ディレクトリ同期レポートでエラーが表示されています。この会社では、同期できるオブジェクトの数を超過しています。

この記事では、Office 365、Azure、または Microsoft Intune 環境でのディレクトリ同期の Active Directory ディレクトリサービスクォータを増やす方法について説明します。

元の製品バージョン:   クラウドサービス (Web ロール/ワーカーロール)、Azure Active Directory、Microsoft Intune、Azure バックアップ、Office 365 ユーザーおよびドメインの管理
元の KB 番号:   2812409

現象

MSOnlineServicesTeam@MicrosoftOnline.com次のエラーメッセージが含まれているからの電子メールメッセージが表示されます。

エラー 016: 同期が停止されました。 この会社は、同期できるオブジェクトの数を超えています。 Microsoft Online Services サポートにお問い合わせください。

注意

この記事は、Office 365、Azure、Microsoft Intune などの Microsoft クラウドサービスで許可されている数を超えるオブジェクトを使用する予定の場合に、ディレクトリサービスのクォータを増やす必要がある場合や、Active Directory 同期を使用しない場合にも使用できます。 Azure Active Directory (Azure AD) の現在のディレクトリサービスクォータは、5万オブジェクトです。

原因

この問題は、Azure AD で作成したオブジェクトの数がディレクトリサービスの制限を超えたために発生します。 Azure AD では、各組織で作成できるオブジェクトの数が制限されています。 Azure AD 組織のグループ、連絡先、ユーザーオブジェクトは、組織のディレクトリ使用法の一部としてカウントされます。

既定のディレクトリサービスクォータは、次のガイドラインに従って計算されます。

  • 確認済みのドメインがない場合、Azure AD の現在のディレクトリサービスのクォータは5万オブジェクトです。

    1. 2011年10月5日より前に組織を作成した場合、既定のディレクトリサービスクォータは1万オブジェクトになります。
    2. 2011年10月5日以降に組織が作成されていて、2012年5月以前に作成された場合、既定のディレクトリサービスクォータは2万オブジェクトになります。
    3. 2012年5月以降に組織を作成した場合、既定のディレクトリサービスクォータは5万オブジェクトになります。
  • 少なくとも1つの確認済みドメインがある場合、Azure AD の既定のディレクトリサービスクォータは30万オブジェクトです。

解決方法

オンプレミスの Active Directory 内のグループ、連絡先、およびユーザーオブジェクトの数が、ディレクトリサービスのクォータを超えている場合は、会社のディレクトリサービスクォータ制限の増加を要求できます。 この増加により、ディレクトリ同期を使用するときに、現在の既定の制限より多くのオブジェクトを同期できます。

組織内でのオブジェクトの作成を続行するには、ドメインを追加するか、またはディレクトリサービスクォータを増やす必要があります。 これを行うには、次の方法を使用します。

方法 1

確認済みのドメインを持っていない場合は、クォータの制限を30万オブジェクトに増やすためにドメインを追加する必要があります。 詳細については、「 ドメインを追加する」を参照してください。

方法 2

オンプレミスの Active Directory ディレクトリサービスに30万個を超えるオブジェクトがある場合、30万を超えて同期できるオブジェクトの数を増やすには、Microsoft サポートにお問い合わせください。

詳細情報

ディレクトリサービスのクォータは、クラウドサービスを使用して、単一のセキュリティプリンシパルによって作成および所有できるオブジェクトの最大数を制限する方法として実装されています。 ディレクトリ同期を使用して会社に同期されているすべてのオブジェクトは、作成者/所有者の値をその会社の既定の admins グループに設定します。 たとえば、管理者グループは次のように設定され admins@contoso1.microsoftonline.com ます。 そのため、この構成では、ディレクトリ同期を使用してユーザーが無制限の数のオブジェクトを作成することはできません。 企業がディレクトリサービスのクォータ制限を超える頻度で同期する必要がある場合は、テクニカルサポートにサービスリクエストを送信します。

よく寄せられる質問

質問 1: クラウドサービスポータルまたはクラウドサービス API (Exchange online PowerShell など) を介して手動で追加されたオブジェクトは、オンライン会社のクォータに対してカウントされますか。

答え 1: はい。

質問 2: 削除されたオブジェクトカウントをオンライン会社のクォータに対して実行する

回答 2: はい。 クラウドサービスの顧客がオンライン会社からオブジェクトを削除すると、削除されたオブジェクトがディレクトリサービスの削除済みオブジェクトコンテナーに格納されます。 Tombstone の有効期限が切れるまで、オブジェクトは削除済みオブジェクトコンテナーに残ります。 現在、有効期限は30日に設定されています。

たとえば、次のシナリオを考えてみます。 オンライン会社では、非プロダクションのオンプレミスの Active Directory 環境を使用してクラウドサービスを評価しています。 クラウドサービス組織は2011年10月5日より前に作成されており、既定の同期制限は1万オブジェクトです。 会社は、ディレクトリ同期ツールを使用して、8000グループオブジェクトと連絡先オブジェクトの一括同期を実行します。 後で、オンライン会社は次のことを決定します。

  1. これらのグループオブジェクトと連絡先オブジェクトを、会社のオンプレミスの非稼働時の Active Directory DS 環境から削除します。
  2. 8000ユーザーオブジェクトをオンプレミスの非稼働中の Active Directory DS 環境に追加します。
  3. 更新プログラムをオンライン会社に同期します。

8000グループオブジェクトと連絡先オブジェクトは、ディレクトリサービスの削除済みオブジェクトコンテナーに移動されます。 これらのオブジェクトは、30日の廃棄期間後に完全に削除されるまで、オンライン会社のクォータの最大25% を使用し続けます。 (このパーセンテージは2000オブジェクト、または8000×25% に相当します)そのため、5000の新しいユーザーオブジェクトを同期した後、オンライン会社は、削除されたオブジェクトと、新しいユーザーオブジェクトからの8000から、利用可能な Active Directory クォータ、2000の1万オブジェクトを使用します。 30日の廃棄期間 (この期間がオンライン会社の評価期間と一致する場合があります) では、オンライン会社はディレクトリ同期を使用して追加のオブジェクトを追加できない場合があります。 この状況は、オンライン会社のディレクトリサービスのクォータに達したために発生します。

このシナリオでは、クラウドサービスの評価を実行しているオンライン会社は、製品の評価を完了するために、非生産的な社内 Active Directory DS 環境内のオブジェクトの数を減らす必要があります。 ただし、オンライン会社がオブジェクトの数を減らすことができない場合は、そのディレクトリサービスクォータの増加を要求する必要があります。

質問 3: 複数の検証されたドメインを持つことで、30万オブジェクトよりも高いクォータを持つことができますか。

回答 3: いいえ。 1つ以上の検証済みドメインがある場合は、30万オブジェクトのディレクトリクォータが与えられています。 登録する確認済みドメイン ごと に、30万オブジェクトのクォータは付与されていません。

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。