同期エラーのトラブルシューティング

  • 10 分

Windows Server Active Directory (AD DS) から Microsoft Entra ID に ID データが同期されるとき、エラーが発生する可能性があります。 このセクションでは、さまざまな種類の同期エラーの概要、これらのエラーを引き起こすシナリオ、エラーを修正する方法について説明します。 このセクションでは一般的なエラーの種類を取り上げます。発生する可能性があるすべてのエラーを網羅しているわけではありません。

Microsoft Entra Connect の最新バージョンでは、同期エラーのレポートは Azure portal で Microsoft Entra Connect Health for sync の一部として提供されます。

Microsoft Entra Connect は、同期を保つディレクトリに対して 3 種類の操作 (インポート、同期、エクスポート) を実行します。 エラーは、どの操作でも発生する可能性があります。 このセクションでは、主に、Microsoft Entra ID へのエクスポートの間のエラーについて説明します。

Microsoft Entra ID へのエクスポート中のエラー

後のセクションでは、Microsoft Entra コネクタを使った Microsoft Entra ID へのエクスポート操作の間に発生する可能性のあるさまざまな種類の同期エラーについて説明します。 このコネクタは、名前の形式が contoso.onmicrosoft.com であることで識別できます。 Microsoft Entra ID へのエクスポート中のエラーは、Microsoft Entra Connect (同期エンジン) が Microsoft Entra ディレクトリに対して試みた操作 (追加、更新、削除など) が失敗したことを意味します。

Screenshot of the Export Errors Overview page in Microsoft Entra Connect.

データの不一致エラー

InvalidSoftMatch

説明

  • Microsoft Entra Connect (同期エンジン) がオブジェクトの追加または更新をディレクトリに指示すると、Microsoft Entra ID は、受け取ったオブジェクトの sourceAnchor 属性を使って、Microsoft Entra ID 内のオブジェクトの immutableId 属性と照合します。 このように照合されたものは、完全一致と呼ばれます。
  • Microsoft Entra ID は、受け取ったオブジェクトの sourceAnchor 属性と immutableId 属性が一致するオブジェクトが見つからないと、新しいオブジェクトをプロビジョニングする前に、ProxyAddresses と UserPrincipalName 属性を使った一致するものの検索にフォールバックします。 このように照合されたものは、あいまい一致と呼ばれます。 ソフト マッチは、Microsoft Entra ID 内に既に存在するオブジェクトと、同期中に追加/更新された、オンプレミスで同じエンティティ (ユーザー、グループ) を表す新しいオブジェクトをマッチさせるように設計されています。
  • InvalidSoftMatch エラーが発生するのは、完全一致で一致するオブジェクトが見つからない場合かつ、あいまい一致によって一致するオブジェクトが見つかるが、そのオブジェクトの immutableId の値が受け取るオブジェクトの SourceAnchor と異なる場合です。このエラーは、一致するオブジェクトが、オンプレミス Active Directory の別のオブジェクトと同期されたことを示します。

つまり、あいまい一致が機能するためには、あいまい一致の対象となるオブジェクトに immutableId の値があってはなりません。 immutableId に値が設定されているオブジェクトで完全一致が行われないが、あいまい一致の基準を満たす場合は、操作が InvalidSoftMatch 同期エラーで終了します。

Microsoft Entra のディレクトリ スキーマでは、次の属性について複数のオブジェクトが同じ値を持つことはできません。 (これは包括的なリストではありません。)

  • ProxyAddresses
  • UserPrincipalName
  • onPremisesSecurityIdentifier
  • ObjectId

Microsoft Entra の重複属性の回復性機能も、Microsoft Entra ID の既定の動作としてロールアウトされます。 これにより、オンプレミス AD 環境に存在する重複した ProxyAddresses 属性や UserPrincipalName 属性を Microsoft Entra ID が処理する方法の回復性が向上することで、Microsoft Entra Connect (および他の同期クライアント) によって検出される同期エラーの数が減少します。 この機能では重複エラーは修正されません。 したがって、データの修正は必要です。 ただし、この機能がないと Microsoft Entra ID での重複値のためにプロビジョニングがブロックされる新しいオブジェクトのプロビジョニングは許可されます。 これにより、同期クライアントに返される同期エラーの数も減少します。 テナントでこの機能が有効になっている場合、新しいオブジェクトのプロビジョニング中に InvalidSoftMatch 同期エラーは生成されません。

InvalidSoftMatch のシナリオ例

  • ProxyAddresses 属性の値が同じ複数のオブジェクトがオンプレミス Active Directory に存在します。 1 つだけが Microsoft Entra ID でプロビジョニングされます。
  • userPrincipalName 属性の値が同じ複数のオブジェクトがオンプレミス Active Directory に存在するとします。 1 つだけが Microsoft Entra ID でプロビジョニングされます。
  • あるオブジェクトがオンプレミスの Active Directory に追加され、その ProxyAddresses 属性の値が Microsoft Entra ディレクトリの既存のオブジェクトのものと同じです。 オンプレミスに追加されたオブジェクトは、Microsoft Entra ディレクトリではプロビジョニングされません。
  • あるオブジェクトがオンプレミスの Active Directory に追加され、その userPrincipalName 属性の値が Microsoft Entra ID のアカウントのものと同じです。 そのオブジェクトは、Microsoft Entra ID ではプロビジョニングされません。
  • 同期されたアカウントが、フォレスト A からフォレスト B に移動されました。Microsoft Entra Connect (同期エンジン) は、ObjectGUID 属性を使って SourceAnchor を計算しました。 フォレストの移動の後で、SourceAnchor の値は変わります。 新しいオブジェクト (フォレスト B) は、Microsoft Entra ID の既存のオブジェクトと同期できません。
  • 同期されたオブジェクトが、オンプレミスの Active Directory から誤って削除されました。その後、Microsoft Entra ID でアカウントを削除せずに、同じエンティティ (ユーザーなど) に対する新しいオブジェクトが、Active Directory に作成されました。 新しいアカウントは、既存の Microsoft Entra オブジェクトと同期できません。
  • Microsoft Entra Connect がアンインストールされ、再インストールされました。 再インストール時に、別の属性が SourceAnchor として選択されました。 以前同期されていたすべてのオブジェクトは、InvalidSoftMatch エラーにより同期を停止しました。

事例:

  1. Bob Smith は、contoso.com のオンプレミスの Active Directory から同期された、Microsoft Entra ID のユーザーです

  2. Bob Smith の UserPrincipalNamebobs@contoso.com として設定されています。

  3. "abcdefghijklmnopqrstuv==" は、Microsoft Entra Connect によってオンプレミスの Active Directory からの Bob Smith のobjectGUID を使って計算された SourceAnchor であり、Microsoft Entra ID での Bob Smith の immutableId です。

  4. Bob には、proxyAddresses 属性に次の値もあります。

    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com

  5. 新しいユーザー Bob Taylor がオンプレミス Active Directory に追加されます。

  6. Bob Taylor の UserPrincipalNamebobt@contoso.com として設定されています。

  7. "abcdefghijkl0123456789=="" は、Microsoft Entra Connect によってオンプレミスの Active Directory からの Bob Taylor のobjectGUID を使って計算された sourceAnchor です。 Bob Taylor のオブジェクトはまだ Microsoft Entra ID に同期されていません。

  8. Bob Taylor には、proxyAddresses 属性に次の値もあります。

    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
    • smtp: bob@contoso.com

  9. 同期中に、Microsoft Entra Connect はオンプレミスの Active Directory で Bob Taylor が追加されたことを認識し、同じ変更を行うよう Microsoft Entra ID に依頼します。

  10. Microsoft Entra ID は、最初に完全一致を実行します。 つまり、immutableId が "abcdefghijkl0123456789==" と等しいオブジェクトがないかどうか検索します。 Microsoft Entra ID の他のオブジェクトにはその immutableId がないため、完全一致は失敗します。

  11. 次に、Microsoft Entra ID は、Bob Taylor のあいまい一致を試みます。 つまり、proxyAddresses が smtp: bob@contoso.com など 3 つの値と等しいオブジェクトがないか検索します。

  12. Microsoft Entra ID は、あいまい一致条件を満たす Bob Smith のオブジェクトを見つけます。 このオブジェクトの immutableId の値は "abcdefghijklmnopqrstuv==" です。 これは、このオブジェクトがオンプレミスの Active Directory の別のオブジェクトから同期されたことを示します。 したがって、Microsoft Entra ID はこれらのオブジェクトのあいまい一致を行うことができず、InvalidSoftMatch 同期エラーが発生します。

InvalidSoftMatch エラーを修正する方法

InvalidSoftMatch エラーの最も一般的な理由は、SourceAnchor (immutableId) が異なる 2 つのオブジェクトの、ProxyAddresses 属性と UserPrincipalName 属性の一方または両方の値が同じである場合です。Microsoft Entra ID では、これらがあいまい一致プロセスの間に使われます。 無効なあいまい一致を修正するには

  1. エラーの原因となった、重複する proxyAddresses 属性、userPrincipalName 属性、または他の属性の値を特定します。 また、どの 2 つ (以上) のオブジェクトが競合しているかも特定します。 Microsoft Entra Connect Health for Sync によって生成されるレポートが、2 つのオブジェクトを特定するために役立ちます。
  2. 重複した値をそのまま使用するオブジェクトと、使用すべきでないオブジェクトを決めます。
  3. 重複する値を、その値を使用すべきでないオブジェクトから削除します。 そのオブジェクトのソースであるディレクトリで、この変更を行う必要があります。 場合によっては、競合しているオブジェクトの 1 つを削除する必要があります。
  4. オンプレミスの AD で変更を行った場合は、Microsoft Entra Connect で変更を同期します。

Microsoft Entra Connect Health for Sync の同期エラーレポートは 30 分ごとに更新され、最新の同期試行のエラーが含まれます。

Note

ImmutableId は、名前が示すとおり、オブジェクトの存続期間中に変更すべきではありません。 Microsoft Entra Connect の構成で上の一覧のシナリオの一部が考慮されなかった場合、使い続けたい既存の Microsoft Entra オブジェクトと同じエンティティ (同じユーザー、グループ、連絡先など) を表す AD オブジェクトに対し、Microsoft Entra Connect が異なる SourceAnchor 値を計算するという状況が発生する可能性があります。

ObjectTypeMismatch

説明

Microsoft Entra ID が 2 つのオブジェクトのあいまい一致を試みたとき、"オブジェクトの種類" (ユーザー、グループ、連絡先など) が異なる 2 つのオブジェクトが、あいまい一致の実行に使われる属性に対して同じ値を持っている場合があります。 これらの属性の重複は Microsoft Entra では許されないため、操作は "ObjectTypeMismatch" 同期エラーになる可能性があります。

ObjectTypeMismatch エラーのシナリオ例

  • メール対応セキュリティ グループが Microsoft 365 で作成されます。 管理者は、ProxyAddresses 属性の値が Microsoft 365 グループと同じ新しいユーザーまたは連絡先を (まだ Microsoft Entra ID に同期されていない) オンプレミスの AD に追加します。

事例

  1. 管理者が、税部門のために新しいメール対応セキュリティ グループを Microsoft 365 に作成し、電子メール アドレスを tax@contoso.com と設定します。 このグループには、smtp: tax@contoso.com の ProxyAddresses 属性値が割り当てられています。
  2. 新しいユーザーが Contoso.com に加わり、そのユーザーのアカウントが proxyAddress を smtp: tax@contoso.com としてオンプレミスに作成されます。
  3. Microsoft Entra Connect が新しいユーザー アカウントを同期するとき、"ObjectTypeMismatch" エラーが発生します。

ObjectTypeMismatch エラーを修正する方法

ObjectTypeMismatch エラーの最も一般的な原因は、異なる種類 (ユーザー、グループ、連絡先など) の 2 つのオブジェクトの ProxyAddresses 属性の値が同じであることです。 ObjectTypeMismatch を修正するには:

  1. エラーの原因となった、重複する proxyAddresses 属性 (または他の属性) の値を特定します。 また、どの 2 つ (以上) のオブジェクトが競合しているかも特定します。 Microsoft Entra Connect Health for Sync によって生成されるレポートが、2 つのオブジェクトを特定するために役立ちます。
  2. 重複した値をそのまま使用するオブジェクトと、使用すべきでないオブジェクトを決めます。
  3. 重複する値を、その値を使用すべきでないオブジェクトから削除します。 そのオブジェクトのソースであるディレクトリで、この変更を行う必要があります。 場合によっては、競合しているオブジェクトの 1 つを削除する必要があります。
  4. オンプレミスの AD で変更を行った場合は、Microsoft Entra Connect で変更を同期します。 Microsoft Entra Connect Health for sync の同期エラー レポートは 30 分ごとに更新され、最新の同期試行のエラーが含まれます。

重複する属性

AttributeValueMustBeUnique

説明

Microsoft Entra のスキーマでは、次の属性について複数のオブジェクトが同じ値を持つことはできません。 つまり、Microsoft Entra ID の各オブジェクトは、任意のインスタンスにおいて、これらの属性の一意の値を持つように強制されます。

  • ProxyAddresses
  • UserPrincipalName

Microsoft Entra Connect が追加しようとした新規オブジェクトまたは更新しようとした既存オブジェクトの上記の属性の値が、Microsoft Entra ID の別のオブジェクトに既に割り当てられている場合、その操作は "AttributeValueMustBeUnique" 同期エラーになります。

考えられるシナリオ:

重複する値が、既に同期済みのオブジェクトに割り当てられます。これによって、別の同期オブジェクトとの競合が発生します。

事例:

  1. Bob Smith は、contoso.com のオンプレミスの Active Directory から同期された、Microsoft Entra ID のユーザーです

  2. Bob Smith のオンプレミスでの UserPrincipalNamebobs@contoso.com として設定されています。

  3. Bob には、proxyAddresses 属性に次の値もあります。

    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com

  4. 新しいユーザー Bob Taylor がオンプレミス Active Directory に追加されます。

  5. Bob Taylor の UserPrincipalNamebobt@contoso.com として設定されています。

  6. Bob Taylor には、ProxyAddresses 属性に次の値もあります。i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

  7. Bob Taylor のオブジェクトは、Microsoft Entra ID と正常に同期されます。

  8. 管理者は Bob Taylor の ProxyAddresses 属性を i. smtp: bob@contoso.com という値で更新することにしました。

  9. Microsoft Entra ID は、Bob Taylor の Microsoft Entra ID 内のオブジェクトを上記の値で更新しようとしますが、その ProxyAddresses の値は Bob Smith に既に割り当てられているため、操作は失敗し、"AttributeValueMustBeUnique" エラーになります。

AttributeValueMustBeUnique エラーを修正する方法

AttributeValueMustBeUnique エラーの最も一般的な理由は、2 つのオブジェクトの異なる SourceAnchor (immutableId) の ProxyAddresses または UserPrincipalName の各属性 (あるいは両方) の値が同じであることです。 AttributeValueMustBeUnique エラーを修正するには、次の手順に従います。

  1. エラーの原因となった、重複する proxyAddresses 属性、userPrincipalName 属性、または他の属性の値を特定します。 また、どの 2 つ (以上) のオブジェクトが競合しているかも特定します。 Microsoft Entra Connect Health for Sync によって生成されるレポートが、2 つのオブジェクトを特定するために役立ちます。
  2. 重複した値をそのまま使用するオブジェクトと、使用すべきでないオブジェクトを決めます。
  3. 重複する値を、その値を使用すべきでないオブジェクトから削除します。 そのオブジェクトのソースであるディレクトリで、この変更を行う必要があります。 場合によっては、競合しているオブジェクトの 1 つを削除する必要があります。
  4. オンプレミスの AD で変更を行った場合は、エラーを修正するために Microsoft Entra Connect で変更を同期します。

データ検証の失敗

IdentityDataValidationFailed

説明

Microsoft Entra ID は、データそのものにさまざまな制約を適用した上で、ディレクトリへのデータの書き込みを許可します。 これらの制限により、そのようなデータに依存するアプリケーションをエンド ユーザーが使用する際に、最適なエクスペリエンスを得ることができます。

シナリオ

UserPrincipalName 属性値に無効な文字またはサポートされていない文字が含まれています。 b. UserPrincipalName 属性が必要な形式ではありません。

IdentityDataValidationFailed エラーを修正する方法

userPrincipalName 属性の文字がサポートされており、必要な形式であることを確認します。

FederatedDomainChangeError

説明

これにより、ユーザーの UserPrincipalName のサフィックスがあるフェデレーション ドメインから別のフェデレーション ドメインに変更された場合に "FederatedDomainChangeError" 同期エラーが発生することになります。

シナリオ

同期されたユーザーで、オンプレミスの UserPrincipalName のサフィックスが、あるフェデレーション ドメインから別のフェデレーション ドメインに変更されました。 たとえば、UserPrincipalName = bob@contoso.comUserPrincipalName = bob@fabrikam.com に変更されました。

  1. Contoso.com のアカウントである Bob Smith が、新しいユーザーとして UserPrincipalName bob@contoso.com で Active Directory に追加されます。
  2. Bob が Contoso.com の別の部門 Fabrikam.com に移動し、UserPrincipalName が bob@fabrikam.com に変更されます。
  3. contoso.com ドメインと fabrikam.com ドメインはどちらも、Microsoft Entra ID とのフェデレーション ドメインです。
  4. Bob の userPrincipalName は更新されず、"FederatedDomainChangeError" 同期エラーが発生します。

LargeObject

説明

Microsoft Entra のスキーマで設定されている許容サイズ制限、長さ制限、または個数制限を属性が超えると、同期操作は LargeObject または ExceededAllowedLength 同期エラーになります。 通常、このエラーは次の属性について発生します。

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

考えられるシナリオ

  1. Bob の userCertificate 属性に格納されている、Bob に割り当てられた証明書の数が多すぎます。 期限切れの古い証明書が含まれている可能性があります。 ハード制限は、証明書 15 個です。
  2. Bob の userSMIMECertificate 属性に格納されている、Bob に割り当てられた証明書の数が多すぎます。 期限切れの古い証明書が含まれている可能性があります。 ハード制限は、証明書 15 個です。
  3. Active Directory で設定された Bob の thumbnailPhoto が大きすぎて、Microsoft Entra ID で同期できません。
  4. Active Directory での ProxyAddresses 属性の自動作成時に、オブジェクトに割り当てられた ProxyAddresses が多すぎます。

修正方法

エラーを引き起こした属性が、許可されている制限内になるようにします。

管理者ロールの競合

説明

既存の管理者ロールの競合は、ユーザー オブジェクトに次のものがある場合に、同期中にそのユーザー オブジェクトに対して発生します。

  • 管理権限、および
  • 既存の Microsoft Entra オブジェクトと同じ UserPrincipalName

Microsoft Entra Connect では、オンプレミスの AD のユーザー オブジェクトと、Microsoft Entra ID の管理ロールが割り当てられているユーザー オブジェクトの、あいまい一致を行うことはできません。

Screenshot of the Microsoft Entra Connect screen with the Existing Admin field selected.

修正方法

この問題を解決するには、次の操作を行ってください。

  1. Microsoft Entra アカウント (所有者) をすべての管理者ロールから削除する。
  2. 検疫済みオブジェクトをクラウドから物理的に削除する。
  3. クラウド アカウントに対するオンプレミス ユーザーのあいまい一致を次の同期サイクルで対処します。(クラウド ユーザーはグローバル GA ではなくなっているため)。
  4. 所有者のロールのメンバーシップを復元する。

Note

オンプレミスのユーザー オブジェクトと Microsoft Entra のユーザー オブジェクトの間のあいまい一致が完了した後で、管理ロールを既存のユーザー オブジェクトにもう一度割り当てることができます。