Microsoft Entra Connect Sync を使用したオブジェクト同期のトラブルシューティング

  • [アーティクル]

この条項では、トラブルシューティングタスクを使用し、オブジェクト同期の問題のトラブルシューティングを行う手順を示します。 Microsoft Entra Connect でどのようにトラブルシューティングが行われるか確認するには、短いビデオをご覧ください。

トラブルシューティング タスク

Microsoft Entra Connect のバージョン 1.1.749.0 以降のデプロイについては、ウィザードのトラブルシューティング タスクを使用して、オブジェクトの同期問題をトラブルシューティングしてください。 以前のバージョンの場合は、手動でトラブルシューティングを行うことができます。

ウィザードでトラブルシューティング タスクを実行する

トラブルシューティング タスクを実行するには:

  1. [管理者として実行] オプションを指定して、Microsoft Entra Connect サーバーで新しい Windows PowerShell セッションを開きます。
  2. Set-ExecutionPolicy RemoteSigned または Set-ExecutionPolicy Unrestricted を実行します。
  3. Microsoft Entra Connect ウィザードを起動します。
  4. [追加のタスク]>[トラブルシューティング] に移動し、[次へ] を選択します。
  5. [トラブルシューティング] ページで、 [起動] を選択して PowerShell でトラブルシューティング メニューを起動します。
  6. メイン メニューで、[オブジェクト同期のトラブルシューティング] を選択します。

Screenshot that shows the Troubleshoot object sync option highlighted in Microsoft Entra Connect.

入力パラメーターのトラブルシューティング

トラブルシューティング タスクには、次の入力パラメーターが必要です。

  • オブジェクトの識別名: トラブルシューティングが必要なオブジェクトの識別名です。
  • AD コネクタ名: オブジェクトが存在する Windows Server Active Directory (Windows Server AD) フォレストの名前。
  • Microsoft Entra テナントのハイブリッド ID 管理者の資格情報。

Screenshot that shows the credentials dialog on a PowerShell terminal background.

トラブルシューティング タスクの結果を理解する

トラブルシューティング タスクでは、次のチェックが実行されます。

  • オブジェクトが Microsoft Entra ID に同期されている場合、ユーザー プリンシパル名 (UPN) の不一致を検出します。
  • オブジェクトがドメイン フィルタリングによってフィルター処理されるかどうかを確認します。
  • オブジェクトが組織単位 (OU) フィルタリングによってフィルター処理されるかどうかを確認します。
  • リンクされたメールボックスによってオブジェクトの同期がブロックされているかどうかを確認します。
  • オブジェクトが同期対象ではない動的配布グループにあるかどうかを確認します。

この記事の残りの部分では、トラブルシューティング タスクによって返される具体的な結果について説明します。 各ケースでは、タスクによって分析が示され、その後、問題を解決するための推奨の操作が示されます。

オブジェクトが Microsoft Entra ID に同期される場合に UPN の不一致を検出する

以降のセクションで説明する UPN の不一致の問題を確認します。

UPN サフィックスが Microsoft Entra テナントで検証されない

UPN または代替ログイン ID サフィックスが Microsoft Entra テナントで検証されない場合、Microsoft Entra ID は UPN サフィックスを既定のドメイン名 onmicrosoft.com に置き換えます。 この問題を解決するには、テナントの確認済みドメインとして UPN サフィックスを追加します。 詳しくは、「Microsoft Entra ID でのカスタム ドメイン名の管理」を参照してください。

Screenshot that shows an example of an unverified UPN suffix error in PowerShell.

Microsoft Entra テナントの DirSync 機能 SynchronizeUpnForManagedUsers が無効になっている

Microsoft Entra テナントの DirSync 機能 SynchronizeUpnForManagedUsers が無効になっている場合、Microsoft Entra ID では、マネージド認証を使用するライセンス ユーザー アカウントの UPN または代替ログイン ID の同期更新は許可されません。 SynchronizeUpnForManagedUsers 機能を有効にする方法については、Microsoft Entra Connect Sync サービスの機能を参照してください。

Screenshot that shows an example of a UPN sync for managed users error in PowerShell.

オブジェクトがドメイン フィルタリングによってフィルター処理されている

以降のセクションで説明するドメイン フィルターの問題を確認します。

ドメインが同期するように構成されていない

ドメインが構成されていないため、オブジェクトはスコープ外となります。 次の図の例では、オブジェクトが属しているドメインが同期対象から除外されているため、オブジェクトはスコープ外となっています。

Screenshot that shows an example of an error caused by a domain that's not in sync scope.

ドメインが同期用に構成されているが、実行プロファイルまたは実行ステップがない

ドメインの実行プロファイルまたは実行ステップがないため、オブジェクトはスコープ外となります。 次の図の例では、オブジェクトの属しているドメインにフル インポート実行プロファイルの実行ステップがないため、オブジェクトが同期スコープ外となっています。

Screenshot that shows an example of an error caused by missing run steps.

オブジェクトが OU フィルタリングによってフィルター処理されている

OU フィルタリング構成のために、オブジェクトは同期スコープ外となります。 次の図の例では、オブジェクトは OU=NoSync,DC=bvtadwbackdc,DC=com に属しています。 この OU は同期スコープに含まれません。

Screenshot that shows an example of an OU filtering error in PowerShell.

リンクされたメールボックスの問題

リンクされたメールボックスは、別の信頼されたアカウント フォレストにある外部のプライマリ アカウントに関連付けられていると想定されています。 プライマリ アカウントが存在しない場合、Microsoft Entra Connect は、Exchange フォレスト内のリンクされたメールボックスに対応するユーザー アカウントを Microsoft Entra テナントに同期しません。

Screenshot that shows an example of a linked mailbox error in PowerShell.

動的配布グループの問題

オンプレミスの Windows Server AD と Microsoft Entra ID にはさまざまな違いがあるため、Microsoft Entra Connect は動的配布グループを Microsoft Entra テナントと同期しません。

Screenshot that shows an example of a dynamic distribution group error in PowerShell.

HTML レポート

トラブルシューティング タスクでは、オブジェクトを分析するだけでなく、オブジェクトについてわかっているすべての情報を含んだ、HTML レポートを生成します。 この HTML レポートを必要に応じてサポート チームと共有し、さらなるトラブルシューティングを行うこともできます。

Screenshot that shows an example of an HTML report in PowerShell.

次のステップ

詳細については、オンプレミス ID と Microsoft Entra ID の統合に関する記事を参照してください。