ディレクトリ同期のために非ルーティング ドメインの準備を整えるPrepare a non-routable domain for directory synchronization

オンプレミス ディレクトリを Microsoft 365 と同期する場合は、Azure Active Directory (Azure Active Directory) に検証済みのドメインをAD。When you synchronize your on-premises directory with Microsoft 365, you have to have a verified domain in Azure Active Directory (Azure AD). オンプレミスの Active Directory ドメイン サービス (DS) ドメインに関連付けられているユーザー プリンシパル名 (UPN) AD同期されます。Only the User Principal Names (UPNs) that are associated with the on-premises Active Directory Domain Services (AD DS) domain are synchronized. ただし、.local など、アウトできないドメインを含む UPN (例: billa@contoso.local) は、.onmicrosoft.com ドメイン (例: billa@contoso.onmicrosoft.com) に同期されます。However, any UPN that contains a non-routable domain, such as ".local" (example: billa@contoso.local), will be synchronized to an .onmicrosoft.com domain (example: billa@contoso.onmicrosoft.com).

現在、AD DS のユーザー アカウントに .local" ドメインを使用している場合は、Microsoft 365 ドメインと適切に同期するために、billa@contoso.com などの検証済みドメインを使用するドメインを変更してください。If you currently use a ".local" domain for your user accounts in AD DS, it's recommended that you change them to use a verified domain, such as billa@contoso.com, in order to properly synchronize with your Microsoft 365 domain.

オンプレミスドメインが .local の場合は、どうしますか?What if I only have a ".local" on-premises domain?

Azure AD Connect を使用して、Microsoft 365 ADの Azure ADテナントに DS を同期します。You use Azure AD Connect for synchronizing your AD DS to the Azure AD tenant of your Microsoft 365 tenant. 詳細については、「オンプレミス ID と Azure ID の統合」を参照AD。For more information, see Integrating your on-premises identities with Azure AD.

Azure AD Connect は、ユーザーの UPN とパスワードを同期し、ユーザーがオンプレミスで使用するのと同じ資格情報でサインインできます。Azure AD Connect synchronizes your users' UPN and password so that users can sign in with the same credentials they use on-premises. ただし、Azure AD Connect は、Microsoft 365 によって検証されたドメインにのみユーザーを同期します。However, Azure AD Connect only synchronizes users to domains that are verified by Microsoft 365. つまり、Microsoft 365 ID は Azure ADによって管理されるので、ドメインは Azure AD。This means that the domain also is verified by Azure AD because Microsoft 365 identities are managed by Azure AD. つまり、ドメインは有効なインターネット ドメイン (.com、.org、.net、.us など) である必要があります。In other words, the domain has to be a valid Internet domain (such as, .com, .org, .net, .us). 内部の AD DS で使用するドメインが、ラウトできないドメイン (".local"など) のみを使用している場合、Microsoft 365 テナントの検証済みドメインと一致しない可能性があります。If your internal AD DS only uses a non-routable domain (for example, ".local"), this can't possibly match the verified domain you have for your Microsoft 365 tenant. この問題を解決するには、オンプレミスのドメイン DS でプライマリ ドメインAD、または 1 つ以上の UPN サフィックスを追加します。You can fix this issue by either changing your primary domain in your on-premises AD DS, or by adding one or more UPN suffixes.

プライマリ ドメインを変更するChange your primary domain

プライマリ ドメインを Microsoft 365 で確認したドメインに変更します (たとえば、contoso.com。Change your primary domain to a domain you have verified in Microsoft 365, for example, contoso.com. その後、ドメイン contoso.local を持つすべてのユーザーが、contoso.com。Every user that has the domain contoso.local is then updated to contoso.com. ただし、これは非常に複雑なプロセスであり、より簡単なソリューションについては、次のセクションで説明します。This is a very involved process, however, and an easier solution is described in the following section.

UPN サフィックスを追加してユーザーを更新するAdd UPN suffixes and update your users to them

microsoft 365 で確認したドメイン (またはドメイン) に一致する新しい UPN サフィックスまたはサフィックスを AD DS に登録することで、.local の問題を解決できます。You can solve the ".local" problem by registering new UPN suffix or suffixes in AD DS to match the domain (or domains) you verified in Microsoft 365. 新しいサフィックスを登録した後、ユーザー の UPN を更新して、ユーザー アカウントが新しいドメイン名に置き換 billa@contoso.com。After you register the new suffix, you update the user UPNs to replace the ".local" with the new domain name, for example, so that a user account looks like billa@contoso.com.

確認済みドメインを使用するために UPN を更新した後、オンプレミスのドメイン DS を Microsoft 365 とADする準備が整いました。After you have updated the UPNs to use the verified domain, you are ready to synchronize your on-premises AD DS with Microsoft 365.

手順 1: 新しい UPN サフィックスを追加する**Step 1: Add the new UPN suffix**

  1. DS ドメイン ADで、[ツール] [Active Directoryドメインと信頼] > を選択しますOn the AD DS domain controller, in the Server Manager choose Tools > Active Directory Domains and Trusts.

    または (Windows Server 2012 を所有していない場合)Or, if you don't have Windows Server 2012

    Windows キー + R を押して [実行] ダイアログ開き、「Domain.msc」と入力してから [OK] を選択します。Press Windows key + R to open the Run dialog, and then type in Domain.msc, and then choose OK.

    [Active Directory ドメインと信頼関係] を選択します。

  2. [Active Directory ドメインと信頼] ウィンドウで 、[Active Directory ドメイン と信頼] を右クリックし、[プロパティ] を 選択しますIn the Active Directory Domains and Trusts window, right-click Active Directory Domains and Trusts, and then choose Properties.

    [Active Directory ドメインと信頼] を右クリックし、[プロパティ] を選択します。

  3. [UPN サフィックス] タブの [代替の UPN サフィックス] ボックスに、新しいサフィックスを入力して [追加] > [適用] を選択します。On the UPN Suffixes tab, in the Alternative UPN Suffixes box, type your new UPN suffix or suffixes, and then choose Add > Apply.

    新しい UPN サフィックスを追加します

    サフィックスの追加が完了したら、[OK] を選択します。Choose OK when you're done adding suffixes.

手順 2: 既存のユーザーの UPN サフィックスを変更するStep 2: Change the UPN suffix for existing users

  1. DS ドメイン コントローラー ADサーバー マネージャーで、[ツール] [Active Directory ユーザーとコンピューター] > を選択しますOn the AD DS domain controller, in the Server Manager choose Tools > Active Directory Users and Computers.

    または (Windows Server 2012 を所有していない場合)Or, if you don't have Windows Server 2012

    Windows キー + R を押して [実行] ダイアログ開き、「Dsa.msc」と入力してから [OK] を選択します。Press Windows key + R to open the Run dialog, and then type in Dsa.msc, and then click OK

  2. ユーザーを選択し、右クリックして [プロパティ] を選択します。Select a user, right-click, and then choose Properties.

  3. [アカウント] タブの UPN サフィックス ドロップダウン リストで、新しい UPN サフィックスを選択してから [OK] をクリックします。On the Account tab, in the UPN suffix drop-down list, choose the new UPN suffix, and then choose OK.

    ユーザーの新しい UPN サフィックスを追加する

  4. すべてのユーザに対して、ここまでの手順を実行します。Complete these steps for every user.

PowerShell を使用してすべてのユーザーの UPN サフィックスを変更するUse PowerShell to change the UPN suffix for all of your users

更新するユーザー アカウントが多い場合は、PowerShell を使用する方が簡単です。If you have a lot of user accounts to update, it's easier to use PowerShell. 次の例では 、Get-ADUserSet-ADUser コマンドレットを使用して、すべての contoso.local サフィックスを DS 内の contoso.com にADします。The following example uses the cmdlets Get-ADUser and Set-ADUser to change all contoso.local suffixes to contoso.com in AD DS.

たとえば、次の PowerShell コマンドを実行して、すべての contoso.local サフィックスを次のコマンドに更新 contoso.com。For example, you could run the following PowerShell commands to update all contoso.local suffixes to contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

詳細については、「Active Directory Windows PowerShell モジュール」を参照して、DS でのWindows PowerShellをADしてください。See Active Directory Windows PowerShell module to learn more about using Windows PowerShell in AD DS.