Azure AD Connect:設計概念Azure AD Connect: Design concepts

このドキュメントの目的は、Azure AD Connect の実装設計時に検討する必要がある領域について説明することです。The purpose of this document is to describe areas that must be thought through during the implementation design of Azure AD Connect. このドキュメントでは特定の領域について詳しく説明しますが、これらの概念については、他のドキュメントでも簡単に説明しています。This document is a deep dive on certain areas and these concepts are briefly described in other documents as well.

sourceAnchorsourceAnchor

sourceAnchor 属性は、 オブジェクトの有効期間中に変更できない属性として定義されています。The sourceAnchor attribute is defined as an attribute immutable during the lifetime of an object. この属性により、オブジェクトは、オンプレミスと Azure AD で同じオブジェクトとして一意に識別されます。It uniquely identifies an object as being the same object on-premises and in Azure AD. また、この属性は、 immutableId とも呼ばれており、この 2 つの名前のどちらを使ってもかまいません。The attribute is also called immutableId and the two names are used interchangeable.

"immutable" (変更できない) という単語は、このドキュメントで大きな意味を持ちます。The word immutable, that is "cannot be changed", is important to this document. この属性の値は、一度設定すると変更できないため、シナリオに対応する設計を選ぶことが重要です。Since this attribute’s value cannot be changed after it has been set, it is important to pick a design that supports your scenario.

この属性は、次のシナリオで使用されます。The attribute is used for the following scenarios:

  • 新しい同期エンジン サーバーを構築する場合、またはディザスター リカバリー シナリオの後に再構築する場合、この属性によって、Azure AD 内の既存のオブジェクトがオンプレミスのオブジェクトとリンクされます。When a new sync engine server is built, or rebuilt after a disaster recovery scenario, this attribute links existing objects in Azure AD with objects on-premises.
  • クラウド専用の ID から同期 ID モデルに移行する場合、この属性によって、Azure AD 内の既存のオブジェクトとオンプレミスのオブジェクトを "完全一致" させることができます。If you move from a cloud-only identity to a synchronized identity model, then this attribute allows objects to "hard match" existing objects in Azure AD with on-premises objects.
  • フェデレーションを使用する場合は、ユーザーを一意に識別するために、要求でこの属性と共に userPrincipalName を使用します。If you use federation, then this attribute together with the userPrincipalName is used in the claim to uniquely identify a user.

ユーザーに関連するのは sourceAnchor であることから、このトピックではこの属性のみについて説明します。This topic only talks about sourceAnchor as it relates to users. すべてのオブジェクトの種類に同じ規則が適用されますが、通常この問題が関係するのはユーザーのみです。The same rules apply to all object types, but it is only for users this problem usually is a concern.

適切な sourceAnchor 属性の選択Selecting a good sourceAnchor attribute

属性の値は、次の規則に従う必要があります。The attribute value must follow the following rules:

  • 60 文字未満であることFewer than 60 characters in length
    • a ~ z、A ~ Z、0 ~ 9 のいずれでもない文字はエンコードされ、3 文字としてカウントされます。Characters not being a-z, A-Z, or 0-9 are encoded and counted as 3 characters
  • 次の特殊文字が含まれていないこと: \ !Not contain a special character: \ ! # $ % & * + / = ?# $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
  • グローバルに一意であることMust be globally unique
  • 文字列、整数、バイナリのいずれかであることMust be either a string, integer, or binary
  • 変更される可能性があるためユーザーの名前に基づかないことShould not be based on user's name because these can change
  • 大文字と小文字の区別がないこと、および大文字と小文字で異なる可能性がある値は避けることShould not be case-sensitive and avoid values that may vary by case
  • オブジェクトの作成時に割り当てることShould be assigned when the object is created

選択された sourceAnchor が文字列型でない場合、Azure AD Connect では、特殊文字が表示されないように、属性値に対して Base64Encode を実行します。If the selected sourceAnchor is not of type string, then Azure AD Connect Base64Encode the attribute value to ensure no special characters appear. ADFS とは別のフェデレーション サーバーを使用する場合、そのサーバーでも属性に対して Base64Encode を実行できることを確認してください。If you use another federation server than ADFS, make sure your server can also Base64Encode the attribute.

sourceAnchor 属性では、大文字小文字が区別されます。The sourceAnchor attribute is case-sensitive. 値 "JohnDoe" と "johndoe" は同じではありません。A value of “JohnDoe” is not the same as “johndoe”. ただし、大文字と小文字が異なるだけの 2 つのオブジェクトは作成しないでください。But you should not have two different objects with only a difference in case.

オンプレミスの単一フォレストがある場合、使用する必要がある属性は objectGUIDです。If you have a single forest on-premises, then the attribute you should use is objectGUID. これは、Azure AD Connect で簡単設定を使用する際に使用される属性でもあり、DirSync で使用される属性でもあります。This is also the attribute used when you use express settings in Azure AD Connect and also the attribute used by DirSync.

複数のフォレストがあり、フォレスト間およびドメイン間でユーザーを移動しない場合でも、 objectGUID 属性を使用することをお勧めします。If you have multiple forests and do not move users between forests and domains, then objectGUID is a good attribute to use even in this case.

フォレスト間およびドメイン間でユーザーを移動する場合は、変更されない属性、または移動時にユーザーと共に移動できる属性を探す必要があります。If you move users between forests and domains, then you must find an attribute that does not change or can be moved with the users during the move. お勧めする方法は、合成属性を導入することです。A recommended approach is to introduce a synthetic attribute. GUID のような情報を保持可能な属性が適しています。An attribute that could hold something that looks like a GUID would be suitable. オブジェクトの作成中に、新しい GUID が作成され、ユーザーに設定されます。During object creation, a new GUID is created and stamped on the user. 同期エンジン サーバーでは、 objectGUID に基づいてこの値を作成し、ADDS の選択した属性を更新するカスタム同期ルールを作成できます。A custom sync rule can be created in the sync engine server to create this value based on the objectGUID and update the selected attribute in ADDS. オブジェクトを移動するときは、この値の内容も必ずコピーしてください。When you move the object, make sure to also copy the content of this value.

別の方法は、変更されないことがわかっている既存の属性を選択することです。Another solution is to pick an existing attribute you know does not change. 一般的に使用される属性に employeeIDがあります。Commonly used attributes include employeeID. 文字が含まれる属性を採用する場合は、属性値の文字 (大文字と小文字) が変更される可能性がないことを確認します。If you consider an attribute that contains letters, make sure there is no chance the case (upper case vs. lower case) can change for the attribute's value. 使用しない方がよい属性として、ユーザーの名前を含む属性があります。Bad attributes that should not be used include those attributes with the name of the user. 名前は、結婚や離婚によって変更されることが予想されるため、この属性には使用できません。In a marriage or divorce, the name is expected to change, which is not allowed for this attribute. これは、userPrincipalNamemailtargetAddress などの属性を Azure AD Connect のインストール ウィザードで選択できない理由の 1 つでもあります。This is also one reason why attributes such as userPrincipalName, mail, and targetAddress are not even possible to select in the Azure AD Connect installation wizard. これらの属性に含まれる "@" 文字も sourceAnchor では使用できません。Those attributes also contain the "@" character, which is not allowed in the sourceAnchor.

sourceAnchor 属性の変更Changing the sourceAnchor attribute

Azure AD でオブジェクトを作成して、ID を同期した後に、sourceAnchor 属性の値を変更することはできません。The sourceAnchor attribute value cannot be changed after the object has been created in Azure AD and the identity is synchronized.

このような理由から、Azure AD Connect には次の制限が適用されます。For this reason, the following restrictions apply to Azure AD Connect:

  • sourceAnchor 属性を設定できるのは、初回インストール時のみです。The sourceAnchor attribute can only be set during initial installation. インストール ウィザードを再実行すると、このオプションは読み取り専用になります。If you rerun the installation wizard, this option is read-only. この設定を変更する必要がある場合は、アンインストールして再インストールする必要があります。If you need to change this setting, then you must uninstall and reinstall.
  • 別の Azure AD Connect サーバーをインストールする場合は、前に使用したのと同じ sourceAnchor 属性を選択する必要があります。If you install another Azure AD Connect server, then you must select the same sourceAnchor attribute as previously used. 以前に DirSync を使用していて Azure AD Connect に移行する場合は、objectGUID を使用する必要があります。これは、DirSync で使用される属性です。If you have earlier been using DirSync and move to Azure AD Connect, then you must use objectGUID since that is the attribute used by DirSync.
  • Azure AD へのオブジェクトのエクスポート後に sourceAnchor の値を変更すると、Azure AD Connect Sync からエラーがスローされます。問題を解決してソース ディレクトリで sourceAnchor を元に戻すまでは、そのオブジェクトをそれ以上変更できなくなります。If the value for sourceAnchor is changed after the object has been exported to Azure AD, then Azure AD Connect sync throws an error and does not allow any more changes on that object before the issue has been fixed and the sourceAnchor is changed back in the source directory.

sourceAnchor としての ms-DS-ConsistencyGuid の使用Using ms-DS-ConsistencyGuid as sourceAnchor

Azure AD Connect (バージョン 1.1.486.0 以前) では既定で、objectGUID が sourceAnchor 属性として使用されます。By default, Azure AD Connect (version 1.1.486.0 and older) uses objectGUID as the sourceAnchor attribute. ObjectGUID はシステムによって生成されます。ObjectGUID is system-generated. その値を、オンプレミスの AD オブジェクトを作成するときに自分で指定することはできません。You cannot specify its value when creating on-premises AD objects. sourceAnchor」セクションで説明したように、シナリオによっては、sourceAnchor の値を自分で指定する必要があります。As explained in section sourceAnchor, there are scenarios where you need to specify the sourceAnchor value. そのシナリオが自分に当てはまる場合は、設定によって変更できる AD 属性 (ms-DS-ConsistencyGuid など) を sourceAnchor 属性として使用してください。If the scenarios are applicable to you, you must use a configurable AD attribute (for example, ms-DS-ConsistencyGuid) as the sourceAnchor attribute.

Azure AD Connect (バージョン 1.1.524.0 以降) では、ms-DS-ConsistencyGuid 機能が sourceAnchor 属性として使用できるようになりました。Azure AD Connect (version 1.1.524.0 and after) now facilitates the use of ms-DS-ConsistencyGuid as sourceAnchor attribute. この機能を使用すると、次のことを行う同期規則が Azure AD Connect によって自動的に構成されます。When using this feature, Azure AD Connect automatically configures the synchronization rules to:

  1. ユーザー オブジェクトの場合、sourceAnchor 属性として ms-DS-ConsistencyGuid が使用されます。Use ms-DS-ConsistencyGuid as the sourceAnchor attribute for User objects. その他の種類のオブジェクトでは、ObjectGUID が使用されます。ObjectGUID is used for other object types.

  2. ms-DS-ConsistencyGuid 属性の値が設定されていないオンプレミスの AD ユーザー オブジェクトについては、その objectGUID の値がオンプレミス Active Directory の ms-DS-ConsistencyGuid 属性に書き戻されます。For any given on-premises AD User object whose ms-DS-ConsistencyGuid attribute isn't populated, Azure AD Connect writes its objectGUID value back to the ms-DS-ConsistencyGuid attribute in on-premises Active Directory. ms-DS-ConsistencyGuid 属性に値が設定された後、そのオブジェクトが Azure AD Connect によって Azure AD にエクスポートされます。After the ms-DS-ConsistencyGuid attribute is populated, Azure AD Connect then exports the object to Azure AD.

注意

オンプレミス AD オブジェクトが Azure AD Connect にインポートされた (つまり、AD のコネクタ スペースにインポートされてメタバースに反映された) 後は、その sourceAnchor の値は変更できなくなります。Once an on-premises AD object is imported into Azure AD Connect (that is, imported into the AD Connector Space and projected into the Metaverse), you cannot change its sourceAnchor value anymore. 特定のオンプレミス AD オブジェクトに対して sourceAnchor の値を指定するには、そのオブジェクトが Azure AD Connect にインポートされる前に、その ms-DS-ConsistencyGuid 属性を構成してください。To specify the sourceAnchor value for a given on-premises AD object, configure its ms-DS-ConsistencyGuid attribute before it is imported into Azure AD Connect.

必要なアクセス許可Permission required

この機能を利用するためには、オンプレミス Active Directory との同期に使用する AD DS アカウントに、オンプレミス Active Directory 内の ms-DS-ConsistencyGuid 属性への書き込みアクセス許可を付与する必要があります。For this feature to work, the AD DS account used to synchronize with on-premises Active Directory must be granted write permission to the ms-DS-ConsistencyGuid attribute in on-premises Active Directory.

ConsistencyGuid 機能を有効にする方法 - 新規インストールHow to enable the ConsistencyGuid feature - New installation

新規インストール時に ConsistencyGuid の使用を sourceAnchor として有効にすることができます。You can enable the use of ConsistencyGuid as sourceAnchor during new installation. このセクションでは、高速インストールとカスタム インストールの両方を詳細に説明します。This section covers both Express and Custom installation in details.

注意

新規インストール時に ConsistencyGuid を sourceAnchor として使用することは、新しいバージョンの Azure AD Connect (1.1.524.0 以降) でのみサポートされています。Only newer versions of Azure AD Connect (1.1.524.0 and after) support the use of ConsistencyGuid as sourceAnchor during new installation.

ConsistencyGuid 機能を有効にする方法How to enable the ConsistencyGuid feature

高速インストールExpress Installation

Azure AD Connect を高速モードでインストールする場合、sourceAnchor 属性として最適な AD 属性が Azure AD Connect ウィザードによって自動的に決定されます。その際、以下のロジックが使用されます。When installing Azure AD Connect with Express mode, the Azure AD Connect wizard automatically determines the most appropriate AD attribute to use as the sourceAnchor attribute using the following logic:

  • まず、以前の Azure AD Connect インストール (存在する場合) で sourceAnchor 属性として使用されていた AD 属性を、Azure AD Connect ウィザードが Azure AD テナントに照会して取得します。First, the Azure AD Connect wizard queries your Azure AD tenant to retrieve the AD attribute used as the sourceAnchor attribute in the previous Azure AD Connect installation (if any). この情報が判明した場合は、同じ AD 属性が使用されます。If this information is available, Azure AD Connect uses the same AD attribute.

    注意

    インストール時に使用される sourceAnchor 属性についての情報を Azure AD テナントに格納するのは、新しいバージョンの Azure AD Connect (1.1.524.0 以降) のみです。Only newer versions of Azure AD Connect (1.1.524.0 and after) store information in your Azure AD tenant about the sourceAnchor attribute used during installation. それより前のバージョンの Azure AD Connect には該当しません。Older versions of Azure AD Connect do not.

  • 使用されている sourceAnchor 属性の情報がない場合、ウィザードがオンプレミスの Active Directory で ms-DS-ConsistencyGuid 属性の状態を確認します。If information about the sourceAnchor attribute used isn't available, the wizard checks the state of the ms-DS-ConsistencyGuid attribute in your on-premises Active Directory. この属性がディレクトリ内のどのオブジェクトに対しても構成されていない場合、ms-DS-ConsistencyGuid が sourceAnchor 属性として使用されます。If the attribute isn't configured on any object in the directory, the wizard uses the ms-DS-ConsistencyGuid as the sourceAnchor attribute. ディレクトリ内の少なくとも 1 つのオブジェクトに対してこの属性が構成済みであった場合は、この属性が他のアプリケーションによって使用されており、sourceAnchor 属性としては適さないと判断されます。If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and is not suitable as sourceAnchor attribute...

  • その場合は、代わりに objectGUID が sourceAnchor 属性として使用されます。In which case, the wizard falls back to using objectGUID as the sourceAnchor attribute.

  • sourceAnchor 属性が決まると、その情報が Azure AD テナントに格納されます。Once the sourceAnchor attribute is decided, the wizard stores the information in your Azure AD tenant. この情報は、その後 Azure AD Connect のインストールに使用されます。The information will be used by future installation of Azure AD Connect.

高速インストールが完了すると、ソース アンカー属性として選択された属性が、ウィザードから通知されます。Once Express installation completes, the wizard informs you which attribute has been picked as the Source Anchor attribute.

sourceAnchor として選択された AD 属性がウィザードから通知される

カスタム インストールCustom installation

カスタム モードで Azure AD Connect をインストールする場合、Azure AD Connect ウィザードで sourceAnchor 属性を構成するときに 2 つのオプションが表示されます。When installing Azure AD Connect with Custom mode, the Azure AD Connect wizard provides two options when configuring sourceAnchor attribute:

カスタム インストール - sourceAnchor 構成

SettingSetting 説明Description
ソース アンカーの管理を Azure に任せるLet Azure manage the source anchor for me Azure AD に属性を選択させる場合は、このオプションを選択します。Select this option if you want Azure AD to pick the attribute for you. このオプションを選択した場合、Azure AD Connect ウィザードで高速インストール時に使用される sourceAnchor 属性の選択ロジックが同じように適用されます。If you select this option, Azure AD Connect wizard applies the same sourceAnchor attribute selection logic used during Express installation. 高速インストールと同様、どの属性がソース アンカー属性として選択されたかは、カスタム インストールの完了後、ウィザードに表示されます。Similar to Express installation, the wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
特有の属性A specific attribute sourceAnchor 属性として既存の AD 属性を指定する場合は、このオプションを選択します。Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

ConsistencyGuid 機能を有効にする方法 - 既存のデプロイHow to enable the ConsistencyGuid feature - Existing deployment

ソース アンカー属性として objectGUID を使用する Azure AD Connect のデプロイが既にある場合は、代わりに ConsistencyGuid を使用するよう切り替えることができます。If you have an existing Azure AD Connect deployment which is using objectGUID as the Source Anchor attribute, you can switch it to using ConsistencyGuid instead.

注意

ソース アンカー属性として ObjectGuid から ConsistencyGuid への切り替えをサポートするのは、新しいバージョンの Azure AD Connect (1.1.552.0 以降) のみです。Only newer versions of Azure AD Connect (1.1.552.0 and after) support switching from ObjectGuid to ConsistencyGuid as the Source Anchor attribute.

ソース アンカー属性を ObjectGuid から ConsistencyGuid に切り替えるには:To switch from objectGUID to ConsistencyGuid as the Source Anchor attribute:

  1. Azure AD Connect ウィザードを起動し、 [構成] をクリックしてタスク画面に移動します。Start the Azure AD Connect wizard and click Configure to go to the Tasks screen.

  2. [Configure Source Anchor(ソース アンカーを構成)] タスク オプションを選択して、 [次へ] をクリックします。Select the Configure Source Anchor task option and click Next.

    既存のデプロイで ConsistencyGuid を有効にする - 手順 2

  3. Azure AD の管理者資格情報を入力し、 [次へ] をクリックします。Enter your Azure AD Administrator credentials and click Next.

  4. オンプレミスの Active Directory で ms-DS-ConsistencyGuid 属性の状態が Azure AD Connect ウィザードによって解析されます。Azure AD Connect wizard analyzes the state of the ms-DS-ConsistencyGuid attribute in your on-premises Active Directory. 属性がディレクトリ内のどのオブジェクトにも構成されていない場合、Azure AD Connect はその属性を使用しているアプリケーションは現在なく、ソース アンカー属性として使用しても問題がないと判断します。If the attribute isn't configured on any object in the directory, Azure AD Connect concludes that no other application is currently using the attribute and is safe to use it as the Source Anchor attribute. [次へ] をクリックして続行します。Click Next to continue.

    既存のデプロイで ConsistencyGuid を有効にする - 手順 4

  5. [構成の準備完了] 画面で、 [構成] をクリックし構成を変更します。In the Ready to Configure screen, click Configure to make the configuration change.

    既存のデプロイで ConsistencyGuid を有効にする - 手順 5

  6. 構成が完了すると、ウィザードに、ms-DS-ConsistencyGuid がソース アンカー属性として使用されていることが示されます。Once the configuration completes, the wizard indicates that ms-DS-ConsistencyGuid is now being used as the Source Anchor attribute.

    既存のデプロイで ConsistencyGuid を有効にする - 手順 6

解析中 (手順 4) で、ディレクトリ内の少なくとも 1 つのオブジェクトに対してこの属性が構成済みであった場合は、この属性が他のアプリケーションによって使用されているとウィザードにより判断され、以下の図のようなエラーが返されます。During the analysis (step 4), if the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by another application and returns an error as illustrated in the diagram below. このエラーは、プライマリの Azure AD Connect サーバーで以前に ConsistencyGuid 機能を有効にしていて、同じ操作をステージング サーバーで実行しようした場合にも発生することがあります。This error can also occur if you have previously enabled the ConsistencyGuid feature on your primary Azure AD Connect server and you are trying to do the same on your staging server.

既存のデプロイで ConsistencyGuid を有効にする - エラー

属性が他の既存のアプリケーションで使用されていないことがわかっている場合は、 /SkipLdapSearch スイッチを指定して Azure AD Connect ウィザードを再起動することで、エラーを抑制することができます。If you are certain that the attribute isn't used by other existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearch switch specified. これを行うには、コマンド プロンプトで次のコマンドを実行します。To do so, run the following command in command prompt:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

AD FS の構成またはサードパーティのフェデレーションの構成に対する影響Impact on AD FS or third-party federation configuration

Azure AD Connect を使用してオンプレミス AD FS デプロイを管理している場合、同じ AD 属性を sourceAnchor として使用するように、要求規則が自動的に更新されます。If you are using Azure AD Connect to manage on-premises AD FS deployment, the Azure AD Connect automatically updates the claim rules to use the same AD attribute as sourceAnchor. これによって、ADFS によって生成される ImmutableID 要求と Azure AD にエクスポートされる sourceAnchor 値との整合性が確実に保たれます。This ensures that the ImmutableID claim generated by ADFS is consistent with the sourceAnchor values exported to Azure AD.

Azure AD Connect を使わずに AD FS を管理している場合や、サードパーティのフェデレーション サーバーを認証に使用している場合は、ImmutableID 要求の要求規則を手動で更新して、Azure AD にエクスポートされる sourceAnchor 値との整合性を確保する必要があります (「AD FS の要求規則を変更する」を参照)。If you are managing AD FS outside of Azure AD Connect or you are using third-party federation servers for authentication, you must manually update the claim rules for ImmutableID claim to be consistent with the sourceAnchor values exported to Azure AD as described in article section Modify AD FS claim rules. インストールが完了するとウィザードから次の警告が返されます。The wizard returns the following warning after installation completes:

サード パーティのフェデレーション構成

既存のデプロイに対する新しいディレクトリの追加Adding new directories to existing deployment

既に ConsistencyGuid 機能を有効にして Azure AD Connect がデプロイされているとき、そのデプロイにもう 1 つディレクトリを追加する必要が生じたとしましょう。Suppose you have deployed Azure AD Connect with the ConsistencyGuid feature enabled, and now you would like to add another directory to the deployment. ディレクトリを追加しようとすると、そのディレクトリ内の ms-DS-ConsistencyGuid 属性の状態が Azure AD Connect ウィザードによってチェックされます。When you try to add the directory, Azure AD Connect wizard checks the state of the ms-DS-ConsistencyGuid attribute in the directory. ディレクトリ内の少なくとも 1 つのオブジェクトに対してこの属性が構成済みであった場合は、この属性が他のアプリケーションによって使用されていると判断され、以下の図のようなエラーが返されます。If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and returns an error as illustrated in the diagram below. 属性が既存のアプリケーションで使用されていないことがわかっている場合は、上記の説明のように /SkipLdapSearch スイッチを指定して Azure AD Connect ウィザードを再起動することでエラーを抑制できます。詳細については、サポートにお問い合わせください。If you are certain that the attribute isn't used by existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearch switch specified as described above or you need to contact Support for more information.

既存のデプロイに対する新しいディレクトリの追加

Azure AD のサインインAzure AD sign-in

オンプレミス ディレクトリを Azure AD に統合する場合、同期の設定がユーザーの認証方法に与える影響について理解することが重要です。While integrating your on-premises directory with Azure AD, it is important to understand how the synchronization settings can affect the way user authenticates. Azure AD では、userPrincipalName (UPN) がユーザーの認証に使用されます。Azure AD uses userPrincipalName (UPN) to authenticate the user. ただし、ユーザーを同期する場合は、userPrincipalName の値として使用される属性を慎重に選択する必要があります。However, when you synchronize your users, you must choose the attribute to be used for value of userPrincipalName carefully.

userPrincipalName の属性を選択するChoosing the attribute for userPrincipalName

Azure で使用する UPN の値を指定するための属性を選択する場合、次のことを確認する必要があります。When you are selecting the attribute for providing the value of UPN to be used in Azure one should ensure

  • 属性値が UPN の構文 (RFC 822) に準拠していること (つまり、username@domain の形式になっていること)The attribute values conform to the UPN syntax (RFC 822), that is it should be of the format username@domain
  • 値のサフィックスが、Azure AD で確認済みのカスタム ドメインのいずれかに一致することThe suffix in the values matches to one of the verified custom domains in Azure AD

簡単設定では、属性の値として userPrincipalName が想定されます。In express settings, the assumed choice for the attribute is userPrincipalName. Azure にサインインする必要のあるユーザーの値が userPrincipalName 属性に含まれていない場合は、 カスタム インストールを行う必要があります。If the userPrincipalName attribute does not contain the value you want your users to sign in to Azure, then you must choose Custom Installation.

カスタム ドメインの状態と UPNCustom domain state and UPN

確認済みのドメインを UPN のサフィックスとして使用することが重要です。It is important to ensure that there is a verified domain for the UPN suffix.

John は、contoso.com に属するユーザーです。John is a user in contoso.com. Azure AD ディレクトリ azurecontoso.onmicrosoft.com にユーザーを同期した後、John がオンプレミスの UPN である @contoso.com を使って Azure にサインインする必要があるとします。You want John to use the on-premises UPN john@contoso.com to sign in to Azure after you have synced users to your Azure AD directory contoso.onmicrosoft.com. この場合は、ユーザーの同期を開始する前に、contoso.com を Azure AD にカスタム ドメインとして追加する必要があります。To do so, you need to add and verify contoso.com as a custom domain in Azure AD before you can start syncing the users. John の UPN サフィックス (この例では contoso.com) が Azure AD で確認済みのドメインと一致しない場合、UPN サフィックスは azurecontoso.onmicrosoft.com に置き換えられます。If the UPN suffix of John, for example contoso.com, does not match a verified domain in Azure AD, then Azure AD replaces the UPN suffix with contoso.onmicrosoft.com.

ルーティング不可能なオンプレミス ドメインと Azure AD の UPNNon-routable on-premises domains and UPN for Azure AD

組織によっては、contoso.local のようにルーティング不可能なドメインや、contoso のような単純な単一ラベルのドメインなどが存在します。Some organizations have non-routable domains, like contoso.local, or simple single label domains like contoso. ルーティング不可能なドメインは Azure AD では確認できません。You are not able to verify a non-routable domain in Azure AD. Azure AD Connect は、Azure AD で確認済みのドメインのみに対して同期できます。Azure AD Connect can sync to only a verified domain in Azure AD. Azure AD ディレクトリを作成すると、ルーティング可能なドメインが作成され、そのドメインが Azure AD の既定のドメインになります (例: contoso.onmicrosoft.com)。When you create an Azure AD directory, it creates a routable domain that becomes default domain for your Azure AD for example, contoso.onmicrosoft.com. そのため、既定の onmicrosoft.com ドメインに同期しないシナリオでは、他のルーティング可能なドメインを確認することが必要になります。Therefore, it becomes necessary to verify any other routable domain in such a scenario in case you don't want to sync to the default onmicrosoft.com domain.

ドメインの追加と確認の詳細については、「 Azure Active Directory へのカスタム ドメイン名の追加 」を参照してください。Read Add your custom domain name to Azure Active Directory for more info on adding and verifying domains.

ルーティング不可能なドメイン環境で実行している場合、その環境が Azure AD Connect で検出され、簡単設定を続行するかどうかについて適切な警告が表示されます。Azure AD Connect detects if you are running in a non-routable domain environment and would appropriately warn you from going ahead with express settings. ルーティング不可能なドメインで運用している場合は、ユーザーの UPN でもルーティング不可能なサフィックスが使用されている可能性があります。If you are operating in a non-routable domain, then it is likely that the UPN, of the users, have non-routable suffixes too. たとえば、contoso.local で運用している場合、Azure AD Connect では簡単設定を使用するのではなく、カスタム設定を使用するように推奨されます。For example, if you are running under contoso.local, Azure AD Connect suggests you to use custom settings rather than using express settings. カスタム設定を使用すると、ユーザーの Azure AD への同期後に Azure へのサインインで UPN として使用する属性を指定できます。Using custom settings, you are able to specify the attribute that should be used as UPN to sign in to Azure after the users are synced to Azure AD.

次の手順Next steps

オンプレミス ID と Azure Active Directory の統合」をご覧ください。Learn more about Integrating your on-premises identities with Azure Active Directory.