Prepare for directory synchronization to Microsoft 365 (Microsoft 365 へのディレクトリ同期を準備する)

  • [アーティクル]

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。

手順 2 でハイブリッド ID モデルを選択し、このソリューションの 手順3 で管理者アカウントとユーザー アカウントの保護を構成した場合、次のタスクはディレクトリ同期をデプロイすることです。 organizationのディレクトリ同期の利点は次のとおりです。

  • organizationの管理プログラムの削減
  • 必要に応じてシングル サインオン シナリオを有効にする
  • Microsoft 365 でのアカウント変更の自動化

ディレクトリ同期を使用する利点の詳細については、「Microsoft Entra ID を持つハイブリッド ID」を参照してください。

ただし、ディレクトリ同期では、Active Directory Domain Services (AD DS) が Microsoft 365 サブスクリプションのMicrosoft Entra テナントと最小限のエラーで同期されるようにするための計画と準備が必要です。

最適な結果を得るには、次の手順に従います。

注:

ASCII 以外の文字は、AD DS ユーザー アカウントの属性に対して同期されません。

AD DS の準備

同期を使用して Microsoft 365 にシームレスに移行できるようにするには、Microsoft 365 ディレクトリ同期の展開を開始する前に AD DS フォレストを準備する必要があります。

ディレクトリの準備では、次のタスクに焦点を当てる必要があります。

  • 重複する proxyAddress 属性と userPrincipalName 属性を削除します。

  • 有効な userPrincipalName 属性を使用して、空白および無効な userPrincipalName 属性を更新します。

  • givenName、surname ( sn)、sAMAccountNamedisplayNamemailproxyAddressesmailNicknameuserPrincipalName 属性の無効で疑わしい文字を削除します。 属性の準備の詳細については、「 Azure Active Directory 同期ツールによって同期される属性の一覧」を参照してください。

    注:

    これらは、Connect が同期Microsoft Entra同じ属性です。

複数フォレストのデプロイに関する考慮事項

複数のフォレストと SSO オプションの場合は、Microsoft Entra Connect のカスタム インストールを使用します。

organizationに認証用のフォレスト (ログオン フォレスト) が複数ある場合は、次のことを強くお勧めします。

  • フォレストを統合することを検討してください。 一般に、複数のフォレストを維持するために必要なオーバーヘッドが増えています。 organizationに、個別のフォレストの必要性を決定するセキュリティ制約がない限り、オンプレミス環境を簡素化することを検討してください。
  • プライマリ ログオン フォレストでのみ使用します。 Microsoft 365 の初期ロールアウトのために、プライマリ ログオン フォレストにのみ Microsoft 365 を展開することを検討してください。

マルチフォレスト AD DS 展開を統合できない場合、または他のディレクトリ サービスを使用して ID を管理している場合は、Microsoft またはパートナーの助けを借りて同期できる可能性があります。

詳細については、「Microsoft Entra Connect のトポロジ」を参照してください。

ディレクトリ同期に依存する機能

ディレクトリ同期は、次の機能に必要です。

  • Microsoft Entra シームレス シングル サインオン (SSO)
  • Skype の共存
  • Exchange ハイブリッド展開(次を含む):
    • オンプレミスの Exchange 環境と Microsoft 365 の間の完全に共有されたグローバル アドレス一覧 (GAL)。
    • 異なるメール・システムからの GAL 情報の同期。
    • Microsoft 365 サービス オファリングにユーザーを追加したり、ユーザーを削除したりできます。 これには、次のものが必要です。
      • ディレクトリ同期のセットアップ中に双方向同期を構成する必要があります。 既定では、ディレクトリ同期ツールはディレクトリ情報のみをクラウドに書き込みます。 双方向同期を構成する場合は、ライトバック機能を有効にして、限られた数のオブジェクト属性がクラウドからコピーされ、ローカル AD DS に書き戻されるようにします。 ライトバックは、Exchange ハイブリッド モードとも呼ばれます。
    • オンプレミスの Exchange ハイブリッド展開。
    • 一部のユーザー メールボックスを Microsoft 365 に移動し、他のユーザー メールボックスをオンプレミスに保持する機能。
    • オンプレミスの安全な送信者とブロックされた送信者は、Microsoft 365 にレプリケートされます。
    • 基本的な委任と電子メールの送信機能。
    • 統合されたオンプレミスのスマート カードまたは多要素認証ソリューションがあります。
  • 写真、サムネイル、会議室、セキュリティ グループの同期

1. ディレクトリ クリーンアップ タスク

AD DS を Microsoft Entra テナントに同期する前に、AD DS をクリーンする必要があります。

重要

同期する前に AD DS クリーンアップを実行しないと、展開プロセスに大きな悪影響を及ぼす可能性があります。 ディレクトリ同期、エラーの特定、再同期のサイクルを実行するには、数日または数週間かかる場合があります。

AD DS で、Microsoft 365 ライセンスが割り当てられるユーザー アカウントごとに、次のクリーンタスクを完了します。

  1. proxyAddresses 属性で有効で一意のメール アドレスを確認します。

  2. proxyAddresses 属性に重複する値が存在する場合は削除します。

  3. 可能であれば、ユーザーのユーザー オブジェクトのuserPrincipalName 属性の有効な一意の値を確認します。 最適な同期エクスペリエンスを得るには、AD DS UPN が Microsoft Entra UPN と一致していることを確認します。 ユーザーに userPrincipalName 属性の値がない場合、 ユーザー オブジェクトには sAMAccountName 属性の有効な一意の値が含まれている必要があります。 userPrincipalName 属性に重複する値が存在する場合は削除します。

  4. グローバル アドレス一覧 (GAL) を最適に使用するために、AD DS ユーザー アカウントの次の属性の情報が正しいことを確認します。

    • givenName
    • surname
    • displayName
    • 役職
    • 部署
    • 事業所
    • 事業所電話番号
    • 携帯電話番号
    • FAX 番号
    • 番地
    • 都市
    • 都道府県
    • 郵便番号
    • 国または地域

2. ディレクトリ オブジェクトと属性の準備

AD DS と Microsoft 365 の間でディレクトリ同期が成功するには、AD DS 属性が適切に準備されている必要があります。 たとえば、Microsoft 365 環境と同期される特定の属性で特定の文字が使用されないようにする必要があります。 予期しない文字ではディレクトリ同期が失敗しませんが、警告が返される可能性があります。 無効な文字を指定すると、ディレクトリ同期が失敗します。

また、一部の AD DS ユーザーが 1 つ以上の重複属性を持っている場合、ディレクトリ同期は失敗します。 各ユーザーには一意の属性が必要です。

準備する必要がある属性を次に示します。

  • displayName

    • 属性がユーザー オブジェクトに存在する場合は、Microsoft 365 と同期されます。
    • この属性がユーザー オブジェクトに存在する場合は、値が必要です。 つまり、属性を空白にしないでください。
    • 最大文字数: 256 文字

  • givenName

    • 属性がユーザー オブジェクトに存在する場合、属性は Microsoft 365 と同期されますが、Microsoft 365 では必要ありません。また、使用することもできません。
    • 最大文字数: 64 文字

  • mail

    • 属性値は、ディレクトリ内で一意である必要があります。

      注:

      値が重複している場合は、値を持つ最初のユーザーが同期されます。 以降のユーザーは Microsoft 365 には表示されません。 両方のユーザーが Microsoft 365 に表示されるようにするには、Microsoft 365 の値を変更するか、AD DS の両方の値を変更する必要があります。

  • mailNickname (Exchange エイリアス)

    • 属性値はピリオド (.) で始めることはできません。

    • 属性値は、ディレクトリ内で一意である必要があります。

      注:

      同期された名前のアンダースコア ("_") は、この属性の元の値に無効な文字が含まれていることを示します。 この属性の詳細については、「 Exchange エイリアス属性」を参照してください。

  • proxyAddresses

    • 複数値属性

    • 値あたりの最大文字数: 256 文字

    • 属性値にスペースを含めてはなりません。

    • 属性値は、ディレクトリ内で一意である必要があります。

    • 無効な文字: <> ( ) ; 、 [ ] "

    • ウムラウト、アクセント、チルダなど、ディアクリティカルマークを持つ文字は無効な文字です。

      無効な文字は、SMTP: は許可されますが、SMTP:user:User@contso.comM@contoso.com は許可されていないので、型区切り記号と ":"に続く文字に適用されます。

      重要

      すべての簡易メール トランスポート プロトコル (SMTP) アドレスは、電子メール メッセージング標準に準拠している必要があります。 重複または不要なアドレスが存在する場合は削除します。

  • sAMAccountName

    • 最大文字数: 20 文字
    • 属性値は、ディレクトリ内で一意である必要があります。
    • 無効な文字: [ \ " | 、 / : <> + = ; ? * ']
    • ユーザーに無効な sAMAccountName 属性があり、有効な userPrincipalName 属性がある場合、ユーザー アカウントは Microsoft 365 で作成されます。
    • sAMAccountNameuserPrincipalName の両方が無効な場合は、AD DS userPrincipalName 属性を更新する必要があります。

  • sn (surname)

    • 属性がユーザー オブジェクトに存在する場合、属性は Microsoft 365 と同期されますが、Microsoft 365 では必要ありません。また、使用することもできません。

  • targetAddress

    ユーザーに設定された targetAddress 属性 (SMTP:tom@contoso.comなど) は、Microsoft 365 GAL に表示する必要があります。 サード パーティのメッセージング移行シナリオでは、AD DS の Microsoft 365 スキーマ拡張機能が必要になります。 Microsoft 365 スキーマ拡張機能では、AD DS のディレクトリ同期ツールを使用して設定された Microsoft 365 オブジェクトを管理するために、他の便利な属性も追加されます。 たとえば、非表示のメールボックスまたは配布グループを管理するための msExchHideFromAddressLists 属性が追加されます。

    • 最大文字数: 256 文字
    • 属性値にスペースを含めてはなりません。
    • 属性値は、ディレクトリ内で一意である必要があります。
    • 無効な文字: \ <> ( ) ; 、 [ ] "
    • すべての簡易メール トランスポート プロトコル (SMTP) アドレスは、電子メール メッセージング標準に準拠している必要があります。

  • userPrincipalName

    • userPrincipalName 属性は、ユーザー名の後にアット マーク (@) とドメイン名 (例: user@contoso.com) が続くインターネット スタイルのサインイン形式である必要があります。 すべての簡易メール トランスポート プロトコル (SMTP) アドレスは、電子メール メッセージング標準に準拠している必要があります。
    • userPrincipalName 属性の最大文字数は 113 文字です。 アット マーク (@) の前後には、次のように特定の文字数を使用できます。
    • アット マークの前にあるユーザー名の最大文字数 (@): 64
    • アット マーク (@) に続くドメイン名の最大文字数 (@): 48
    • 無効な文字: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • 使用できる文字: A ~ Z、a - z、0 ~ 9、' です。 - _ ! # ^ ~
    • ウムラウト、アクセント、チルダなど、ディアクリティカルマークを持つ文字は無効な文字です。
    • userPrincipalName 値には@ 文字が必要です。
    • @ 文字は、各 userPrincipalName 値の最初の文字にすることはできません。
    • ユーザー名はピリオド (.)、アンパサンド (&)、スペース、またはアット マーク (@) で終えることはできません。
    • ユーザー名にスペースを含めることはできません。
    • ルーティング可能なドメインを使用する必要があります。たとえば、ローカルドメインや内部ドメインは使用できません。
    • Unicode はアンダースコア文字に変換されます。
    • userPrincipalName には 、ディレクトリ内に重複する値を含めることはできません。

3. userPrincipalName 属性を準備する

Active Directory は、organizationのエンド ユーザーが sAMAccountName または userPrincipalName を使用してディレクトリにサインインできるように設計されています。 同様に、エンド ユーザーは、職場または学校アカウントのユーザー プリンシパル名 (UPN) を使用して Microsoft 365 にサインインできます。 ディレクトリ同期では、AD DS と同じ UPN を使用して、Microsoft Entra ID で新しいユーザーを作成しようとします。 UPN はメール アドレスのように書式設定されます。

Microsoft 365 では、UPN は電子メール アドレスの生成に使用される既定の属性です。 userPrincipalName (AD DS と Microsoft Entra ID) を取得し、proxyAddresses のプライマリ メール アドレスをさまざまな値に設定するのは簡単です。 異なる値に設定されている場合、管理者とエンド ユーザーが混乱する可能性があります。

混乱を減らすために、これらの属性を調整することをお勧めします。 Active Directory フェデレーション サービス (AD FS) (AD FS) 2.0 でのシングル サインオンの要件を満たすには、Microsoft Entra ID の UPN と AD DS が一致し、有効なドメイン名前空間を使用していることを確認する必要があります。

4. AD DS に別の UPN サフィックスを追加する

ユーザーの企業資格情報を Microsoft 365 環境に関連付けるために、別の UPN サフィックスを追加する必要がある場合があります。 UPN サフィックスは、@ 文字の右側の UPN の一部です。 シングル サインオンに使用する UPN には文字、数字、ピリオド、ダッシュ、アンダースコアを含めることができますが、その他の種類の文字を含めることはできません。

Active Directory に代替 UPN サフィックスを追加する方法の詳細については、「 ディレクトリ同期の準備」を参照してください。

5. AD DS UPN と Microsoft 365 UPN を一致させる

ディレクトリ同期を既に設定している場合、ユーザーの Microsoft 365 用 UPN が、AD DS で定義されているユーザーの AD DS UPN と一致しない可能性があります。 この条件は、ドメインが検証される前にユーザーにライセンスが割り当てられた場合に発生する可能性があります。 これを修正するには、 PowerShell を使用して重複する UPN を修正 し、ユーザーの UPN を更新して、Microsoft 365 UPN が会社のユーザー名とドメインと一致することを確認します。 AD DS で UPN を更新し、Microsoft Entra ID と同期する場合は、AD DS で変更を行う前に、Microsoft 365 でユーザーのライセンスを削除する必要があります。

ディレクトリ同期のためにルーティングできないドメイン (.local ドメインなど) を準備する方法に関するページも参照してください。

次の手順

手順 1 ~ 5 を完了したら、「 ディレクトリ同期を設定する」を参照してください。