Office 365 へのディレクトリ同期の準備Prepare for directory synchronization to Office 365

この記事は、Office 365 Enterprise および Microsoft 365 Enterprise の両方に適用されます。This article applies to both Office 365 Enterprise and Microsoft 365 Enterprise.

組織のハイブリッド id とディレクトリ同期の利点は次のとおりです。The benefits to hybrid identity and directory synchronization your organization include:

  • 組織内の管理プログラムを減らすReducing the administrative programs in your organization
  • オプションでシングルサインオンのシナリオを有効にするOptionally enabling single sign-on scenario
  • Office 365 でのアカウントの変更の自動化Automating account changes in Office 365

ディレクトリ同期を使用する利点の詳細については、「 Office 365 のディレクトリ同期のロードマップ」および「ハイブリッド id」を参照してください。For more information about the advantages of using directory synchronization, see Directory synchronization roadmap and Hybrid identity for Office 365.

ただし、ディレクトリ同期では、Active Directory ドメインサービス (AD DS) が、少なくとも1つのエラーを含む Office 365 サブスクリプションの Azure Active Directory (Azure AD) テナントに同期されるように計画と準備を行う必要があります。However, directory synchronization requires planning and preparation to ensure that your Active Directory Domain Services (AD DS) synchronizes to the Azure Active Directory (Azure AD) tenant of your Office 365 subscription with a minimum of errors.

最適な結果を得るために、以下の手順を実行します。Follow these steps in order for the best results.

1. ディレクトリクリーンアップタスク1. Directory cleanup tasks

AD DS を Azure AD テナントと同期する前に、AD DS をクリーンアップする必要があります。Before you synchronize your AD DS to your Azure AD tenant, you need to clean up your AD DS.

重要

同期する前に AD DS のクリーンアップを実行しない場合は、展開プロセスに著しい悪影響を及ぼす可能性があります。If you don't perform AD DS cleanup before you synchronize, there can be a significant negative effect on the deployment process. ディレクトリ同期のサイクルを経て、エラーを特定し、再同期を実行するまでに、数日または数週間かかる場合があります。It might take days, or even weeks, to go through the cycle of directory synchronization, identifying errors, and re-synchronization.

AD DS で、Office 365 ライセンスが割り当てられる各ユーザーアカウントに対して次のクリーンアップタスクを実行します。In your AD DS, complete the following clean-up tasks for each user account that will be assigned an Office 365 license:

  1. ProxyAddresses属性に、有効な一意の電子メールアドレスを指定します。Ensure a valid and unique email address in the proxyAddresses attribute.

  2. ProxyAddresses属性の重複する値を削除します。Remove any duplicate values in the proxyAddresses attribute.

  3. 可能であれば、ユーザーのユーザーオブジェクトのuserPrincipalName属性の有効な一意の値を確認してください。If possible, ensure a valid and unique value for the userPrincipalName attribute in the user's user object. 最適な同期処理を行うには、AD DS UPN が Azure AD UPN に一致していることを確認してください。For the best synchronization experience, ensure that the AD DS UPN matches the Azure AD UPN. ユーザーがuserPrincipalName属性の値を持っていない場合は、ユーザーオブジェクトにsAMAccountName属性の有効な一意の値が含まれている必要があります。If a user does not have a value for the userPrincipalName attribute, then the user object must contain a valid and unique value for the sAMAccountName attribute. UserPrincipalName属性の重複する値を削除します。Remove any duplicate values in the userPrincipalName attribute.

  4. グローバルアドレス一覧 (GAL) を最適に使用するには、AD DS ユーザーアカウントの次の属性の情報が正しいことを確認してください。For optimal use of the global address list (GAL), ensure the information in the following attributes of the AD DS user account is correct:

  • givenNamegivenName
  • surnamesurname
  • displayNamedisplayName
  • 役職Job Title
  • 部署Department
  • 事業所Office
  • 事業所電話番号Office Phone
  • 携帯電話番号Mobile Phone
  • FAX 番号Fax Number
  • 番地Street Address
  • 市区町村City
  • 都道府県State or Province
  • 郵便番号Zip or Postal Code
  • 国または地域Country or Region

2. ディレクトリオブジェクトと属性の準備2. Directory object and attribute preparation

AD DS と Office 365 との間のディレクトリ同期を正常に行うには、AD DS 属性が適切に準備されている必要があります。Successful directory synchronization between your AD DS and Office 365 requires that your AD DS attributes are properly prepared. たとえば、Office 365 環境と同期されている特定の属性に特定の文字が使用されないようにする必要があります。For example, you need to ensure that specific characters aren't used in certain attributes that are synchronized with the Office 365 environment. 予期しない文字によってディレクトリ同期が失敗することはありませんが、警告が返されることがあります。Unexpected characters do not cause directory synchronization to fail but might return a warning. 無効な文字は、ディレクトリ同期が失敗する原因となります。Invalid characters will cause directory synchronization to fail.

一部の AD DS ユーザーが1つ以上の重複した属性を持っている場合も、ディレクトリ同期は失敗します。Directory synchronization will also fail if some of your AD DS users have one or more duplicate attributes. 各ユーザーは固有の属性を持つ必要があります。Each user must have unique attributes.

準備する必要がある属性を以下に示します。The attributes that you need to prepare are listed here:

  • displayNamedisplayName

    • 属性が user オブジェクトに存在する場合は、Office 365 と同期されます。If the attribute exists in the user object, it will be synchronized with Office 365.
    • この属性が user オブジェクトに存在する場合は、その値を指定する必要があります。If this attribute exists in the user object, there must be a value for it. つまり、属性を空白にすることはできません。That is, the attribute must not be blank.
    • 最大文字数: 256Maximum number of characters: 256
  • givenNamegivenName

    • 属性が user オブジェクトに存在する場合は、Office 365 と同期されますが、Office 365 では必要ないか使用されません。If the attribute exists in the user object, it will be synchronized with Office 365, but Office 365 does not require or use it.
    • 最大文字数:64Maximum number of characters: 64
  • mailmail

    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

      注意

      重複する値がある場合、値を持つ最初のユーザーが同期されます。If there are duplicate values, the first user with the value is synchronized. 以降のユーザーは、Office 365 に表示されません。Subsequent users will not appear in Office 365. 両方のユーザーが Office 365 に表示されるようにするには、Office 365 の値を変更するか、AD DS の両方の値を変更する必要があります。You must modify either the value in Office 365 or modify both of the values in AD DS in order for both users to appear in Office 365.

  • mailNickname (Exchange エイリアス)mailNickname (Exchange alias)

    • 属性値はピリオド (.) で始めることはできません。The attribute value cannot begin with a period (.).

    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

      注意

      同期名のアンダスコア ("") は、この属性の元の値に無効な文字が含まれていることを示します。Underscores ("") in the synchronized name indicates that the original value of this attribute contains invalid characters. 元の値には、文字、数字、および!、#、$、%、&、'、 *、+、-、/、=、?、^、_、'、{、|、}、~ ~ の文字を含めることができます。The original value can contain letters, numbers, and the characters !, #, $, %, &, ', *, +, -, /, =, ?, ^, _, `, {, |, } and ~. この属性の詳細については、「 Exchange alias attribute」を参照してください。For more information on this attribute, see Exchange alias attribute.

  • proxyAddressesproxyAddresses

    • 複数値の属性Multiple-value attribute

    • 値あたりの最大文字数: 256Maximum number of characters per value: 256

    • 属性の値にスペースを含めることはできません。The attribute value must not contain a space.

    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.

    • 無効な文字< > : ();, [ ] " 'Invalid characters: < > ( ) ; , [ ] " '

      無効な文字は、SMTP:User@contso.com が許可されていても、SMTP:user:M@contoso.com は許可されていませんが、型区切り記号の後の文字と ":" に適用されることに注意してください。Note that the invalid characters apply to the characters following the type delimiter and ":", such that SMTP:User@contso.com is allowed, but SMTP:user:M@contoso.com is not.

      重要

      すべての簡易メール転送プロトコル (SMTP) アドレスは、電子メールメッセージング標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards. 重複しているまたは不要なアドレスが存在する場合は、ヘルプトピックの「 Exchange での重複および不要なプロキシアドレスの削除」を参照してください。If duplicate or unwanted addresses exist, see the Help topic Removing duplicate and unwanted proxy addresses in Exchange.

  • sAMAccountNamesAMAccountName

    • 最大文字数:20Maximum number of characters: 20
    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.
    • 無効な文字: [\ "|,/ < > : + =;?Invalid characters: [ \ " | , / : < > + = ; ? * ']* ']
    • ユーザーのsAMAccountName属性が無効で、 userPrincipalName属性が有効な場合、Office 365 でユーザーアカウントが作成されます。If a user has an invalid sAMAccountName attribute but has a valid userPrincipalName attribute, the user account is created in Office 365.
    • SAMAccountNameuserPrincipalNameの両方が無効な場合は、AD DS userPrincipalName属性を更新する必要があります。If both sAMAccountName and userPrincipalName are invalid, the AD DS userPrincipalName attribute must be updated.
  • sn (姓)sn (surname)

    • 属性が user オブジェクトに存在する場合は、Office 365 と同期されますが、Office 365 では必要ないか使用されません。If the attribute exists in the user object, it will be synchronized with Office 365, but Office 365 does not require or use it.
  • targetAddresstargetAddress

    ユーザーに対して設定されているtargetAddress属性 (たとえば、SMTP:tom@contoso.com) を OFFICE 365 GAL に表示する必要があります。It's required that the targetAddress attribute (for example, SMTP:tom@contoso.com) that's populated for the user must appear in the Office 365 GAL. サードパーティ製のメッセージング移行シナリオでは、AD DS の Office 365 スキーマ拡張が必要になります。In third-party messaging migration scenarios, this would require the Office 365 schema extension for the AD DS. Office 365 スキーマ拡張機能は、AD DS からのディレクトリ同期ツールを使用して設定された Office 365 オブジェクトを管理するための便利な属性も追加します。The Office 365 schema extension would also add other useful attributes to manage Office 365 objects that are populated by using a directory synchronization tool from AD DS. たとえば、非表示のメールボックスまたは配布グループを管理するmsExchHideFromAddressLists属性が追加されます。For example, the msExchHideFromAddressLists attribute to manage hidden mailboxes or distribution groups would be added.

    • 最大文字数: 256Maximum number of characters: 256
    • 属性の値にスペースを含めることはできません。The attribute value must not contain a space.
    • この属性の値は、ディレクトリ内で一意である必要があります。The attribute value must be unique within the directory.
    • 無効な文字: < > \ ();, [ ] "Invalid characters: \ < > ( ) ; , [ ] "
    • すべての簡易メール転送プロトコル (SMTP) アドレスは、電子メールメッセージング標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
  • userPrincipalNameuserPrincipalName

    • UserPrincipalName属性は、ユーザー名の後にアットマーク記号 (@) とドメイン名が続く、インターネットスタイルのサインイン形式にする必要があります。たとえば、user@contoso.com のようにします。The userPrincipalName attribute must be in the Internet-style sign-in format where the user name is followed by the at sign (@) and a domain name: for example, user@contoso.com. すべての簡易メール転送プロトコル (SMTP) アドレスは、電子メールメッセージング標準に準拠している必要があります。All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
    • UserPrincipalName属性の最大文字数は113です。The maximum number of characters for the userPrincipalName attribute is 113. アットマーク (@) の前後には、次のように特定の文字数が許可されます。A specific number of characters are permitted before and after the at sign (@), as follows:
    • アットマーク (@) の前にあるユーザー名の最大文字数:64Maximum number of characters for the username that is in front of the at sign (@): 64
    • アットマーク記号 (@) の後に続くドメイン名の最大文字数:48Maximum number of characters for the domain name following the at sign (@): 48
    • 無効な文字: \ & * % +/=?Invalid characters: \ % & * + / = ? { } | < > ( ) ; : , [ ] " '{ } | < > ( ) ; : , [ ] " '
    • ウムラウトは、無効な文字でもあります。An umlaut is also an invalid character.
    • userPrincipalName値には @ 文字が必要です。The @ character is required in each userPrincipalName value.
    • userPrincipalName値の先頭文字に @ 文字を使用することはできません。The @ character cannot be the first character in each userPrincipalName value.
    • ユーザー名の末尾には、ピリオド (.)、アンパサンド (&)、スペース、アットマーク (@) を使用することはできません。The username cannot end with a period (.), an ampersand (&), a space, or an at sign (@).
    • ユーザー名にスペースを含めることはできません。The username cannot contain any spaces.
    • ルーティング可能なドメインを使用する必要があります。たとえば、ローカルまたは内部のドメインを使用することはできません。Routable domains must be used; for example, local or internal domains cannot be used.
    • Unicode は、アンダースコア文字に変換されます。Unicode is converted to underscore characters.
    • userPrincipalNameには、ディレクトリ内に重複する値を含めることはできません。userPrincipalName cannot contain any duplicate values in the directory.

IdFIx ツールを使用して AD DS の属性のエラーを識別するには、IdFix ツールを使用して directory 属性を準備するを参照してください。See Prepare directory attributes with the IdFix tool to use the IdFIx tool to identify errors in the attributes of your AD DS.

3. userPrincipalName 属性を準備する3. Prepare the userPrincipalName attribute

Active Directory は、組織内のエンドユーザーがsAMAccountNameまたはuserPrincipalNameのいずれかを使用してディレクトリにサインインできるように設計されています。Active Directory is designed to allow the end users in your organization to sign in to your directory by using either sAMAccountName or userPrincipalName. 同様に、エンドユーザーは職場または学校アカウントのユーザープリンシパル名 (UPN) を使用して Office 365 にサインインできます。Similarly, end users can sign in to Office 365 by using the user principal name (UPN) of their work or school account. ディレクトリ同期では、AD DS 内の同じ UPN を使用して、Azure Active Directory で新しいユーザーを作成しようとしています。Directory synchronization attempts to create new users in Azure Active Directory by using the same UPN that's in your AD DS. UPN は、電子メールアドレスのように書式設定されます。The UPN is formatted like an email address.

Office 365 では、UPN は電子メールアドレスの生成に使用される既定の属性です。In Office 365, the UPN is the default attribute that's used to generate the email address. UserPrincipalName (ad DS および Azure ad) とproxyAddressesのプライマリ電子メールアドレスは、異なる値に設定するのが簡単です。It's easy to get userPrincipalName (in AD DS and in Azure AD) and the primary email address in proxyAddresses set to different values. 複数の値が設定されている場合、管理者とエンドユーザーに混乱が生じることがあります。When they are set to different values, there can be confusion for administrators and end users.

これらの属性を調整して混乱を軽減することをお勧めします。It's best to align these attributes to reduce confusion. Active Directory フェデレーションサービス (AD FS) 2.0 を使用したシングルサインオンの要件を満たすには、Azure Active Directory と AD DS の Upn が一致し、有効なドメイン名前空間を使用していることを確認する必要があります。To meet the requirements of single sign-on with Active Directory Federation Services (AD FS) 2.0, you need to ensure that the UPNs in Azure Active Directory and your AD DS match and are using a valid domain namespace.

4. AD DS に代替 UPN サフィックスを追加する4. Add an alternative UPN suffix to AD DS

ユーザーの会社の資格情報を Office 365 環境に関連付けるには、代替 UPN サフィックスを追加する必要がある場合があります。You may need to add an alternative UPN suffix to associate the user's corporate credentials with the Office 365 environment. UPN サフィックスは、@ 文字の右側の UPN の一部です。A UPN suffix is the part of a UPN to the right of the @ character. シングル サインオンに使用する UPN には文字、数字、ピリオド、ダッシュ、アンダースコアを含めることができますが、その他の種類の文字を含めることはできません。UPNs that are used for single sign-on can contain letters, numbers, periods, dashes, and underscores, but no other types of characters.

Active Directory に代替 UPN サフィックスを追加する方法の詳細については、「ディレクトリ同期の準備」を参照してください。For more information on how to add an alternative UPN suffix to Active Directory, see Prepare for directory synchronization.

5. AD DS UPN と Office 365 UPN を一致させる5. Match the AD DS UPN with the Office 365 UPN

ディレクトリ同期が既にセットアップされている場合、ユーザーの UPN for Office 365 は、AD DS で定義されているユーザーの AD DS UPN と一致しない可能性があります。If you've already set up directory synchronization, the user's UPN for Office 365 may not match the user's AD DS UPN that's defined in your AD DS. ドメインが確認される前にユーザーにライセンスを割り当てた場合、この状況が発生することがあります。This can occur when a user was assigned a license before the domain was verified. この問題を解決するには、PowerShell を使用して重複したupn を修正し、OFFICE 365 upn が企業ユーザー名とドメインと一致するようにします。To fix this, use PowerShell to fix duplicate UPN to update the user's UPN to ensure that the Office 365 UPN matches the corporate user name and domain. AD DS で UPN を更新していて、Azure Active Directory id と同期する必要がある場合は、AD DS で変更を行う前に、Office 365 でユーザーのライセンスを削除する必要があります。If you are updating the UPN in the AD DS and would like it to synchronize with the Azure Active Directory identity, you need to remove the user's license in Office 365 prior to making the changes in AD DS.

また、ディレクトリ同期にルーティング不能なドメイン (たとえば、ローカルドメイン) を準備する方法についても説明します。Also see How to prepare a non-routable domain (such as .local domain) for directory synchronization.

次の手順Next steps

ディレクトリ同期の前に AD DS の属性のエラーを修正するには、IdFix ツールを使用してディレクトリ属性を準備するを参照してください。See Prepare directory attributes with the IdFix tool to help you correct errors in the attributes of your AD DS prior to directory synchronization.

IdFix ツールで識別されたすべての属性エラーを修正し、上記の手順1から5を完了した場合は、「ディレクトリ同期をセットアップする」を参照してください。If you have corrected all the attribute errors identified with the IdFix tool and have done steps 1 through 5 above, see Set up directory synchronization.