Prepare for directory synchronization to Microsoft 365 (Microsoft 365 へのディレクトリ同期を準備する)Prepare for directory synchronization to Microsoft 365

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

組織のハイブリッド id とディレクトリ同期の利点は次のとおりです。The benefits to hybrid identity and directory synchronization your organization include:

  • 組織内の管理プログラムを減らすReducing the administrative programs in your organization
  • オプションでシングルサインオンのシナリオを有効にするOptionally enabling single sign-on scenario
  • Microsoft 365 でのアカウントの変更の自動化Automating account changes in Microsoft 365

ディレクトリ同期を使用する利点の詳細については、「 Azure Active directory (AZURE AD) を使用したハイブリッド id 」および「 Microsoft 365 のハイブリッド id」を参照してください。For more information about the advantages of using directory synchronization, see hybrid identity with Azure Active Directory (Azure AD) and hybrid identity for Microsoft 365.

ただし、ディレクトリ同期では、Active Directory ドメインサービス (AD DS) が、少なくとも1つのエラーを含む Microsoft 365 サブスクリプションの Azure AD テナントに同期するように計画と準備を行う必要があります。However, directory synchronization requires planning and preparation to ensure that your Active Directory Domain Services (AD DS) synchronizes to the Azure AD tenant of your Microsoft 365 subscription with a minimum of errors.

最適な結果を得るために、以下の手順を実行します。Follow these steps in order for the best results.

1. ディレクトリクリーンアップタスク1. Directory cleanup tasks

AD DS を Azure AD テナントと同期する前に、AD DS をクリーンアップする必要があります。Before you synchronize your AD DS to your Azure AD tenant, you need to clean up your AD DS.

重要

同期する前に AD DS のクリーンアップを実行しないと、展開プロセスに重大な悪影響を与える可能性があります。If you don't perform AD DS cleanup before you synchronize, it can lead to a significant negative impact on the deployment process. ディレクトリ同期のサイクルを経て、エラーを特定し、再同期を実行するまでに、数日または数週間かかる場合があります。It might take days, or even weeks, to go through the cycle of directory synchronization, identifying errors, and re-synchronization.

AD DS で、Microsoft 365 ライセンスが割り当てられる各ユーザーアカウントに対して次のクリーンアップタスクを実行します。In your AD DS, complete the following clean-up tasks for each user account that will be assigned a Microsoft 365 license:

  1. ProxyAddresses属性に、有効な一意の電子メールアドレスを指定します。Ensure a valid and unique email address in the proxyAddresses attribute.

  2. ProxyAddresses属性の重複する値を削除します。Remove any duplicate values in the proxyAddresses attribute.

  3. 可能であれば、ユーザーのユーザーオブジェクトのuserPrincipalName属性の有効な一意の値を確認してください。If possible, ensure a valid and unique value for the userPrincipalName attribute in the user's user object. 最適な同期処理を行うには、AD DS UPN が Azure AD UPN に一致していることを確認してください。For the best synchronization experience, ensure that the AD DS UPN matches the Azure AD UPN. ユーザーが userPrincipalName 属性の値を持っていない場合は、 ユーザー オブジェクトに sAMAccountName 属性の有効な一意の値が含まれている必要があります。If a user does not have a value for the userPrincipalName attribute, then the user object must contain a valid and unique value for the sAMAccountName attribute. UserPrincipalName属性の重複する値を削除します。Remove any duplicate values in the userPrincipalName attribute.

  4. グローバルアドレス一覧 (GAL) を最適に使用するには、AD DS ユーザーアカウントの次の属性の情報が正しいことを確認してください。For optimal use of the global address list (GAL), ensure the information in the following attributes of the AD DS user account is correct:

    • givenNamegivenName
    • surnamesurname
    • displayNamedisplayName
    • 役職Job Title
    • 部署Department
    • 事業所Office
    • 事業所電話番号Office Phone
    • 携帯電話番号Mobile Phone
    • FAX 番号Fax Number
    • 番地Street Address
    • 都市City
    • 都道府県State or Province
    • 郵便番号Zip or Postal Code
    • 国または地域Country or Region

2. ディレクトリオブジェクトと属性の準備2. Directory object and attribute preparation

AD DS と Microsoft 365 の間のディレクトリ同期を正常に行うには、AD DS 属性が適切に準備されている必要があります。Successful directory synchronization between your AD DS and Microsoft 365 requires that your AD DS attributes are properly prepared. たとえば、Microsoft 365 環境と同期されている特定の属性に特定の文字が使用されないようにする必要があります。For example, you need to ensure that specific characters aren't used in certain attributes that are synchronized with the Microsoft 365 environment. 予期しない文字によってディレクトリ同期が失敗することはありませんが、警告が返されることがあります。Unexpected characters do not cause directory synchronization to fail but might return a warning. 無効な文字は、ディレクトリ同期が失敗する原因となります。Invalid characters will cause directory synchronization to fail.

一部の AD DS ユーザーが1つ以上の重複した属性を持っている場合も、ディレクトリ同期は失敗します。Directory synchronization will also fail if some of your AD DS users have one or more duplicate attributes. 各ユーザーは固有の属性を持つ必要があります。Each user must have unique attributes.

準備する必要がある属性を以下に示します。The attributes that you need to prepare are listed here:

  • displayNamedisplayName

    • 属性が user オブジェクトに存在する場合は、Microsoft 365 と同期されます。If the attribute exists in the user object, it will be synchronized with Microsoft 365.
    • この属性が user オブジェクトに存在する場合は、その値を指定する必要があります。If this attribute exists in the user object, there must be a value for it. つまり、属性を空白にすることはできません。That is, the attribute must not be blank.
    • 最大文字数: 256Maximum number of characters: 256
  • givenNamegivenName

    • 属性が user オブジェクトに存在する場合、その属性は Microsoft 365 と同期されますが、Microsoft 365 では要求も使用もされません。If the attribute exists in the user object, it will be synchronized with Microsoft 365, but Microsoft 365 does not require or use it.
    • 最大文字数:64Maximum number of characters: 64
  • mailmail

    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

      注意

      重複する値がある場合、値を持つ最初のユーザーが同期されます。If there are duplicate values, the first user with the value is synchronized. 今後のユーザーは、Microsoft 365 に表示されません。Subsequent users will not appear in Microsoft 365. Microsoft 365 の値を変更するか、両方のユーザーを Microsoft 365 に表示するために、AD DS の両方の値を変更する必要があります。You must modify either the value in Microsoft 365 or modify both of the values in AD DS in order for both users to appear in Microsoft 365.

  • mailNickname (Exchange エイリアス)mailNickname (Exchange alias)

    • 属性値はピリオド (.) で始めることはできません。The attribute value cannot begin with a period (.).

    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

      注意

      同期名のアンダスコア ("") は、この属性の元の値に無効な文字が含まれていることを示します。Underscores ("") in the synchronized name indicates that the original value of this attribute contains invalid characters. この属性の詳細については、「 Exchange alias attribute」を参照してください。For more information on this attribute, see Exchange alias attribute.

  • proxyAddressesproxyAddresses

    • 複数値の属性Multiple-value attribute

    • 値あたりの最大文字数: 256Maximum number of characters per value: 256

    • 属性の値にスペースを含めることはできません。The attribute value must not contain a space.

    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

    • 無効な文字: < > ();, [] "'Invalid characters: < > ( ) ; , [ ] " '

      無効な文字は、SMTP:User@contso.com が許可されていても、SMTP:user:M@contoso.com は許可されていませんが、型区切り記号の後の文字と ":" に適用されることに注意してください。Note that the invalid characters apply to the characters following the type delimiter and ":", such that SMTP:User@contso.com is allowed, but SMTP:user:M@contoso.com is not.

      重要

      すべての簡易メール転送プロトコル (SMTP) アドレスは、電子メールメッセージング標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards. 重複しているまたは不要なアドレスが存在する場合は、ヘルプトピックの「 Exchange での重複および不要なプロキシアドレスの削除」を参照してください。If duplicate or unwanted addresses exist, see the Help topic Removing duplicate and unwanted proxy addresses in Exchange.

  • sAMAccountNamesAMAccountName

    • 最大文字数:20Maximum number of characters: 20
    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.
    • 無効な文字: [\ "|,/: < > + =;?Invalid characters: [ \ " | , / : < > + = ; ? * ']* ']
    • ユーザーの sAMAccountName 属性が無効で、 userPrincipalName 属性が有効な場合、ユーザーアカウントは Microsoft 365 で作成されます。If a user has an invalid sAMAccountName attribute but has a valid userPrincipalName attribute, the user account is created in Microsoft 365.
    • SAMAccountNameuserPrincipalNameの両方が無効な場合は、AD DS userPrincipalName属性を更新する必要があります。If both sAMAccountName and userPrincipalName are invalid, the AD DS userPrincipalName attribute must be updated.
  • sn (姓)sn (surname)

    • 属性が user オブジェクトに存在する場合、その属性は Microsoft 365 と同期されますが、Microsoft 365 では要求も使用もされません。If the attribute exists in the user object, it will be synchronized with Microsoft 365, but Microsoft 365 does not require or use it.
  • targetAddresstargetAddress

    ユーザーに対して設定されている targetAddress 属性 (たとえば、SMTP:tom@contoso.com) を MICROSOFT 365 GAL に表示する必要があります。It's required that the targetAddress attribute (for example, SMTP:tom@contoso.com) that's populated for the user must appear in the Microsoft 365 GAL. サードパーティ製のメッセージング移行シナリオでは、AD DS の Microsoft 365 スキーマ拡張が必要になります。In third-party messaging migration scenarios, this would require the Microsoft 365 schema extension for the AD DS. また、Microsoft 365 スキーマ拡張機能は、AD DS からのディレクトリ同期ツールを使用して設定された Microsoft 365 オブジェクトを管理するための便利な属性も追加します。The Microsoft 365 schema extension would also add other useful attributes to manage Microsoft 365 objects that are populated by using a directory synchronization tool from AD DS. たとえば、非表示のメールボックスまたは配布グループを管理する msExchHideFromAddressLists 属性が追加されます。For example, the msExchHideFromAddressLists attribute to manage hidden mailboxes or distribution groups would be added.

    • 最大文字数: 256Maximum number of characters: 256
    • 属性の値にスペースを含めることはできません。The attribute value must not contain a space.
    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.
    • 無効な文字: \ < > ();, [] "Invalid characters: \ < > ( ) ; , [ ] "
    • すべての簡易メール転送プロトコル (SMTP) アドレスは、電子メールメッセージング標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
  • userPrincipalNameuserPrincipalName

    • UserPrincipalName属性は、ユーザー名の後にアットマーク記号 (@) とドメイン名が続く、インターネットスタイルのサインイン形式にする必要があります。たとえば、user@contoso.com のようにします。The userPrincipalName attribute must be in the Internet-style sign-in format where the user name is followed by the at sign (@) and a domain name: for example, user@contoso.com. すべての簡易メール転送プロトコル (SMTP) アドレスは、電子メールメッセージング標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
    • UserPrincipalName属性の最大文字数は113です。The maximum number of characters for the userPrincipalName attribute is 113. アットマーク (@) の前後には、次のように特定の文字数が許可されます。A specific number of characters are permitted before and after the at sign (@), as follows:
    • アットマーク (@) の前にあるユーザー名の最大文字数:64Maximum number of characters for the username that is in front of the at sign (@): 64
    • アットマーク記号 (@) の後に続くドメイン名の最大文字数:48Maximum number of characters for the domain name following the at sign (@): 48
    • 無効な文字: % & * +/=?Invalid characters: \ % & * + / = ? { } | < > ( ) ; : , [ ] " '{ } | < > ( ) ; : , [ ] " '
    • 使用可能な文字: A ~ Z、a ~ z、0 ~ 9、'。Characters allowed: A – Z, a - z, 0 – 9, ' . - _ !- _ ! # ^ ~# ^ ~
    • ウムラウト、アクセント、ティルダなどのアクセント記号の付いた文字は、無効な文字です。Letters with diacritical marks, such as umlauts, accents, and tildes, are invalid characters.
    • userPrincipalName 値には @ 文字が必要です。The @ character is required in each userPrincipalName value.
    • userPrincipalName 値の先頭文字に @ 文字を使用することはできません。The @ character cannot be the first character in each userPrincipalName value.
    • ユーザー名の末尾には、ピリオド (.)、アンパサンド ( & )、スペース、アットマーク (@) を使用することはできません。The username cannot end with a period (.), an ampersand (&), a space, or an at sign (@).
    • ユーザー名にスペースを含めることはできません。The username cannot contain any spaces.
    • ルーティング可能なドメインを使用する必要があります。たとえば、ローカルまたは内部のドメインを使用することはできません。Routable domains must be used; for example, local or internal domains cannot be used.
    • Unicode は、アンダースコア文字に変換されます。Unicode is converted to underscore characters.
    • userPrincipalName には、ディレクトリ内に重複する値を含めることはできません。userPrincipalName cannot contain any duplicate values in the directory.

3. userPrincipalName 属性を準備する3. Prepare the userPrincipalName attribute

Active Directory は、組織内のエンドユーザーが sAMAccountName または userPrincipalNameのいずれかを使用してディレクトリにサインインできるように設計されています。Active Directory is designed to allow the end users in your organization to sign in to your directory by using either sAMAccountName or userPrincipalName. 同様に、エンドユーザーは、職場または学校のアカウントのユーザープリンシパル名 (UPN) を使用して、Microsoft 365 にサインインできます。Similarly, end users can sign in to Microsoft 365 by using the user principal name (UPN) of their work or school account. ディレクトリ同期では、AD DS 内の同じ UPN を使用して、Azure Active Directory で新しいユーザーを作成しようとしています。Directory synchronization attempts to create new users in Azure Active Directory by using the same UPN that's in your AD DS. UPN は、電子メールアドレスのように書式設定されます。The UPN is formatted like an email address.

Microsoft 365 では、UPN は電子メールアドレスの生成に使用される既定の属性です。In Microsoft 365, the UPN is the default attribute that's used to generate the email address. UserPrincipalName (ad DS および Azure ad) とproxyAddressesのプライマリ電子メールアドレスは、異なる値に設定するのが簡単です。It's easy to get userPrincipalName (in AD DS and in Azure AD) and the primary email address in proxyAddresses set to different values. 複数の値が設定されている場合、管理者とエンドユーザーに混乱が生じることがあります。When they are set to different values, there can be confusion for administrators and end users.

これらの属性を調整して混乱を軽減することをお勧めします。It's best to align these attributes to reduce confusion. Active Directory フェデレーションサービス (AD FS) 2.0 を使用したシングルサインオンの要件を満たすには、Azure Active Directory と AD DS の Upn が一致し、有効なドメイン名前空間を使用していることを確認する必要があります。To meet the requirements of single sign-on with Active Directory Federation Services (AD FS) 2.0, you need to ensure that the UPNs in Azure Active Directory and your AD DS match and are using a valid domain namespace.

4. AD DS に代替 UPN サフィックスを追加する4. Add an alternative UPN suffix to AD DS

ユーザーの会社の資格情報を Microsoft 365 環境に関連付けるには、代替 UPN サフィックスを追加する必要がある場合があります。You may need to add an alternative UPN suffix to associate the user's corporate credentials with the Microsoft 365 environment. UPN サフィックスは、@ 文字の右側の UPN の一部です。A UPN suffix is the part of a UPN to the right of the @ character. シングル サインオンに使用する UPN には文字、数字、ピリオド、ダッシュ、アンダースコアを含めることができますが、その他の種類の文字を含めることはできません。UPNs that are used for single sign-on can contain letters, numbers, periods, dashes, and underscores, but no other types of characters.

Active Directory に代替 UPN サフィックスを追加する方法の詳細については、「 ディレクトリ同期の準備」を参照してください。For more information on how to add an alternative UPN suffix to Active Directory, see Prepare for directory synchronization.

5. AD DS UPN と Microsoft 365 UPN を一致させる5. Match the AD DS UPN with the Microsoft 365 UPN

ディレクトリ同期が既にセットアップされている場合、Microsoft 365 用のユーザーの UPN は、AD DS で定義されているユーザーの AD DS UPN と一致しない可能性があります。If you've already set up directory synchronization, the user's UPN for Microsoft 365 may not match the user's AD DS UPN that's defined in your AD DS. ドメインが確認される前にユーザーにライセンスを割り当てた場合、この状況が発生することがあります。This can occur when a user was assigned a license before the domain was verified. この問題を解決するには、PowerShell を使用して重複した upn を修正 し、MICROSOFT 365 upn が企業ユーザー名とドメインと一致するようにします。To fix this, use PowerShell to fix duplicate UPN to update the user's UPN to ensure that the Microsoft 365 UPN matches the corporate user name and domain. AD DS で UPN を更新していて、Azure Active Directory id と同期する必要がある場合は、AD DS で変更を行う前に、Microsoft 365 でユーザーのライセンスを削除する必要があります。If you are updating the UPN in the AD DS and would like it to synchronize with the Azure Active Directory identity, you need to remove the user's license in Microsoft 365 prior to making the changes in AD DS.

また 、ディレクトリ同期にルーティング不能なドメイン (たとえば、ローカルドメイン) を準備する方法についても説明します。Also see How to prepare a non-routable domain (such as .local domain) for directory synchronization.

次の手順Next steps

上記の手順 1 ~ 5 を実行した場合は、「 ディレクトリ同期をセットアップする」を参照してください。If you have done steps 1 through 5 above, see Set up directory synchronization.