Convert-MsolDomainToStandard の実行について

Question

現在、ADDS、ADFS、ADFSProxy、DirSync にて Office365とフェデレーションしていますが、

ADFS、ADFSProxy、DirSyncをやめ、AzureADConnect のみの構成に変更し、クラウドID＋ディレクトリ同期の

構成に変更したいと考えております。

Convert-MsolDomainToStandard を実行したいのですが、下記の情報があり、実行するのが不安になっております。

1.「Convert-MsolDomainToStandard 実行時1000を超えるフェデレーションユーザーが存在する場合のエラー」

Microsoftサポート：KB2888175 　最終更新日：06/20/2014

URL　support.microsoft.com/.../2888175

当テナントには、フェデレーションユーザーは 7000程度存在しています。

上記KBには　-SkipUserConversion $true にて回避する方法が記載されています。

ただ、

2.「Convert-MsolDomainToStandard」

更新日：2015年7月

URL　msdn.microsoft.com/.../dn194122.aspx

この情報では特にユーザー数についての記載はなく、-SkipUserConversion $false での実行方法が記載されています 。

更新日時としては、2. の方が新しいようですが、1.のエラーになる点が解消されたということでよいのでしょうか。

どなたか、2015年10月現在で、1.の方法を試した、2.で問題がなかった、等の情報をお持ちの方がいらっしゃいましたら、

ご教示いただけないでしょうか。

何卒よろしくお願いいたします。

Answer 1

手元の環境で検証した結果、3000ユーザーでも問題無くConvertできたので、以前存在していた1000ユーザーという制約は現時点では無くなっているように思えます。

その上でなのですが、Convert-MsolDomainToStandardでSkipUserConversionを$trueで実行すると、初期パスワードとしてランダムな物が各ユーザーに割り振られます。その処理に若干時間が掛かり、おそらく7000ユーザーですと全ユーザーの処理が終了するのに数時間掛かる可能性があると思われます。（例えば、昨晩だと1000ユーザー当たりおよそ50分程度の処理速度でした）

その間、ユーザーはOffice365にログインできないという形になるかと思うのですが、AAD Connectに移行された後のパスワード管理はどのようにされる予定でしょうか？　もしパスワード同期で実施される場合や、初期パスワードを管理者が事前に告知する等の場合はSkipUserConversionを$falseで実施し、初期パスワードは別途対応する方が効率的なのでは無いかな、と思います。

Answer 2

軽く見た限りでは大きな問題はないように見えます。

パスワード同期ですが、AAD Connectの初回構成時に完全同期がかかるので問題ないと思います。（念のため、手動で完全同期を実行する方法も以下で公開されておりますのでご参照いただければと思います）

azure.microsoft.com/.../

Answer 3

genkiwさま

情報をいただきまして、誠にありがとうございます。

以下の順序で実施を考えました。

1.ADFSProxy、DirSync をシャットダウン

2.ADFS で Convert-MsolDomainToStandard を実行

3.現DirSync に AzureADConnect をインプレースアップグレードでインストールして同期を実施

4.ADFSやADFSProxyをアンインストール

ここで疑問なのですが、ADFS構成時は、DirSyncではパスワード同期なしで構成していました。

-SkipUserConversion $false で一時パスワードが作成された後、AzureADConnect で

パスワード同期ありで同期開始しても、ローカルActive Directory側でユーザーがパスワード変更

を一度でもしないと、Office365へのログインは不可能になってしまうのでしょうか。

Password Sync機能が発表された頃の資料を見返したところ、変更フラグがないと同期されないとあり、

慌てております。

現在はどのような動きとなっていますでしょうか。

情報をお持ちでしたら、ご教示くださいませ。

よろしくお願いいたします。

Answer 4

ディレクトリ同期は、AADConnect（に内包されているディレクトリ同期機能）と共存できないので、現DirSyncのアンインストールとAADConnectのインストールは同じタイミングで必要になります。サーバ要件が満たすようであればインプレースで同一サーバ上ンで実施するのがよろしいかと。

azure.microsoft.com/.../

また、ADFSの停止（アンインストール）については、そもそもConvert-MsolDomainToStandardのコマンドレットの実施前提としてオンプレのADFSに接続できること（同コマンドにおいて、当該ドメインをADFSの設定から削除する処理を実施します）がありますので、Convert-MsolDomainToStandardを実施した後に削除されるのがよろしいかと思います。

Answer 5

genkiwさま

大変参考になる情報をいただきまして、誠にありがとうございました。

少し安心して実施できそうです。

ユーザーには1週間程度ログインできないとお知らせを出す予定で、

AzureADConnect でクラウドID＋ディレクトリ同期 (パスワード同期あり) の構成に変更しますので、

今回は -SkipUserConversion $false で実施したいと思います。

また、この作業を実施する順序についてお伺いしたいのですが、今回 AzureADConnect 用に新サーバーを構築します。

現環境のADFS、ADFSProxy、DirSync を停止してから、新AzureADConnectの同期を開始した方がいいでしょうか。

または、とりあえず現DirSyncを停止し、新AzureADConnect の同期を開始し、その後ADFSの停止を実施する方が

いいでしょうか。

あまり順序は気にしなくても大丈夫なのでしょうか。

もし情報をお持ちでしたら、ご教示いただければ幸いです。

よろしくお願いいたします。