールには、同期規則の作用対象を判断するグループがあります。The scope module has a group and a clause to determine when a sync rule is in scope. グループは、1 つまたは複数の句を含みます。A group contains one or many clauses. 複数の句は "論理積" で組み合わされ、複数のグループは "論理和" で組み合わされます。There is a logical "AND" between multiple clauses, and a logical "OR" between multiple groups.

たとえば、次のようなフィルターがあるとします。Let us look at an example:
スコープScope
これは、 (department = IT) OR (department = Sales AND c = US) という意味になります。This should be read as (department = IT) OR (department = Sales AND c = US).

次のサンプルと手順は、ユーザー オブジェクトが例として使用されていますが、実際にはオブジェクトの種類に関係なく利用できます。In the following samples and steps, you use the user object as an example, but you can use this for all object types.

次の例では、優先順位の値は 50 から始まります。In the following samples, the precedence value starts with 50. これは既に使用されていない任意の数値であればよいですが、100 よりも小さい必要があります。This can be any number not used, but should be lower than 100.

否定のフィルター処理 (同期対象外の指定)Negative filtering: "do not sync these"

以下の例では、extensionAttribute15 の値が NoSync であるすべてのユーザーをフィルターで除外 (同期対象外に) します。In the following example, you filter out (not synchronize) all users where extensionAttribute15 has the value NoSync.

  1. ADSyncAdmins セキュリティ グループに属するアカウントを使用して、Azure AD Connect Sync を実行しているサーバーにサインインします。Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. [スタート] メニューから、同期規則エディターを起動します。Start Synchronization Rules Editor from the Start menu.
  3. [受信] が選択されていることを確認し、 [新しい規則の追加] をクリックします。Make sure Inbound is selected, and click Add New Rule.
  4. わかりやすい名前を規則に付けます ("AD からの受信 – 同期しないユーザーのフィルター" など)。Give the rule a descriptive name, such as "In from AD – User DoNotSyncFilter". 適切なフォレストを選択し、 [接続されているシステム オブジェクトのタイプ] として [ユーザー] を、 [メタバース オブジェクトの種類] として [人] を選択します。Select the correct forest, select User as the CS object type, and select Person as the MV object type. [リンクの種類][結合] を選択します。In Link Type, select Join. [優先順位] に、別の同期規則で現在使用されていない値 (50 など) を入力して、 [次へ] をクリックします。In Precedence, type a value that isn't currently used by another synchronization rule (for example 50), and then click Next.
    Inbound 1 の説明Inbound 1 description
  5. [スコープ フィルター] で、 [グループの追加][句の追加] の順にクリックします。In Scoping filter, click Add Group, and click Add Clause. [属性][ExtensionAttribute15] を選択します。In Attribute, select ExtensionAttribute15. [演算子]EQUAL に設定し、 [値] ボックスに「NoSync」という値を入力します。Make sure that Operator is set to EQUAL, and type the value NoSync in the Value box. [次へ] をクリックします。Click Next.
    Inbound 2 のスコープInbound 2 scope
  6. [参加] 規則は空のままにして、 [次へ] をクリックします。Leave the Join rules empty, and then click Next.
  7. [変換の追加] をクリックし、 [FlowType] として [Constant] を、 [ターゲット属性] として [cloudFiltered] に選択します。Click Add Transformation, select the FlowType as Constant, and select cloudFiltered as the Target Attribute. [ソース] テキスト ボックスに「True」を入力します。In the Source text box, type True. [追加] をクリックして規則を保存します。Click Add to save the rule.
    Inbound 3 の変換Inbound 3 transformation
  8. 構成を完了するには、完全同期を実行する必要があります。続きは「変更の適用と検証」セクションを参照してください。To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

肯定のフィルター処理 (同期対象の指定)Positive filtering: "only sync these"

肯定のフィルター処理を式で表すことは、否定の場合と比べて難易度が上がります。同期の対象とするかどうかが不明確なオブジェクト (会議室など) も考慮しなければならないためです。Expressing positive filtering can be more challenging because you also have to consider objects that aren't obvious to be synchronized, such as conference rooms. 既定の規則 [In from AD - User Join] の既定のフィルターもオーバーライドします。You are also going to override the default filter in the out-of-box rule In from AD - User Join. カスタム フィルターを作成するときは、重要なシステム オブジェクト、レプリケーション競合オブジェクト、特殊なメールボックス、Azure AD Connect のサービス アカウントなどが含まれていないことを確認してください。When you create your custom filter, make sure to not include critical system objects, replication conflict objects, special mailboxes, and the service accounts for Azure AD Connect.

肯定のフィルター処理オプションには、2 つの同期規則が必要となります。The positive filtering option requires two sync rules. 1 つ目に必要なのが、同期対象のオブジェクトの範囲を正しく指定した規則 (複数可) です。You need one rule (or several) with the correct scope of objects to synchronize. また、2 つ目に、同期対象オブジェクトとしてまだ識別されていないすべてのオブジェクトを除外する包括的な同期規則も必要です。You also need a second catch-all sync rule that filters out all objects that haven't yet been identified as an object that should be synchronized.

以下の例では、department 属性の値が Salesであるユーザー オブジェクトだけを同期対象としています。In the following example, you only synchronize user objects where the department attribute has the value Sales.

  1. ADSyncAdmins セキュリティ グループに属するアカウントを使用して、Azure AD Connect Sync を実行しているサーバーにサインインします。Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. [スタート] メニューから、同期規則エディターを起動します。Start Synchronization Rules Editor from the Start menu.
  3. [受信] が選択されていることを確認し、 [新しい規則の追加] をクリックします。Make sure Inbound is selected, and click Add New Rule.
  4. わかりやすい名前を規則に付けます ("AD からの受信 – 営業部のユーザーの同期" など)。Give the rule a descriptive name, such as "In from AD – User Sales sync". 適切なフォレストを選択し、 [接続されているシステム オブジェクトのタイプ] として [ユーザー] を、 [メタバース オブジェクトの種類] として [人] を選択します。Select the correct forest, select User as the CS object type, and select Person as the MV object type. [リンクの種類][結合] を選択します。In Link Type, select Join. [優先順位] に、別の同期規則で現在使用されていない値 (51 など) を入力して、 [次へ] をクリックします。In Precedence, type a value that isn't currently used by another synchronization rule (for example 51), and then click Next.
    Inbound 4 の説明Inbound 4 description
  5. [スコープ フィルター] で、 [グループの追加][句の追加] の順にクリックします。In Scoping filter, click Add Group, and click Add Clause. [属性][department] を選択します。In Attribute, select department. [演算子] を [EQUAL] に設定し、 [値] ボックスに「Sales」という値を入力します。Make sure that Operator is set to EQUAL, and type the value Sales in the Value box. [次へ] をクリックします。Click Next.
    Inbound 5 のスコープInbound 5 scope
  6. [参加] 規則は空のままにして、 [次へ] をクリックします。Leave the Join rules empty, and then click Next.
  7. [変換の追加] をクリックし、 [FlowType] として [Constant] を、 [ターゲット属性] として [cloudFiltered] に選択します。Click Add Transformation, select Constant as the FlowType, and select the cloudFiltered as the Target Attribute. [ソース] ボックスに、「False」を入力します。In the Source box, type False. [追加] をクリックして規則を保存します。Click Add to save the rule.
    Inbound 6 の変換Inbound 6 transformation
    これは特殊なケースですが、cloudFiltered を明示的に False に設定します。This is a special case where you explicitly set cloudFiltered to False.
  8. 次に、包括的な同期規則を作成する必要があります。We now have to create the catch-all sync rule. わかりやすい名前を規則に付けます ("AD からの受信 – 包括的なユーザーのフィルター" など)。Give the rule a descriptive name, such as "In from AD – User Catch-all filter". 適切なフォレストを選択し、 [接続されているシステム オブジェクトのタイプ] として [ユーザー] を、 [メタバース オブジェクトの種類] として [人] を選択します。Select the correct forest, select User as the CS object type, and select Person as the MV object type. [リンクの種類][結合] を選択します。In Link Type, select Join. [優先順位] に、別の同期規則で現在使用されていない値 (99 など) を入力します。In Precedence, type a value that isn't currently used by another Synchronization Rule (for example 99). 前の同期規則より高い (優先順位の低い) 値を選択しました。You've selected a precedence value that is higher (lower precedence) than the previous sync rule. ただし、後で追加の部門の同期を開始した場合にフィルター処理の同期規則を追加できるように、多少の余地も残しています。But you've also left some room so that you can add more filtering sync rules later when you want to start synchronizing additional departments. [次へ] をクリックします。Click Next.
    Inbound 7 の説明Inbound 7 description
  9. [スコープ フィルター] は空のままにして、 [次へ] をクリックします。Leave Scoping filter empty, and click Next. フィルターを空にした場合、すべてのオブジェクトに規則が適用されます。An empty filter indicates that the rule is to be applied to all objects.
  10. [参加] 規則は空のままにして、 [次へ] をクリックします。Leave the Join rules empty, and then click Next.
  11. [変換の追加] をクリックし、 [FlowType] として [Constant] を、 [ターゲット属性] として [cloudFiltered] に選択します。Click Add Transformation, select Constant as the FlowType, and select cloudFiltered as the Target Attribute. [ソース] ボックスに、「True」を入力します。In the Source box, type True. [追加] をクリックして規則を保存します。Click Add to save the rule.
    Inbound 3 の変換Inbound 3 transformation
  12. 構成を完了するには、完全同期を実行する必要があります。続きは「変更の適用と検証」セクションを参照してください。To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

必要であれば、1 つ目のタイプの規則をさらに作成し、同期対象のオブジェクトを増やすこともできます。If you need to, you can create more rules of the first type where you include more objects in the synchronization.

送信のフィルター処理Outbound filtering

場合によっては、オブジェクトがメタバースに参加した後にのみ、フィルター処理を実行する必要があります。In some cases, it's necessary to do the filtering only after the objects have joined in the metaverse. たとえば、オブジェクトを同期する必要があるかどうかを確認するには、リソース フォレストの mail 属性と、アカウント フォレストの userPrincipalName 属性を確認する必要があります。For example, it might be necessary to look at the mail attribute from the resource forest, and the userPrincipalName attribute from the account forest, to determine if an object should be synchronized. このような場合、送信ルールに関するフィルター処理を作成します。In these cases, you create the filtering on the outbound rule.

この例では、mail と userPrincipalName の両方の末尾が @contoso.com であるユーザーのみが同期されるようにフィルター処理を変更します。In this example, you change the filtering so that only users that have both their mail and userPrincipalName ending in @contoso.com are synchronized:

  1. ADSyncAdmins セキュリティ グループに属するアカウントを使用して、Azure AD Connect Sync を実行しているサーバーにサインインします。Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. [スタート] メニューから、同期規則エディターを起動します。Start Synchronization Rules Editor from the Start menu.
  3. [規則の種類][送信] をクリックします。Under Rules Type, click Outbound.
  4. 使用する Connect のバージョンに応じて、Out to AAD – User JoinOut to AAD - User Join SOAInAD のいずれかの規則を選択し、 [編集] をクリックします。Depending on the version of Connect you use, either find the rule named Out to AAD – User Join or Out to AAD - User Join SOAInAD, and click Edit.
  5. ポップアップで [はい] を選択して規則のコピーを作成します。In the pop-up, answer Yes to create a copy of the rule.
  6. [説明] ページの [優先順位] の値を、まだ使用していない値 (50 など) に設定します。On the Description page, change Precedence to an unused value, such as 50.
  7. 左側のナビゲーションにある [スコープ フィルター] をクリックし、 [句の追加] をクリックします。Click Scoping filter on the left-hand navigation, and then click Add clause. [属性][mail] を選択します。In Attribute, select mail. [演算子][ENDSWITH] を選択します。In Operator, select ENDSWITH. [値] に「 @contoso.com」と入力し、 [句の追加] をクリックします。In Value, type @contoso.com, and then click Add clause. [属性][userPrincipalName] を選択します。In Attribute, select userPrincipalName. [演算子][ENDSWITH] を選択します。In Operator, select ENDSWITH. [値] に「 @contoso.com」と入力します。In Value, type @contoso.com.
  8. [Save] をクリックします。Click Save.
  9. 構成を完了するには、完全同期を実行する必要があります。続きは「変更の適用と検証」セクションを参照してください。To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

変更の適用と検証Apply and verify changes

構成を変更したら、それらの変更をシステム内の既存のオブジェクトに適用する必要があります。After you've made your configuration changes, you must apply them to the objects that are already present in the system. まだ同期エンジンに存在しないオブジェクトを処理 (さらに、同期エンジンがソース システムをもう一度読み取ってその内容を検証) しなければならないケースも考えられます。It might also be that the objects that aren't currently in the sync engine should be processed (and the sync engine needs to read the source system again to verify its content).

ドメインまたは組織単位のフィルター処理を使って構成を変更した場合は、フル インポートに続けて差分同期を実行する必要があります。If you changed the configuration by using domain or organizational-unit filtering, then you need to do a Full import, followed by Delta synchronization.

属性のフィルター処理を使って構成を変更した場合は、完全同期を実行する必要があります。If you changed the configuration by using attribute filtering, then you need to do a Full synchronization.

次の手順を実行します。Do the following steps:

  1. [スタート] メニューから [同期サービス] を起動します。Start Synchronization Service from the Start menu.
  2. [コネクタ] を選択します。Select Connectors. [コネクタ] の一覧から、構成変更済みのコネクタを選択します。In the Connectors list, select the Connector where you made a configuration change earlier. [アクション] から [実行] を選択します。In Actions, select Run.
    コネクタの実行Connector run
  3. [実行プロファイル] から、前のセクションで説明した操作を選択します。In Run profiles, select the operation that was mentioned in the previous section. 2 つのアクションを実行する必要がある場合は、1 つ目が終了した後If you need to run two actions, run the second after the first one has finished. (選択したコネクタの [状態] 列が [Idle] になっている) に 2 つ目を実行します。(The State column is Idle for the selected connector.)

同期後、すべての変更がエクスポートの対象としてステージングされます。After the synchronization, all changes are staged to be exported. 実際に Azure AD に変更を加える前に、それらの変更がすべて正しいことを検証する必要があります。Before you actually make the changes in Azure AD, you want to verify that all these changes are correct.

  1. コマンド プロンプトを起動し、%Program Files%\Microsoft Azure AD Sync\bin に移動します。Start a command prompt, and go to %Program Files%\Microsoft Azure AD Sync\bin.
  2. csexport "Name of Connector" %temp%\export.xml /f:x を実行します。Run csexport "Name of Connector" %temp%\export.xml /f:x.
    同期サービスにコネクタの名前があることを確認できます。The name of the Connector is in Synchronization Service. Azure AD の場合は、"contoso.com - AAD" のような名前が表示されます。It has a name similar to "contoso.com – AAD" for Azure AD.
  3. CSExportAnalyzer %temp%\export.xml > %temp%\export.csv を実行します。Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. %temp% に export.csv という名前のファイルが生成されます。このファイルは、Microsoft Excel で開くことができます。You now have a file in %temp% named export.csv that can be examined in Microsoft Excel. このファイルには、エクスポートの対象となるすべての変更が含まれています。This file contains all the changes that are about to be exported.
  5. データまたは構成に必要な変更を加え、エクスポートの対象となる変更が希望どおりになるまで、(インポート、同期、検証の) 手順を実行します。Make the necessary changes to the data or configuration, and run these steps again (Import, Synchronize, and Verify) until the changes that are about to be exported are what you expect.

問題がなければ、変更を Azure AD にエクスポートします。When you're satisfied, export the changes to Azure AD.

  1. [コネクタ] を選択します。Select Connectors. [コネクタ] の一覧から Azure AD コネクタを選択します。In the Connectors list, select the Azure AD Connector. [アクション] から [実行] を選択します。In Actions, select Run.
  2. [実行プロファイル][エクスポート] を選択します。In Run profiles, select Export.
  3. 構成の変更によって削除されるオブジェクトが多数存在し、その数が、構成されているしきい値 (既定では 500 個) を超えた場合、エクスポート時にエラーが表示されます。If your configuration changes delete many objects, then you see an error in the export when the number is more than the configured threshold (by default 500). エラーが表示された場合は、"誤って削除されないように保護する" 機能を一時的に無効にする必要があります。If you see this error, then you need to temporarily disable the "prevent accidental deletes" feature.

この時点でスケジューラをもう一度有効にします。Now it's time to enable the scheduler again.

  1. [スタート] メニューから [タスク スケジューラ] を起動します。Start Task Scheduler from the Start menu.
  2. [タスク スケジューラ ライブラリ] の直下から Azure AD Sync Scheduler というタスクを探して右クリックし、 [有効] を選択します。Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Enable.

グループベースのフィルター処理Group-based filtering

グループベースのフィルター処理は、カスタム インストールを使用して Azure AD Connect を初めてインストールするときに構成できます。You can configure group-based filtering the first time that you install Azure AD Connect by using custom installation. このフィルター処理は、同期が必要なオブジェクトがごく少数であるパイロット デプロイで使用するためのものです。It's intended for a pilot deployment where you want only a small set of objects to be synchronized. グループベースのフィルター処理は、一度無効にすると再び有効にすることができません。When you disable group-based filtering, it can't be enabled again. カスタム構成でのグループベースのフィルター処理は、サポートされていませんIt's not supported to use group-based filtering in a custom configuration. この機能を構成できるのは、インストール ウィザードを使用する場合のみです。It's only supported to configure this feature by using the installation wizard. パイロットが完了したら、このトピックで説明されているいずれかの他のフィルター処理オプションを使用する必要があります。When you've completed your pilot, then use one of the other filtering options in this topic. OU ベースのフィルター処理とグループ ベースのフィルター処理を組み合わせて使用する場合は、グループとそのメンバーが配置されている OU を追加する必要があります。When using OU-based filtering in conjunction with group-based filtering, the OU(s) where the group and its members are located must be included.

複数の AD フォレストを同期すると、各 AD コネクタに別のグループを指定することで、グループベースのフィルター処理を構成できます。When synchronizing multiple AD forests, you can configure group-based filtering by specifying a different group for each AD connector. 1 つの AD フォレストでユーザーを同期する場合、同じユーザーが他の AD フォレストで 1 つ以上の対応するオブジェクトを持つとき、ユーザー オブジェクトとそれに対応するすべてのオブジェクトがグループ ベースのフィルター処理のスコープ内にあることを確認してください。If you wish to synchronize a user in one AD forest and the same user has one or more corresponding objects in other AD forests, you must ensure that the user object and all its corresponding objects are within group-based filtering scope. 次に例を示します。For examples:

  • あるフォレストにユーザーがいます。このフォレストには、他のフォレストの対応する FSP (外部セキュリティ プリンシパル) オブジェクトがあります。You have a user in one forest that has a corresponding FSP (Foreign Security Principal) object in another forest. 両方のオブジェクトが、グループ ベースのフィルター処理のスコープ内にある必要があります。Both objects must be within group-based filtering scope. そうしないと、ユーザーは Azure AD と同期されません。Otherwise, the user will not be synchronized to Azure AD.

  • あるフォレストにユーザーがいます。このフォレストには、他のフォレストの対応するリソース アカウント (リンクされたメールボックスなど) があります。You have a user in one forest that has a corresponding resource account (e.g., linked mailbox) in another forest. また、そのユーザーとリソース アカウントがリンクされるように Azure AD Connect を構成しました。Further, you have configured Azure AD Connect to link the user with the resource account. 両方のオブジェクトが、グループ ベースのフィルター処理のスコープ内にある必要があります。Both objects must be within group-based filtering scope. そうしないと、ユーザーは Azure AD と同期されません。Otherwise, the user will not be synchronized to Azure AD.

  • あるフォレストにユーザーがいます。このフォレストには、他のフォレストの対応するメール連絡先があります。You have a user in one forest that has a corresponding mail contact in another forest. また、そのユーザーとメール連絡先がリンクされるように Azure AD Connect を構成しました。Further, you have configured Azure AD Connect to link the user with the mail contact. 両方のオブジェクトが、グループ ベースのフィルター処理のスコープ内にある必要があります。Both objects must be within group-based filtering scope. そうしないと、ユーザーは Azure AD と同期されません。Otherwise, the user will not be synchronized to Azure AD.

次の手順Next steps