ディレクトリ同期用にルーティング不可能なドメインを準備する

  • [アーティクル]

オンプレミス ディレクトリを Microsoft 365 と同期する場合は、Microsoft Entra IDに検証済みドメインが必要です。 オンプレミスの Active Directory Domain Services (AD DS) ドメインに関連付けられているユーザー プリンシパル名 (UPN) のみが同期されます。 ただし、(例: ) などの.localルーティング不可能なドメインを含む UPN は、ドメインに同期されます .onmicrosoft.com (例: billa@contoso.onmicrosoft.com)。 billa@contoso.local

現在、AD DS でユーザー アカウントのドメインを使用 .local している場合は、検証済みドメインを使用するように変更することをお勧めします。 たとえば、 は、 billa@contoso.comMicrosoft 365 ドメインと適切に同期するためです。

オンプレミス ドメインしかない .local 場合はどうなりますか?

Microsoft Entra Connect を使用して、AD DS を Microsoft 365 テナントのMicrosoft Entra テナントに同期します。 詳細については、「オンプレミス ID とMicrosoft Entra IDの統合」を参照してください。

Microsoft Entra Connect は、ユーザーの UPN とパスワードを同期して、ユーザーがオンプレミスで使用するのと同じ資格情報でサインインできるようにします。 ただし、Microsoft Entra Connect では、Microsoft 365 によって検証されたドメインにのみユーザーが同期されます。 Microsoft Entra IDは、Microsoft 365 ID を管理するドメインを検証します。 つまり、ドメインは有効なインターネット ドメイン (.com、.org、.NET、.us など) である必要があります。 内部 AD DS でルーティング不可能なドメイン (たとえば) のみが使用されている場合、 .localこれは、Microsoft 365 テナントに対して持っている検証済みドメインと一致しない可能性があります。 この問題を解決するには、オンプレミスの AD DS でプライマリ ドメインを変更するか、1 つ以上の UPN サフィックスを追加します。

プライマリ ドメインを変更する

プライマリ ドメインを、Microsoft 365 で確認したドメイン (たとえば、contoso.com) に変更します。 その後、ドメイン contoso.local を持つすべてのユーザーが contoso.com に更新されます。 ただし、これは関連するプロセスであり、次のセクションではより簡単な解決策について説明します。

UPN サフィックスを追加してユーザーをそのサフィックスに更新する

この問題を .local 解決するには、MICROSOFT 365 で確認したドメイン (またはドメイン) に一致するように、新しい UPN サフィックスまたはサフィックスを AD DS に登録します。 新しいサフィックスを登録した後、ユーザー アカウントが のようにbilla@contoso.com見えるように、ユーザー UPN を更新して、 を新しいドメイン名に置き換えます.local

検証済みドメインを使用するように UPN を更新した後、オンプレミスの AD DS を Microsoft 365 と同期する準備ができました。

手順 1: 新しい UPN サフィックスを追加する

  1. AD DS ドメイン コントローラーで、サーバー マネージャーで [ツール>] [Active Directory ドメインと信頼] を選択します。

    または (Windows Server 2012 を所有していない場合)

    Windows キー + R を押して [実行] ダイアログ開き、「Domain.msc」と入力してから [OK] を選択します。

    [Active Directory ドメインと信頼関係] を選択します。

  2. [Active Directory ドメインと信頼関係] ウィンドウで、[Active Directory ドメインと信頼関係] を右クリックして [プロパティ] を選択します。

    [Active Directory ドメインと信頼関係] を右クリックして [プロパティ] を選択します。

  3. [UPN サフィックス] タブの [代替 UPN サフィックス] ボックスに、新しい UPN サフィックスまたはサフィックスを入力し、[適用追加>] を選択します。

    新しい UPN サフィックスを追加します。

    サフィックスの追加が完了したら、[OK] を選択します。

手順 2: 既存ユーザーの UPN サフィックスを変更する

  1. AD DS ドメイン コントローラーで、サーバー マネージャーで [ツール>Active Directory ユーザーとコンピューター] を選択します。

    または (Windows Server 2012 を所有していない場合)

    Windows キー + R キーを押して [実行] ダイアログを開き、Dsa.msc と入力し、[OK] を選択します

  2. ユーザーを選択し、右クリックして [プロパティ] を選択します。

  3. [アカウント] タブの UPN サフィックス ドロップダウン リストで、新しい UPN サフィックスを選択してから [OK] をクリックします。

    ユーザーの新しい UPN サフィックスを追加する。

  4. すべてのユーザに対して、ここまでの手順を実行します。

すべてのユーザーの UPN サフィックスを変更するために PowerShell を使用する

更新するユーザー アカウントが多数ある場合は、PowerShell を使用する方が簡単です。 次の例では、Get-ADUser コマンドレットと Set-ADUser コマンドレットを使用して、AD DS のすべての contoso.local サフィックスを contoso.com に変更します。

たとえば、次の PowerShell コマンドを実行すると、すべての contoso.local サフィックスが contoso.com に更新されます。

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

AD DS の Windows PowerShell を使用する方法の詳細については、「Active Directory Windows PowerShell モジュール」を参照してください。