Microsoft Entra Connect 同期: Active Directory のごみ箱の有効化

Microsoft Entra ID に同期する Active Directory (AD) のオンプレミス インスタンスに対して Active Directory のごみ箱機能を有効にすることをお勧めします。

オンプレミスの AD ユーザー オブジェクトを誤って削除し、この機能を使って復元した場合、Microsoft Entra ID により対応する Microsoft Entra ユーザー オブジェクトが復元されます。 Active Directory オブジェクトの復元の詳細については、「 削除された Active Directory オブジェクトを復元するためのシナリオの概要」を参照してください。

Active Directory のごみ箱機能を有効にする方法については、「 Active Directory 管理センターの機能強化」を参照してください。

AD のごみ箱を有効にする利点

この機能を使用すると、Microsoft Entra ユーザー オブジェクトを復元できます。これを行うには、次の操作を実行します。

• オンプレミスの AD ユーザー オブジェクトを誤って削除した場合、対応する Microsoft Entra ユーザー オブジェクトは次回の同期サイクルで削除されます。 既定では、Microsoft Entra ID は論理削除済み状態で 30 日間、削除された Microsoft Entra ユーザー オブジェクトを保持します。

• オンプレミスの AD ごみ箱機能を有効にしていれば、そのソース アンカーの値を変更することなく、削除されたオンプレミスの AD ユーザー オブジェクトを復元できます。 回復したオンプレミスの AD ユーザー オブジェクトが Microsoft Entra ID と同期されたときに、Microsoft Entra ID により対応する論理削除された Microsoft Entra ユーザー オブジェクトが復元されます。 ソース アンカー属性について詳しくは、「Microsoft Entra Connect: 設計概念」をご覧ください。

• オンプレミスの AD ごみ箱機能を有効にしていない場合、AD ユーザー オブジェクトを作成して、削除されたオブジェクトを置き換える必要があります。 ソース アンカー属性について、システムで生成される AD 属性 (ObjectGuid など) を使用するように Microsoft Entra Connect 同期サービスを構成した場合、新しく作成される AD ユーザー オブジェクトのソース アンカー値は、削除された AD ユーザー オブジェクトの値とは同じになりません。 新しく作成された AD ユーザー オブジェクトが Microsoft Entra ID に同期されると、Microsoft Entra ID は、論理削除済みの Microsoft Entra ユーザー オブジェクトを復元するのではなく、新しい Microsoft Entra ユーザー オブジェクトを作成します。

Note

既定では、Microsoft Entra ID は削除された Microsoft Entra ユーザー オブジェクトを論理削除済み状態で 30 日間保持した後、完全に削除します。 ただし、管理者は、このようなオブジェクトの削除までの時間を短縮できます。 完全に削除されたオブジェクトは、オンプレミスの AD ごみ箱機能を有効にしていても、回復することはできません。

次のステップ

概要トピック

• Microsoft Entra Connect 同期: 同期を理解してカスタマイズする

• オンプレミス ID と Microsoft Entra ID の統合