Microsoft Entra Connect: 既存のテナントがある場合

  • [アーティクル]

Microsoft Entra Connect の使い方に関するトピックのほとんどでは、新しい Microsoft Entra テナントで作業を開始すること、そしてユーザーまたはその他のオブジェクトがそこにないことが想定されています。 しかし、既に Microsoft Entra テナントの使用を開始し、ユーザーや他のオブジェクトを作成してある状態で、Connect を使いたくなった場合は、このトピックを参照してください。

基本

Microsoft Entra ID 内のオブジェクトは、クラウドまたはオンプレミスのいずれかで管理されます。 単一のオブジェクトについて、一部の属性をオンプレミスで管理し、他の属性を Microsoft Entra ID で管理することはできません。 各オブジェクトには、オブジェクトが管理されている場所を示すフラグが付いています。

ユーザーについては、一部をオンプレミスで管理し、他をクラウドで管理するということができます。 この構成のよくあるシナリオとしては、経理ワーカーと営業ワーカーが両方存在する組織が挙げられます。 経理担当者にはオンプレミス AD アカウントがありますが、営業担当者にはありません。しかし、両者とも Microsoft Entra ID にアカウントがあります。 一部のユーザーはオンプレミスで管理し、一部は Microsoft Entra ID で管理します。

オンプレミスにも存在するユーザーの管理を Microsoft Entra ID で始めた後、Microsoft Entra Connect でも使用する必要が生じた場合に、考慮すべき事柄がいくつかあります。

Microsoft Entra ID の既存のユーザーとの同期

Microsoft Entra Connect との同期を開始すると、Microsoft Entra サービス API は、すべての新しい受信オブジェクトをチェックし、既存オブジェクトと一致するものがないか確認します。 このプロセスでは、userPrincipalNameproxyAddressessourceAnchor/immutableID の 3 つの属性が使用されます。 userPrincipalNameproxyAddresses の一致は、"あいまい一致" と呼ばれます。sourceAnchor の一致は、"完全一致" と呼ばれます。proxyAddresses 属性では、SMTP: 付きの値 (つまり、プライマリ電子メール アドレス) のみが評価に使用されます。

一致は、Connect で生成された新しいオブジェクトについてのみ評価されます。 これらの属性のいずれかに一致するように既存のオブジェクトを変更すると、エラーが発生します。

Microsoft Entra ID によって、属性値が Microsoft Entra Connect から受信した新しいオブジェクトと同じオブジェクトが検出されると、Microsoft Entra ID のオブジェクトが引き継がれ、それ以前にクラウドで管理されていたオブジェクトはオンプレミスで管理されるようになります。 オンプレミスの AD で値が設定されている Microsoft Entra ID の属性はすべて、それぞれオンプレミスの値で上書きされます。

警告

Microsoft Entra ID のすべての属性はオンプレミスの値で上書きされるため、オンプレミスのデータが適切であることを確認してください。 たとえば、電子メール アドレスを Microsoft 365 でしか管理しておらず、オンプレミスの AD DS で更新していなかった場合、AD DS に存在しない Microsoft Entra ID / Microsoft 365 の値はすべて失われます。

重要

パスワード同期を使う場合 (簡易設定によって常に使われます)、Microsoft Entra ID のパスワードはオンプレミス AD のパスワードで上書きされます。 ユーザーが異なるパスワードを管理することに慣れている場合は、Connect をインストールした後に、オンプレミスのパスワードを使用するように伝える必要があります。

計画を立てる際には、前のセクションと警告の内容を考慮する必要があります。 オンプレミスの AD DS に反映されていない変更が Microsoft Entra ID に多数ある場合、データ損失を防ぐために、Microsoft Entra Connect でオブジェクトを同期する前に、Microsoft Entra ID から更新された値を AD DS に設定する方法を計画しておく必要があります。

あいまい一致でオブジェクトを一致させた場合、後で完全一致を使用できるように、sourceAnchor が Microsoft Entra ID のオブジェクトに追加されます。

重要

Microsoft は、オンプレミスのアカウントを、Microsoft Entra ID に既に存在する管理アカウントと同期しないことを強くお勧めします。

完全一致とあいまい一致

既定では、"abcdefghijklmnopqrstuv==" の SourceAnchor 値は、オンプレミス Active Directory の MsDs-ConsistencyGUID 属性 (または構成に応じて ObjectGUID) を使用して Microsoft Entra Connect によって計算されます。 この属性値の Microsoft Entra ID で対応する値は ImmutableId です。 Microsoft Entra Connect (同期エンジン) がオブジェクトを追加または更新する際、Microsoft Entra ID の既存オブジェクトの ImmutableId 属性に対応する sourceAnchor 値を使用して、Microsoft Entra ID は受け取るオブジェクトを照合します。 一致するものがある場合、Microsoft Entra Connect はそのオブジェクトを引き継ぎ、"完全一致" と呼ばれる受信オンプレミス Active Directory オブジェクトのプロパティで更新します。Microsoft Entra ID で SouceAnchor 値と一致する ImmutableId を持つオブジェクトが見つからなかった場合、受信オブジェクトの userPrincipalName またはプライマリ ProxyAddress を使用して、"あいまい一致" と呼ばれる一致を見つけようとします。 ソフト マッチは、Microsoft Entra ID に既に存在し、管理されているオブジェクトと、オンプレミスの同じエンティティを表す追加または更新される新しい受信オブジェクトを照合しようとします。 Microsoft Entra ID で受信オブジェクトの "完全一致" または "あいまい一致" が見つからなかった場合は、Microsoft Entra ID ディレクトリに新しいオブジェクトがプロビジョニングされます。 Microsoft Entra ID で完全一致機能を無効にするための構成オプションが追加されました。 完全一致は、クラウド専用アカウントを引き継ぐために必要でない限り無効にすることをお勧めしています。

完全一致を無効にするには、Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell コマンドレットを使用します。

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

同様に、Microsoft Entra ID であいまい一致オプションを無効にするための構成オプションが追加されました。 Microsoft では、クラウド専用アカウントを引き継ぐ目的で必要としない限り、ソフト マッチングは無効にすることをお客様に提案しています。

あいまい一致を無効にするには、Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell コマンドレットを使用します。

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Note

テナントに対して有効になっている場合、BlockCloudObjectTakeoverThroughHardMatchEnabled と BlockSoftMatchEnabled は、すべてのオブジェクトの照合をブロックするために使用されます。 テナントに一致する手順が必要な場合、その期間だけこれらの機能を無効にすることをお勧めします。 このフラグは、マッチングが完了し、不要になった後で、再度 True にする必要があります。

ユーザー以外のオブジェクト

メールが有効なグループと連絡先については、proxyAddresses に基づいてあいまい一致を利用できます。 ユーザーについてのみ、(PowerShell を使用して) sourceAnchor/immutableID の更新のみを実行できます。このため、完全一致は適用されません。 メールが有効になっていないグループについては、あいまい一致も完全一致もサポートされていません。

管理者ロールに関する考慮事項

信頼されていないオンプレミス ユーザーから保護するために、Microsoft Entra ID は、オンプレミス ユーザーを管理者ロールを持つクラウド ユーザーとはマッチングさせません。 これは既定の動作です。 これを回避するには、次の手順を実行します。

  1. クラウドのみのユーザー オブジェクトからディレクトリ ロールを削除します。
  2. 検疫済みオブジェクトをクラウドから物理的に削除します。
  3. 同期をトリガーします。
  4. 一致した後は、クラウド内のユーザー オブジェクトにオプションでディレクトリ ロールを追加します。

Microsoft Entra ID のデータから新しいオンプレミスの Active Directory を作成する

一部のお客様は、最初は Microsoft Entra ID でクラウドのみのソリューションを使っており、オンプレミスの AD を持っていません。 後になってオンプレミスのリソースが必要になり、Microsoft Entra のデータに基づいてオンプレミスの AD を構築することを望まれます。 Microsoft Entra Connect は、このようなシナリオにはお役に立てません。 オンプレミスのユーザーは作成されず、オンプレミスのパスワードを Microsoft Entra ID と同じものに設定する機能はありません。

オンプレミスの AD の追加を計画する理由が LOB (基幹業務アプリ) のサポートだけである場合は、代わりに Microsoft Entra Domain Services の使用を検討する必要があります。

次のステップ

オンプレミス ID と Microsoft Entra ID の統合についての詳細情報を参照してください。