Azure Active Directory Sync ツールを使用して同期されたオブジェクトを管理または削除できない

この記事では、Azure AD からのディレクトリ同期によって作成されたオブジェクトを管理または削除できない問題について説明します。 この問題には、さまざまな理由に応じて 2 つの解決策が用意されています。

元の製品バージョン: Cloud Services (Web ロール/Worker ロール)、Azure Active Directory、Microsoft Intune、Azure Backup、Office 365 Identity Management
元の KB 番号: 2619062

現象

Azure Active Directory (Azure AD) のディレクトリ同期によって作成されたオブジェクトを手動で管理または削除しようとするとします。

たとえば、オンプレミスの Active Directory Domain Services (AD DS) から Azure AD に同期された孤立したユーザー アカウントを削除します。

このシナリオでは、Office 365、Azure、またはMicrosoft Intuneの Microsoft クラウド サービス ポータルを使用するか、Windows PowerShellを使用して孤立したユーザー アカウントを削除することはできません。

原因

この問題は、次のいずれかの条件に該当する場合に発生する可能性があります。

  • オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境でオブジェクトを管理または削除することはできません。
  • オンプレミスの AD DS からオブジェクトを削除しました。 ただし、オブジェクトはクラウド サービス組織から削除されませんでした。 この動作は予期しない動作です。

解決方法

オンプレミスの AD DS は使用できなくなりました。 そのため、オンプレミス環境でオブジェクトを管理または削除することはできません。

Office 365、Azure、またはIntune内のオブジェクトを管理する必要があり、ディレクトリ同期を使用する必要はありません。

  1. Windows 10を実行中でない場合は、Microsoft Online Services サインイン アシスタントの 64 ビット版をインストールします: IT プロフェッショナル用 Microsoft Online Services サインイン アシスタント RTW

  2. Windows PowerShell用のMicrosoft Azure Active Directory モジュールをインストールします。

    1. 管理者特権で Windows PowerShell コマンド プロンプトを開きます (Windows PowerShell を管理者として実行)。
    2. Install-Module MSOnline コマンドを実行します。
  3. 次のコマンドを実行して、ディレクトリ同期を無効にします。

     Set-MsolDirSyncEnabled -EnableDirSync $false
    
  4. Windows PowerShellを使用して、ディレクトリ同期が完全に無効になっていることを確認します。 これを行うには、次のコマンドを定期的に実行します。

     (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
    

    このコマンドは True または False を返しますFalse が返されるまで、このコマンドを定期的に実行し続けてから、次の手順に進みます。

    非アクティブ化が完了するには 72 時間かかる場合があります。 時間は、クラウド サービス サブスクリプション アカウント内にあるオブジェクトの数によって異なります。

  5. Windows PowerShellを使用するか、クラウド サービス ポータルを使用してオブジェクトを更新してみてください。

    手順 4 の完了に時間がかかる場合があります。 クラウド サービス環境には、属性値を計算するプロセスがあります。 オブジェクトを変更するには、Windows PowerShellまたはクラウド サービス ポータルを使用してプロセスを完了する必要があります。

オンプレミスの AD DS からオブジェクトを削除するとします。 ただし、オブジェクトはクラウド サービス サブスクリプション アカウントから削除されません。

この記事の手順を使用してディレクトリ同期を強制する: Scheduler を起動する

  • 一部の更新と削除が反映されても、一部の削除がクラウド サービスに同期されない場合は、一般的なディレクトリ同期のトラブルシューティング手順に従います。

  • すべての更新と削除がクラウド サービスに同期されていない場合は、サポートにお問い合わせください。

    注:

    このシナリオの別の解決策として、クラウド サービスでオブジェクトを手動で削除できます。 ただし、クラウド サービスでオブジェクトを更新することはできません。 この問題を解決する方法の詳細については、次のマイクロソフト サポート技術情報の記事を参照してください。 Azure Active Directory Sync ツールを使用する場合、オブジェクトの削除は Azure AD に同期されません。  

詳細情報

ディレクトリ同期を再度有効にするには、次のコマンドを実行します。

Set-MsolDirSyncEnabled -EnableDirSync $true

ディレクトリ同期を再度有効にする場合は、慎重に計画することが重要です。 クラウド サービス ポータルまたはWindows PowerShellを使用して、オンプレミス AD DS から最初に同期されたオブジェクトに直接変更を加えた場合、変更はオンプレミスの属性によって上書きされ、ディレクトリ同期が再び有効になった後に同期が初めて行われると設定されます。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。