Microsoft Entra Connect Sync: ユーザー、グループ、および連絡先について

[アーティクル]
11/06/2023

複数の Active Directory フォレストを使用することになる理由はさまざまあり、複数の異なるデプロイトポロジがあります。一般的なモデルとしては、アカウントリソースデプロイ、合併や買収の後で GAL 同期が行われたフォレストなどがあります。ただし、純粋なモデルがある一方で、ハイブリッドモデルも一般的です。 Microsoft Entra Connect Sync の既定の構成では特殊なモデルを想定していませんが、インストールガイドでのユーザーの一致の選択方法によっては、異なる動作が見られることもあります。

このトピックでは、既定の構成が特定のトポロジでどのように動作するかを説明します。構成の概要についてと、構成を確認するために使用できる同期ルールエディターについて取り上げます。

構成の前提となるいくつかの一般的なルールがあります。

ソースの Active Directory からインポートする順序に関係なく、最終的な結果は常に同じになる必要があります。
アクティブなアカウントは、userPrincipalName や sourceAnchor など、サインイン情報を常に提供します。
アクティブなアカウントが見つからない場合は、無効なアカウントを使用すると userPrincipalName と sourceAnchor が指定されますが、このアカウントが、リンクされたメールボックスでない場合に限ります。
リンクされたメールボックスを使用するアカウントは、userPrincipalName と sourceAnchor に使用されることはありません。アクティブなアカウントは後で見つかることが前提です。
連絡先オブジェクトは、Microsoft Entra ID に対して連絡先またはユーザーとしてプロビジョニングされます。すべてのソースの Active Directory フォレストが処理されるまでは、実際にはわかりません。

グループ

Note

別のフォレストからグループにユーザーを追加すると、そのグループが特定の OU 内に存在する Active Directory にアンカーが作成されることに留意してください。このアンカーは外部セキュリティプリンシパルであり、OU 'ForeignSecurityPrincipals' 内に格納されます。この OU を同期しない場合、グループメンバーシップからユーザーが削除されます。

Active Directory から Microsoft Entra ID へグループを同期する場合に留意する重要なポイントを以下に示します。

Microsoft Entra Connect は、組み込みのセキュリティグループをディレクトリ同期から除外します。
Microsoft Entra Connect は、プライマリグループメンバーシップの Microsoft Entra ID への同期をサポートしていません。
Microsoft Entra Connect は、動的配布グループメンバーシップの Microsoft Entra ID への同期をサポートしていません。
Active Directory グループをメール対応のグループとして Microsoft Entra ID に同期するには、次の条件に従います。
- グループの proxyAddress 属性が空である場合、そのグループの mail 属性には値が必要です。
- グループの proxyAddress 属性が空ではない場合、少なくとも 1 つの SMTP プロキシアドレス値を含める必要があります。次に例をいくつか示します。
  - proxyAddress 属性の値が {"X500:/0=contoso.com/ou=users/cn=testgroup"} の Active Directory グループは、Microsoft Entra ID ではメール対応しません。 SMTP アドレスを含みません。
  - proxyAddress 属性の値が {"X500:/0=contoso.com/ou=users/cn=testgroup","SMTP:johndoe@contoso.com"} の Active Directory グループは、Microsoft Entra ID ではメール対応します。
  - proxyAddress 属性の値が {"X500:/0=contoso.com/ou=users/cn=testgroup", "smtp:johndoe@contoso.com"} の Active Directory グループは、Microsoft Entra ID ではメール対応します。

Contacts

合併や買収の後、連絡先は異なるフォレストのユーザーを表しているのが一般的です。そこでは、GALSync ソリューションが 2 つ以上の Exchange フォレストをつないでいます。連絡先オブジェクトは、メール属性を使用してコネクタスペースからメタバースを常に結合しています。同じメールアドレスの連絡先オブジェクトまたはユーザーオブジェクトが既にある場合、これらのオブジェクトは一緒に結合されます。これは、In from AD – Contact Join というルールで構成されます。また、定数が Contact であるメタバース属性 sourceObjectType への属性フローを使用する In from AD – Contact Common というルールもあります。このルールの優先順位は低いので、ユーザーオブジェクトが同じメタバースオブジェクトに結合された場合は、In from AD – User Common というルールによって User という値がこの属性に提供されます。このルールでは、この属性は、ユーザーが 1 人も結合されていない場合に Contact という値を使用し、ユーザーが 1 人でも見つかった場合に User という値を使用します。

Microsoft Entra ID に対するオブジェクトのプロビジョニングでは、メタバース属性 sourceObjectType が Contact に設定された場合、Out to Microsoft Entra ID – Contact Join というアウトバウンド規則によって連絡先オブジェクトが作成されます。この属性が User に設定された場合は、代わりに Out to Microsoft Entra ID – User Join というルールによってユーザーオブジェクトが作成されます。より多くのソースの Active Directory がインポートされ、同期されるときに、オブジェクトは Contact から User に昇格できます。

たとえば、GALSync トポロジでは、最初のフォレストをインポートするときに、2 番目のフォレストですべてのユーザーの連絡先オブジェクトを見つけます。これにより、Microsoft Entra コネクタに新しい連絡先オブジェクトがステージングされます。後で 2 番目のフォレストをインポートして同期するときに、実際のユーザーを見つけ、既存のメタバースオブジェクトに結合します。次に、Microsoft Entra ID の連絡先オブジェクトを削除し、代わりに新しいユーザーオブジェクトを作成します。

ユーザーが連絡先として表されるトポロジを使用する場合は、インストールガイドでメール属性のユーザーに一致するように選択する必要があります。別のオプションを選択した場合は、順序に依存する構成を使います。連絡先オブジェクトは、常にメール属性で結合されますが、ユーザーオブジェクトは、このオプションがインストールガイドで選択された場合にのみメール属性で結合されます。そうすると、ユーザーオブジェクトより前に連絡先オブジェクトがインポートされた場合、メタバース内の 2 つの異なるオブジェクトが同じメール属性を使用することになる可能性があります。 Microsoft Entra ID へのエクスポート中にエラーが表示されます。この動作は仕様によるもので、不適切なデータが示されるか、インストール時にトポロジが正常に特定されなかったことが示されます。

無効なアカウント

無効なアカウントは、Microsoft Entra ID にも同期されます。無効なアカウントは、会議室などの Exchange のリソースを表すことが一般的です。リンクされたメールボックスを使用するユーザーは例外で、すでに説明したように、これらのユーザーは Microsoft Entra ID に対してアカウントをプロビジョニングしません。

前提では、無効なユーザーアカウントが見つかった場合、後で別のアクティブなアカウントが見つかることはなく、オブジェクトは、見つかった userPrincipalName と sourceAnchor を使用して Microsoft Entra ID にプロビジョニングされます。別のアクティブなアカウントが同じメタバースオブジェクトに結合される場合は、その userPrincipalName と sourceAnchor が使用されます。

sourceAnchor の変更

オブジェクトは、Microsoft Entra ID にエクスポートされると、sourceAnchor の変更に使用することはできなくなります。オブジェクトがエクスポートされると、Microsoft Entra ID が受け取った sourceAnchor 値を使用してメタバース属性 cloudSourceAnchor が設定されます。 sourceAnchor が変更され、cloudSourceAnchor と一致しない場合、Out to Microsoft Entra ID – User Join というルールによって [sourceAnchor 属性が変更されました] というエラーがスローされます。この場合、オブジェクトを再度同期できるようにする前に、構成またはデータを修正して、同じ sourceAnchor がメタバースに再び存在するようにする必要があります。